超级干货!一文了解App应用中人脸识别的隐私安全问题“刷脸解锁手机”、“刷脸购物”、“刷脸验证身份申请银行卡”。。我们与生俱来的“面子”不仅与我们的容貌挂钩,而且逐渐演变为我们独一无二的识别标记。它逐渐渗透到我们的日常生活中,为我们提供了极大的便利。但当人脸识别遇上现实,隐私问题依然是一个难以逾越的现实问??题。那么,当人脸识别应用到更多场景的时候,我们的隐私还安全吗?今天,我们先从人脸识别在App应用中的隐私安全说起。近日,中国信息通信研究院安全研究所与北京百度网通技术有限公司联合发布《人脸识别技术在 App 应用中的隐私安全研究报告》,(以下简称《报告》)。《报告》梳理了人脸识别技术的市场情况、特点和难点,以及在App中的应用场景和使用目的,并结合实际案例分析了人脸识别技术在App应用过程中存在的安全问题.考虑到安全问题,选择了应用市场中下载量较大的采用人脸识别技术的应用进行测评。并结合我国实际情况,在法律法规、监管制度、技术标准、行业自律等方面提出有针对性的建议。如需获取本报告pdf全文,请在雷风网(公众号:雷风网)(公众号:雷风网)回复关键字“706报告”进行提取。文献来源:中国信息通信研究院一、人脸识别技术概述人脸识别是一种基于面部特征信息识别人的生物识别技术。具体来说,计算机通过视频采集设备获取被识别对象的人脸图像,然后利用核心算法对人脸的五官、脸型、角度等特征信息进行计算分析,然后与已有的人脸进行比对。在自己的数据库中的模板,最终确定用户的真实身份。1、人脸识别技术从人脸采集到人脸识别的全过程,人脸识别技术一般包括:人脸图像采集与检测;人脸特征提取;人脸正则化和人脸识别比对等。人脸图像采集与检测摄像头可以采集不同的人脸图像,比如静态图像、动态图像、不同的位置、不同的表情等都可以很好地采集。当用户处于采集设备的拍摄范围内时,采集设备会自动搜索并抓取用户的人脸图像。人脸检测在实际应用中主要用于人脸识别的预处理,即准确标记人脸在图像中的位置和大小。人脸特征提取人脸识别系统可以使用的特征通常分为视觉特征、像素统计特征、人脸图像变异系数特征、人脸图像代数特征等,人脸特征提取是针对人脸的某些特征进行的.人脸特征提取,也称为人脸表示,是对人脸特征进行建模的过程。人脸特征提取的方法可以归纳为两类:一类是基于知识的表示方法,一类是基于代数特征或统计学习的表示方法。人脸正则化人脸图像的预处理是根据人脸检测结果对图像进行处理,最终服务于特征提取的过程。系统获取的原始图像由于各种条件和随机干扰不能直接使用,在图像处理的前期必须对其进行灰度校正、噪声滤除等图像预处理。对于人脸图像,预处理过程主要包括人脸图像的光照补偿、灰度变换、直方图均衡化、归一化、几何校正、滤波和锐化等。人脸识别比对将提取的人脸图像特征数据与数据库中存储的特征模板进行查找匹配。通过设置一个阈值,当相似度超过这个阈值时,输出匹配结果。人脸识别就是将待识别的人脸特征与得到的人脸特征模板进行比较,根据相似程度判断人脸的身份信息。可分为1:1、1:N、属性识别。其中,1:1是比较两张人脸对应的特征值向量,1:N是将一张人脸照片的特征值向量与其他N张人脸对应的特征值向量进行比较,输出相似度为最高或最高的X相似度。2、人脸识别技术在身份验证中的应用App中人脸识别的身份验证流程为:用户将自己的身份证信息拍照上传至App,App获取用户信息和身份证系统通过公民身份信息查询,创建用户画像,关联用户人脸。App扫描用户人像时,经过活体检测、人脸质量检测、人脸图像处理等处理后,将人脸与之前获取的用户人像照片进行比对,完成身份验证。3、特征自然性自然性是指识别方法与人类用来识别个体的生物特征相??同。比如人脸识别,人类也是通过观察和比较人脸来区分和确认身份的。此外,自然识别还包括语音识别和体形识别。指纹识别、虹膜识别等不自然。非接触式人脸识别完全利用可见光获取人脸图像信息。与指纹识别需要使用手指接触传感器采集指纹不同,用户不需要直接用设备接触人脸,可以满足多人同时连续进行人脸图像信息识别和排序的需求应用于医院测温、小区门禁等应用场景。4.难度相似度不同个体差异不大。所有的人脸在结构上都是相似的,甚至人脸器官的结构和形状也非常相似。这样的特征有利于利用人脸进行定位,但不利于利用人脸来区分人的个体。