“要的話五毛一張打包帶走,總共兩萬(wàn)套,不議價(jià)?!币晃毁u家用微信語(yǔ)音對(duì)記者說(shuō)。他還發(fā)來(lái)兩套手持身份證的人臉照片截圖。
記者近日調(diào)查發(fā)現(xiàn),一些網(wǎng)絡(luò)黑產(chǎn)從業(yè)者利用電商平臺(tái),批量倒賣非法獲取的人臉等身份信息和“照片活化”網(wǎng)絡(luò)工具及教程。專家提醒,這些人臉信息有可能被用于虛假注冊(cè)、電信網(wǎng)絡(luò)詐騙等違法犯罪活動(dòng)。
倒賣的人臉數(shù)據(jù)拿來(lái)做什么
在淘寶、閑魚等網(wǎng)絡(luò)交易平臺(tái)上,通過(guò)搜索特定關(guān)鍵詞,就能找到專門出售人臉數(shù)據(jù)和“照片活化”工具的店鋪。
“如果只是采集個(gè)人的人臉信息,比如在馬路上你被人拍了照,但是沒有獲得你的其他身份信息,隱私泄露風(fēng)險(xiǎn)并不大?!敝袊?guó)電子技術(shù)標(biāo)準(zhǔn)化研究院信安中心測(cè)評(píng)實(shí)驗(yàn)室副主任何延哲說(shuō),問(wèn)題在于,當(dāng)前網(wǎng)絡(luò)黑市中售賣的人臉信息并非單純的“人臉照片”,而是包含公民個(gè)人身份信息(包括身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)等)的一系列敏感數(shù)據(jù)。
一位倒賣“人臉視頻工具箱”并聲稱可以“包教會(huì)”的賣家告訴記者,只要學(xué)會(huì)熟練使用“工具箱”,不僅可以利用這些人臉數(shù)據(jù)幫他人解封微信和支付寶的凍結(jié)賬號(hào),還能繞過(guò)知名婚戀交友平臺(tái)及手機(jī)卡實(shí)名認(rèn)證的人臉識(shí)別機(jī)制。這位賣家還給記者傳來(lái)了幫一些“客戶”成功解封凍結(jié)賬號(hào)的截圖。
“從技術(shù)角度看,將人臉信息和身份信息相關(guān)聯(lián)后,利用系統(tǒng)漏洞‘騙過(guò)’部分平臺(tái)的人臉識(shí)別機(jī)制是有可能的?!比四樧R(shí)別技術(shù)專家、廈門瑞為信息技術(shù)有限公司研究中心總監(jiān)賈寶芝博士認(rèn)為,盡管一些金融平臺(tái)在大額轉(zhuǎn)賬時(shí)需要多重身份認(rèn)證,但“道高一尺魔高一丈”,網(wǎng)絡(luò)黑產(chǎn)技術(shù)手段也在不斷更新,絕不能因此忽視賬戶安全。
何延哲向記者舉例:如果人臉信息和其他身份信息相匹配,可能會(huì)被不法分子用以盜取網(wǎng)絡(luò)社交平臺(tái)賬號(hào)或竊取金融賬戶內(nèi)財(cái)產(chǎn);如果人臉信息和行蹤信息相匹配,可能會(huì)被不法分子用于精準(zhǔn)詐騙、敲詐勒索等違法犯罪活動(dòng)。
這些包含人臉信息和其他身份信息的數(shù)據(jù)從何而來(lái)?有賣家向記者透露,自己所售賣的人臉信息來(lái)自一些網(wǎng)貸和招聘平臺(tái);至于如何從這些平臺(tái)中獲取此類信息,對(duì)方?jīng)]有作答。
劃定人臉識(shí)別技術(shù)使用紅線
近年來(lái),人臉識(shí)別技術(shù)被用于金融支付、小區(qū)安防、政務(wù)服務(wù)等諸多場(chǎng)景,既提高了便利性,也通過(guò)數(shù)據(jù)交互在一定程度上增強(qiáng)了安全性。
