梆梆资讯
曝光人脸识别滥用处罚结果公布!人脸识别技术的风险及其应对之道
2021-08-06
据上海市市场监督管理局网站消息,近日,科勒(中国)投资有限公司因在2020年2月至2021年3月期间未经消费者同意擅自在门店安装摄像设备抓取人脸信息,违反《中华人民共和国消费者权益保护法》相关规定,被上海市静安区市场监督管理局罚款50万元,并责令改正。
「截图来源:上海市市场监督管理局网站」
近期,最高检通过了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,约束了人脸识别合法适用的边界,也明确了人脸识别案审查要点。人脸签到、人脸登录、人脸转账、人脸查询、人脸找回密码......,人脸认证正在以爆发式增长的速度在虚拟世界代替真人。而近年来数字化转型的进程加快,企业正在将大量的线下业务向线上迁移,在这个过程中,对于人脸识别技术的运用快速增长。毫不夸张地说,由于人脸信息采集随意和泄露风险大、人脸识别业务场景爆发式增长、人脸识别攻击链愈发成熟等原因,人脸识别正面临系统性安全风险。目前很多企业都在使用生物识别技术为业务和安全赋能,而人脸作为使用度最广泛的生物识别技术,鉴于在前序环节人脸信息收集、使用、存储等存在的一系列问题,人脸攻击成本正在进一步降低,从近年来梆梆安全处理过的人脸攻击绕过案例来看,从攻击面上来分,可以分为三类:
前端绕过技术类攻击
由于目前移动App端的人脸识别模式基本为前端活体检测,后端人脸比对,暨App端认证是否是活人,认证完毕后采集照片到服务端比对是否是本人,前端绕过技术类的攻击方式由于其具有高度的可复用性,逐渐成为各类黑灰产的常用手段,前端绕过技术类的攻击常见于以下四种:
生物模拟类攻击
这类攻击主要使用3D打印、高分辨率面具等技术,用实物模拟被攻击者的人脸特征信息,这类的攻击成本较高,攻击复用度较差且攻击成本较高。同时攻击防御也是今年来各类人脸识别厂商对抗的重点,通过升级活体检测算法来进一步的提升对抗难度,较为有效。
算法对抗类攻击
人脸识别比对算法本质上是一个机器学习算法通过大量训练优化后的算法,每个公司的人脸识别算法均尤其特殊性,业内一些顶尖的机器学习及人工智能团队也发布了一些人脸对抗攻击模型,通过模型可以生成一个对抗样本(如特殊眼镜),攻击者带着这种特殊眼镜,就能成功欺骗后端的算法模型。然而这种方式具有极高的技术门槛,其复用性也较差,目前使用并不普遍。
人脸识别作为生物识别中使用最为广泛的一种,如果能够安全使用,能够为各方带来更为安全、便捷的使用体验。梆梆安全认为,人脸识别作为公民个人敏感信息,其使用范围广、不可更改性强,社会各方均应重视并发挥自身的作用,确保人脸识别的安全使用。
一、国家及行业监管
短期来看,尽快出台更为细则的人脸识别使用规范,从信息采集、传输、存储、使用、销毁等各个环节指明企业使用人脸识别的责任和义务,制定行业标准并进行合规监管监察。长期来看,人脸信息作为全民的基础生物信息,其不可更换性决定了这个信息甚至比公民身份证信息更为关键和机密,国家或行业组织机构建立人脸识别基础平台,用于采集、存储公民生物信息,对外提供各类服务可能是彻底解决人脸识别安全的根本路径。
二、人脸识别使用企业
各企业在使用人脸的过程中,应当重视隐私合规要求,尽到告知义务;并进行充分的技术和管理措施用于保护人脸识别的安全性;同时,高度重视人脸数据的使用和存储安全,避免由于自身企业安全防护措施不当导致的用户敏感信息泄露和账户资金损失。
三、人脸识别服务提供商
人脸识别服务提供商在实现商业目标的过程中,应该高度重视隐私合规要求,及算法安全强度。对于提供SAAS服务的人脸识别服务提供商,公民的人脸基础数据使用、存储、销毁等应该依法合规,避免出现系统性数据泄露风险。
在人脸识别安全方面,梆梆安全从人脸业务逻辑的实现、开发、发布、运营等全生命周期过程提供了全套的安全解决方案,通过安全咨询确保人脸业务数据采集、传输、存储、使用等环节的安全合规,通过安全测试确保人脸业务逻辑不存在业务漏洞,通过代码加密保护和通信协议保护,提升人脸协议和数据破解篡改的攻击门槛,通过安全监测与业务系统的联动解决应用运行过程中出现的前端技术类攻击行为。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1