比如双胞胎现象。世界平均出生率为1:89。有的双胞胎面部存在差异,有的双胞胎甚至在五官方面有着非常高的相似度。这对人脸识别系统来说是一个很大的挑战。可变性人脸的面部特征是不稳定的。人可以通过面部的变化产生多种表情,人脸的视觉图像在不同的视角下也有很大的不同。此外,人脸识别还受到光照条件、人脸遮盖物(口罩、墨镜、胡须、头发)、年龄等的影响。漏洞随着图书数码摄影和视频合成技术的发展,越来越容易获取或合成特定人物的人脸信息。随着对抗训练的深度学习技术的发展,计算机可以高精度合成任何人的面部信息。二、人脸识别技术应用1、市场前景2018年,我国计算机视觉人脸识别市场规模为151.7亿元。根据前瞻产业研究院对六大权威机构的总结,乐观估计2020年我国计算机视觉人脸识别市场规模有望突破千亿。依亿欧智库研究报告显示目前,人脸识别市场应用涵盖安防、金融、智慧园区、交通出行、互联网服务等多个领域。根据亿欧智库统计结果,2018年安防人脸识别市场份额占比61.1%,金融占比17.1%,智慧园区占比6.7%,互联网服务占比3.9%,交通占比3.3%,个人智慧占2.9%,其他(智能汽车、智能零售、政府服务、运营商服务)占比5%。2、企业应用情况人脸识别目前在国内发展迅速,各类新兴企业如雨后春笋般涌现。中国人脸识别独角兽旷视科技、商汤科技,与此同时,云从科技、依图科技等初创企业也在不断努力抢占市场。从人脸识别产业链来看,人脸识别产业上游有硬件基础支撑,包括高清摄像头、处理芯片(TPU\CPU\GPU)、服务器、数据和视频传输设备;产业链中游主要是人脸识别算法和软件服务,产业链下游是特定场景应用,即应用解决方案、消费终端或服务等。国内互联网公司百度、阿里巴巴、腾讯非常重视人脸识别方向。阿里巴巴控股旷视科技、商汤科技、依图科技,并开发了自己的人脸识别接口。已将人脸识别技术全面应用于支付宝、淘宝等APP,并与集团其他业务板块相结合。人脸识别应用场景研究人员。腾讯拥有自己的优图团队,为Q空间、腾讯地图、腾讯游戏等50余款APP提供图像技术支持。百度人脸识别也依托庞大的数据资源快速发展。利用人脸识别技术,推出了百度地图、面向你等应用。三、应用场景金融App应用场景金融App接入人脸识别功能的主要目的是保障用户在使用过程中的资金交易安全。以支付宝为例,用户在使用“借呗”借钱时,除了输入密码外,一般还需要进行人脸检测,以确认此时App的操作者是本人。人脸识别可有效防止支付宝账户被盗此外,金融APP还可以利用人脸识别技术,提供远程开户、绑定卡、身份验证、账户登录、分期购物、刷脸考勤、刷脸支付等服务。在人脸识别落地金融行业的过程中,各大银行也尝试将人脸识别引入刷脸支付、即时开卡、VYM等金融场景,但从技术角度来看,技术并不是灵丹妙药。虽然现在人脸识别技术已经非常成熟,但是光照条件、天气、用户整容等仍然会影响人脸识别结果。此外,人脸识别在转账支付、即时开卡等高安全性业务应用中的应用需谨慎。单纯依靠人脸识别技术是无法解决用户身份验证问题的。双因素甚至多因素身份验证以增加安全性。在线教育APP中的应用场景人脸识别在在线教育APP中的应用之一是核对学生身份,避免出现多人使用一个账号的情况。通过人脸识别可以大大减少账号共享的问题,人脸识别机制以一定的频率触发,验证当前使用网校账号的人脸是否为同一人。此外,人脸识别的另一大用途是帮助教师了解学生的学习状况。线上课堂不同于线下课堂。教师无法通过观察学生的表情来判断学生对课程的接受程度。通过面部表情识别,教师可以更好地了解学生的需求。在线教育APP主要服务于中小学生。由于儿童的认知能力、风险识别能力和自我保护能力相对较弱,儿童个人生物保护信息是社会各界关注的焦点。根据南都电源个人信息保护研究中心发布的《人脸识别落地场景观察报告》调查结果,33.84%的受访者不同意将人脸识别技术应用于教育相关系统。识别技术时应更加小心。电信APP应用场景电信APP接入人脸识别功能的主要目的是实现SIM卡激活过程中的实人认证。以“中国移动APP”为例,用户在中国移动APP购买SIM卡后,需要在APP的“卡号激活”服务功能中完成实人认证,上传身份证信息激活过程中,进行人像视频认证,视频认证过程中,用户需要录制一段6秒的视频,录制内容为读取屏幕随机生成的4位验证码。