經濟參考報
蘋果公司 9 月發佈新一代手機 iPhone X,其中最大的變革之一是取消以往的指紋識別(Touch ID),改為通過 " 刷臉 " 實現識別解鎖。" 隻要看一眼就能解鎖?面部數據是否會侵犯個人隱私?" 這樣的疑問開始出現。
當前,移動設備和應用數據安全正在遭受挑戰。濫用數據、盜用數據、買賣數據……很多用戶在不知情的情況下已將風險暴露在外。改進隱私條款設計,提升個人信息保護水平已迫在眉睫。
臉部識別到底安全嗎?
隨著蘋果公司最新發佈的 iPhone X 手機引入面容 ID(Face ID)技術,個人隱私保護也成為業內外熱議的話題。未來會是一個刷臉的世界嗎?
目前在業務遠程、移動化的同時,用戶信息在透明且強大的互聯網信息中正面臨著巨大考驗。之前就有媒體揭露出非實名銀行卡正充斥在各大交易平臺用於洗錢,12306 作為中國最大的電商平臺也曝出用戶信息泄露導致大量用戶被惡意註冊的問題,而近期曝出的驗證碼黑產業鏈也揭露瞭原有互聯網身份驗證體系缺少足夠的安全性。
" 簡單來說,我拿瞭你的鑰匙去配瞭一把到你傢開門,這件事現在在網上非常容易實現。" 一位互聯網金融風控負責人解釋道," 大多數的鑰匙其實就是密碼、手機號、驗證碼、身份證號,這些信息在目前互聯網環境下非常容易泄露,所以證明你是你,並且證明進行業務操作的是你本人,是當前互聯網金融在做風控管理時必須做到的一環。"
對此,有技術人員表示,在實際業務中,人臉識別作為其中一個環節,與賬號、密碼保護、基於大數據的風控等其他綜合手段一起,能夠提高移動互聯時代的安全性。
作為信息安全技術的分支,指紋識別、虹膜識別、人臉識別等生物特征識別技術日漸流行。手機、金融、安防等行業已開始規模化應用。更貼近個人隱私的面部圖象數據如何保證安全,也引起不少爭議。" 看一眼就支付成功 ",在方便之餘安全性究竟如何?人臉識別作為新技術,是否會造成新的信息泄露而帶來更大的危害?
對此,蘋果公司相關負責人在接受記者采訪時表示,Face ID 不會備份和發送用戶的任何面容數據,也不會發送給第三方開發者,這些數據永遠不會離開設備自身。
同時,蘋果公司表示,面部解鎖將通過檢測目光方向來確認你是否在註視屏幕,然後利用神經網絡的機器學習能力,計算匹配和抵禦欺騙攻擊。也就是說,如果有人嘗試以照片解鎖,或者用戶沒有註視屏幕的時候,都無法解鎖成功。
與指紋識別不同,面部變化的復雜度較高,因此當用戶面部發生瞭部分變化,如滿臉胡子的用戶刮掉瞭胡子,面容 ID 會要求用戶重新輸入密碼後,更新學習新的面容,但如果面貌特征不相似的人輸入瞭密碼,面容 ID 則不會自動學習。
也有業內人士指出,每一項技術都有利弊。在安全性和便利性上做出完美的平衡才是市場最需要的技術。所以,從這個角度看,任何一項技術都不能單獨承擔起保衛信息安全的重任,未來各項信息技術相互融合是必然的趨勢,而臉部識別技術無疑會成為重要的加分項。
第三方應用過度收集數據用戶隱私風險大增
人臉識別技術能否給行業帶來改變?
當前,大數據、雲計算和人工智能等技術推動移動互聯網中新的應用場景層出不窮,但其背後的隱私和數據保護,已經成為網絡平臺和移動終端迫在眉睫的要務。從整體移動終端市場來看,應用領域數據濫用的情況十分突出。第三方應用對於個人信息過度收集、隱秘收集和誘騙收集的情況日漸增多。
蘋果公司表示,這項技術蘋果公司已研究多年,目前面容 ID 技術將用於驗證解鎖、支付驗證和第三方應用中,其中的深感技術還可以在增強現實(AR)中使用,有著更廣闊的應用前景。
日前中國信通院泰爾終端實驗室、360 互聯網安全中心、DCCI(互聯網第三方研究機構)就移動終端安全問題,發佈瞭我國首份手機安全生態報告。報告顯示,越來越多的手機暴露在各種系統漏洞、惡意軟件的威脅中,無數惡意軟件、電信詐騙不斷挑戰用戶的安全意識,而各種隱藏的系統漏洞對用戶的手機安全影響巨大。這當中,安卓系統已經成為手機系統安全的重災區。
報告顯示,手機應用中越權和濫用用戶數據的情況十分嚴重。其中,非遊戲類應用在 2017 年越權獲取 " 通話記錄 " 的情況出現較大幅度增長;直播類應用獲取各種隱私權限增加,越權獲取用戶 " 位置信息 "" 聯系人信息 " 的情況均比前一年高出一倍以上。
蘋果公司相關負責人認為,很多好的技術不斷湧現,但好的體驗並不一定需要犧牲用戶的隱私。
" 用戶的數據即使脫敏後,例如將個體數據做瞭聚合和隨機化處理,傳輸時還是會增加用戶個人數據暴露的風險," 上述負責人說,因此應用一定要考慮平衡用戶的隱私和使用體驗。
保護隱私加強平臺自律
業內人士認為,用戶隱私數據安全挑戰加劇主要出於三方面原因:第一,部分網站、應用和企業通過一份籠統的 " 用戶協議 " 或 " 隱私協議 ",獲取和收集用戶個人信息的授權,導致個人信息使用的不規范甚至大量泄漏。" 市場上還存在出於各種目的搜集個人信息的利益鏈條," 獵豹移動安全專傢李鐵軍認為,個人隱私信息 " 黑產 " 龐大,亟需加強監管。
第二,用戶本身對保護個人信息重視程度不足。出於方便的考慮,不少用戶在多處使用簡單重復的賬號和密碼,當一處信息泄露便導致整體信息暴露。
第三,法律層面的缺失。當數據如同能源一樣重要時,法律法規的滯後在一定程度上導致瞭數據安全和隱私保護的缺失。數據所有權、數據交易規則等基礎法律界定仍未明確。例如,個人數據原本屬於用戶本身,但用戶在網絡平臺中所產生的數據,如交易數據和行為數據,在經過脫敏後其所有權和使用權歸屬用戶還是平臺,仍未有答案。
隱私保護已經引起瞭有關部門的高度重視。日前中央網信辦、工信部等四部門聯合對京東商城、攜程網、淘寶網、支付寶、高德地圖、百度地圖、滴滴出行等 10 款網絡產品和服務的隱私條款內容進行評審,結果顯示 10 款網絡產品和服務在隱私政策方面都有不同程度的提升。其中,微信、淘寶網、支付寶、滴滴出行、京東商城五款產品和服務開始提供 " 一站式 " 撤回和關閉授權,在線訪問、更正、刪除個人信息,在線註銷賬戶等功能。
中國電子技術標準化研究院副院長楊建軍表示,長期以來網絡運營者在提供產品和服務時,普遍存在隱私條款籠統不清,不主動向用戶展示隱私條款,展示內容晦澀冗長,征求用戶授權同意時存在 " 一攬子 " 打包授權等,擅自擴大范圍收集、使用個人信息,私自共享、轉讓個人信息等問題突出。
中央網信辦網絡安全協調局局長趙澤良表示,今後要調動更多的企業,對自己的隱私政策主動評估。