但是,人臉數(shù)據(jù)如果發(fā)生泄露或被不法分子非法獲取,就有可能被用于違法犯罪活動(dòng),對(duì)此應(yīng)保持警惕。
去年8月,深圳龍崗警方發(fā)現(xiàn)有轄區(qū)居民的身份信息被人冒用,其駕駛證被不法分子通過(guò)網(wǎng)絡(luò)服務(wù)平臺(tái)冒用扣分。
在開展“凈網(wǎng)2020”行動(dòng)中,龍崗警方經(jīng)多方偵查發(fā)現(xiàn),有不法分子使用AI換臉技術(shù),繞開多個(gè)社交服務(wù)平臺(tái)或系統(tǒng)的人臉認(rèn)證機(jī)制,為違法犯罪團(tuán)伙提供虛假注冊(cè)、刷臉支付等黑產(chǎn)服務(wù)。截至目前,龍崗警方在廣東、河南、山東等地已抓獲涉案犯罪嫌疑人13名。
據(jù)警方介紹,在上述案件中,犯罪嫌疑人利用非法獲取的公民照片進(jìn)行一定預(yù)處理,而后通過(guò)“照片活化”軟件生成動(dòng)態(tài)視頻,騙過(guò)人臉核驗(yàn)機(jī)制。隨后,通過(guò)網(wǎng)上批量購(gòu)買的私人社交平臺(tái)賬號(hào)登錄各網(wǎng)絡(luò)服務(wù)平臺(tái)注冊(cè)會(huì)員或進(jìn)行實(shí)名認(rèn)證。
人臉信息關(guān)系到每個(gè)人的生命財(cái)產(chǎn)安全。業(yè)內(nèi)專家認(rèn)為,對(duì)倒賣人臉信息的黑色產(chǎn)業(yè)鏈必須予以嚴(yán)厲打擊,立法機(jī)關(guān)需統(tǒng)籌考慮技術(shù)發(fā)展與信息安全,劃定人臉識(shí)別技術(shù)的使用紅線;監(jiān)管部門也應(yīng)對(duì)惡意泄露他人人臉和身份信息的違法行為予以堅(jiān)決制止。
明年將施行的民法典,對(duì)自然人個(gè)人信息的范疇進(jìn)行了專門說(shuō)明,生物識(shí)別信息被納入其中。中國(guó)信息安全研究院副院長(zhǎng)左曉棟認(rèn)為,除民法典外,正在制定的個(gè)人信息保護(hù)法和數(shù)據(jù)安全法也應(yīng)對(duì)人臉等生物特征信息的保護(hù)作出安排;立法要充分考慮人臉這一特殊身份信息的可獲得性,不能讓制定出來(lái)的法律因執(zhí)行難而流于形式。
北京師范大學(xué)網(wǎng)絡(luò)法治國(guó)際中心執(zhí)行主任吳沈括認(rèn)為,網(wǎng)絡(luò)平臺(tái)對(duì)平臺(tái)上的交易行為負(fù)有監(jiān)管義務(wù),應(yīng)嚴(yán)謹(jǐn)審核賣家資質(zhì),對(duì)平臺(tái)內(nèi)經(jīng)營(yíng)者的合規(guī)情況進(jìn)行監(jiān)控、記錄,不應(yīng)允許發(fā)布任何侵犯他人人身財(cái)產(chǎn)權(quán)利或法律法規(guī)禁止的物項(xiàng)。
賈寶芝建議,相關(guān)平臺(tái)在制定人臉識(shí)別安全規(guī)范的過(guò)程中,要強(qiáng)調(diào)“人臉數(shù)據(jù)等生物特征信息”與“其他身份信息”實(shí)行完全隔離存儲(chǔ),避免將人臉數(shù)據(jù)與身份信息相關(guān)聯(lián)后發(fā)生批量化泄露。
對(duì)于曾經(jīng)上傳過(guò)清晰手持身份證照片或同時(shí)上傳人臉照片并填寫身份證、銀行卡信息的用戶,專家建議,應(yīng)在開啟人臉驗(yàn)證的同時(shí),盡可能選擇多重驗(yàn)證方式,減輕單重人臉驗(yàn)證風(fēng)險(xiǎn)。
(責(zé)任編輯:梁艷)