视频审核通过后才能成功激活SIM卡。2019年9月27日,工信部办公厅印发《关于进一步做好电话 用户实名登记管理有关工作的通知》,指导电信企业开展电话用户实名登记。为确保电话入网过程中人证人证一致,工信部要求创新运用人工智能等技术手段,工信部要求电信企业全面落实自2019年12月1日起实施实体渠道人像比对技术措施。因此,为保护公民在网络空间的合法权益,有效防范电信和网络诈骗,在线激活SIM卡时也需要进行人脸识别。出行APP应用场景出行APP的人脸识别功能可以最大程度的保障驾乘人员和货物的安全。以人脸识别APP“滴滴出行”为例。司机在APP中填写完各项基本信息后,还需要进行最后一步人脸认证,才能接单。可保护驾驶员身份信息和财产安全,防止账号被盗;另一方面也可以保护乘客的人身安全,防止遇到不良司机。2018年9月11日,交通运输部、中央网信办、公安部等部门组成的工作专项检查组先后进驻网约车、网约车平台企业,开展专项检查。安全检查,并规定相关应用程序应在当前应用人脸识别等技术来审查车辆和驾驶员的一致性。同时,将人脸识别技术应用到出行APP中,可以有效保护驾乘人员的财产和人身安全。美图娱乐App的应用场景美图娱乐App在保障账号安全的同时,还可以利用人脸识别进行各种创意互动营销活动。以人脸识别App“美图秀秀”为例。用户下载美图秀秀软件拍照后,一般都会使用图片美化功能。此时App可以接入人脸关键点定位功能,帮助用户定位眉毛、眼睛、下巴等面部关键部位,方便用户使用美颜功能。同时,用户还可以自定义设计夸张、搞笑、与众不同的人脸照片。比如去年很火的ZAO,还可以通过人脸识别技术提供照片换脸、视频换脸、同款表情包、换发等服务。美图娱乐应用程序使用人脸识别技术是业务功能所必需的,但个人生物识别信息的收集和使用应受到规范。新版《信息安全技术个人信息安全规范》(以下简称《规范》)规定,在收集个人生物识别信息前,应当单独告知使用目的、方式和范围,并取得个人信息主体的明示同意。同时,《规范》也规定,原则上不得保存个人原始生物识别信息。因此,在美图娱乐APP业务功能扩展中,应按照最低必要性原则合理使用人脸识别技术,并按照《规范》的规定单独告知用户并同意。App在获取技术权限时不得重复请求授权,也不得影响其他与该权限无关的业务功能的使用。电商App应用场景电商App接入人脸识别功能的主要目的之一是保障用户账号安全。通常的做法是在登录账号时进行人脸识别,实现真人认证,防止不法分子通过破解密码登录用户账号。其次,为提升用户服务体验,电商APP利用人脸识别功能提供在线试穿、试穿等服务。此外,电商APP的人脸识别应用场景还包括:后台图片数据管理,即违禁图片和广告图片管理、直播、短视频等。在电商APP中使用人脸识别技术,基本上是为了提升用户服务体验,增强用户粘性或为用户提供便利,是电商APP的一种业务功能扩展。因此,电商APP在使用人脸识别技术获取人脸特征信息时,应当告知用户并征得用户同意。用户有权拒绝使用相关服务,不得强制用户提供面部特征信息。智慧园区APP应用场景智慧园区APP接入人脸识别功能主要用于门禁管理、考勤管理、会议管理等。解决企业大厦园区内的一切权限管理问题。在考勤管理的应用场景中,App基于人脸识别技术,结合网络和GPS定位,可以消除代签现象,解决现场人员考勤难的问题。在会议管理应用场景中,与会者通过录入人脸进行会议注册。会议签到时,App的人脸识别功能会记录参会嘉宾的面部信息,并自动与背景信息进行比对,快速识别参会嘉宾身份。.智慧园区APP采用人脸识别技术,为企业节省人工成本,运行高效快捷,易于管理。然而,智慧园区APP在使用人脸识别技术的过程中存在一定的风险,利用深度伪造来欺骗人脸检测的安全事件层出不穷。因此,国家机关、保密单位等重要部门不应单纯依靠人脸识别技术进行门禁管理。三、人脸识别应用面临的安全风险1、缺乏网络和数据安全保障机制,容易导致人脸数据泄露。目前人脸识别技术的安全技术标准和使用规范并不完善。人脸数据主体的义务、权利以及人脸数据采集、存储、处理过程中应采取的安全措施等缺乏相关规定。因此,大多数人脸识别技术的开发者和应用服务商所采取的安全措施可能难以应对人脸识别技术面临的安全威胁,容易发生人脸数据泄露等安全事件。此外,网络安全生态环境持续恶化,系统安全漏洞几乎不可避免,人脸数据库泄露事件也屡见不鲜。更可怕的是,由于生物识别信息具有唯一性和不可再生性,一旦丢失或泄露,将永久泄露,危害无穷。2、人脸识别技术的不规范应用为人脸数据的滥用提供了可能。随着人脸识别技术在人们生活中的应用越来越广泛,人脸特征逐渐成为人们的身份证件之一,但是人脸识别技术的应用存在一些不规范的现象。首先,大部分App在收集人脸数据时并没有根据《规范》单独通知和征得用户同意,甚至在隐私政策中也没有说明使用人脸识别技术的目的、范围和方式,使得人脸数据被动收集使用已成为常态。其次,部分社交娱乐类APP、在线教育类APP未按照相关法律法规收集和使用人脸数据,导致人脸识别技术被滥用的现象时有发生。3、人脸深度伪造技术严重威胁用户财产甚至人身安全。由于人脸识别技术具有非接触、低成本、检测速度快、自动学习等特点,人脸识别已成为重要的身份识别手段。然而,除了人脸识别技术,还有利用机器学习系统、图像和视频来换脸的“深度伪造”技术。2017年以来,深度伪造技术活跃在互联网上。随着这一技术算法的成熟,无论是人像、语音还是视频,都可以伪造或合成,几乎无法辨别真伪。欺骗的成功率高达99.5%,甚至成为很多人脸识别系统的克星。鉴于此,借助深度伪造技术破解人脸识别等验证系统,非法盗取他人支付账户、获取他人个人信息或从事其他冒充他人的非法活动成为可能,严重威胁到公民的财产安全和人身安全,甚至使人们的国家安全和公共安全受到威胁,引发社会焦虑和信任危机。四、关于人脸识别APP个人信息保护的建议1、加快制定人脸识别相关法律法规人脸识别保护法及最高法、最高人民检察院、国务院颁布的相关司法解释和规定对个人信息的收集、使用、存储和传输作出原则性规定。因此,我国需要尽快完善包括人脸识别在内的个人生物识别信息使用方面的法律法规,明确公民个人生物识别信息受法律保护的范围,公民个人生物识别信息的义务主体信息保护,强化责任追究,保护个人生物识别信息。安全规范运用法律,加大对侵犯公民个人隐私特别是泄露和滥用个人生物识别信息行为的惩处力度。2.加快人脸识别技术应用监管体系建设,建立人脸识别技术应用必要性评估制度。企业或组织在采用人脸识别技术前,需要根据技术实施方式、业务场景、数据收集和使用情况,评估技术应用的必要性;同时,相关监管部门可以预先建立“负面清单”或“白名单”,以“清单+考核”的监管方式加强事前监管。此外,完善人脸识别技术应用评价和事后追责制度。一方面,督促使用人脸识别技术的企业或组织定期开展安全评估,按照相关安全规定,制定人脸识别技术安全防控措施;组织严肃问责,在3至5年内对涉案企业进行不定期回访,持续监督。3、加快制定人脸识别技术系列安全标准人脸识别技术日趋成熟,应用人脸识别技术的APP越来越多。人脸识别技术的各项安全标准,包括个人生物信息保护标准应尽快出台。建议关注人脸识别技术本身的安全、App应用中个人生物识别信息的保护等,加快制定安全技术要求和管理要求、个人生物识别信息保护要求、安全应用规范等用于人脸识别技术。一系列标准引导行业以标准为基础,规范应用中人脸识别技术的使用,提升人脸识别技术的安全防护水平,降低应用中人脸识别技术的安全风险,保障应用安全用户个人生物识别信息的性别。4、鼓励行业协会或社会组织开展行业自律如今,以人脸识别技术为代表的人工智能技术发展日新月异。但是,由于人脸识别技术的复杂性,很难保证人脸数据的安全。为此,成立人脸识别技术企业联盟组织,鼓励相关行业协会或社会组织主动发挥行业自律平台作用,推动各利益相关方共同制定人脸采集和使用行为规范。数据,推广相关最佳实践,带动个人生物识别信息保护整体水平的提升,有利于人脸识别行业的良性发展。此外,应用运营者应自觉规范人脸识别技术在应用中的应用,定期进行自我评估或第三方评估。采集人脸数据前,须告知用途及可能存在的风险,保障用户的知情权和选择权。同时,当用户不想再授权使用其人脸数据时,应用运营方必须提供“退出”或“删除”的通道,以保证用户的删除权。我们可以换手机,也可以伪造身份证和驾照,但以现在的医疗技术,我们无法“换脸”。人脸识别技术有着广阔的前景,但也隐藏着安全隐患。这项技术会是新的人机交互革命的开始,还是个人隐私的沦陷?我们拭目以待。
