身份證照片可變成“人臉” 信息泄露“黑產”鏈條成安全難題
騙過人臉識別,身份證照片被制作成AI視頻販賣
7月11日,廣東省廣州市越秀區檢察院辦理的該省首例向互聯網法院提起的涉人臉識別公民個人信息保護民事公益訴訟案公開宣判,法院判決被告鄭某、任某、戴某、陳某立即停止對公民個人信息的侵害、支付公益損害賠償金、公開賠禮道歉并以行為補償彌補損害。
此前,鄭某等4人已被法院認定犯侵犯公民個人信息罪,被判處有期徒刑一年二個月至一年不等,各并處罰金。
2020年8月起,鄭某通過即時通訊軟件向社會發布可代查高清身份證照片、身份證號碼等個人敏感信息的廣告,并組建群組專門用于個人信息非法交易。
任某、戴某、陳某3人通過廣告加入該群組后,按照下家提供的個人信息,從鄭某手中購得與個人信息相匹配的高清身份證照片,利用照片中的頭像制作AI(人工智能)視頻賣給下家,從中賺取差價。
這些利用高清身份證照片制作的AI視頻,可以完成點頭、眨眼等動作,能夠通過一些App的人臉識別身份驗證。
截至案發,鄭某等4人出售公民個人信息2000余條,造成了大量公民個人信息被泄露甚至被冒用,嚴重侵害公民個人信息安全,擾亂正常的社會管理秩序,損害了社會公共利益。
近日,又一條信息顯示,交通銀行人臉識別系統被攻破:6次人臉識別比對,近43萬被盜走#據悉,要想從交通銀行卡中轉賬,需要用戶在手機銀行App上進行人臉識別,并進行短信驗證,而這幾次人臉識別并非李紅(化名)本人操作。
更嚴重的是,“人臉識別”被攻破了。銀行系統后臺顯示,在進行密碼重置和大額轉賬時,“李紅”進行了6次人臉識別比對,均顯示“活檢成功”。
2元能買上千張人臉照,起底個人信息泄露“黑產”鏈條
“2元能買上千張人臉照”“一套照片活化軟件加教程35元”……通過梳理近幾年法院公布的大量判決案例和以往媒體報道后發現,人臉信息泄露背后存在一條分工明確的非法產業鏈。
而且,隨著個人信息被冒用數量的增多,網絡相關的反饋和投訴也隨之增多,隨之而來的是各大APP平臺的安全驗證升級,以動態人臉識別作為安全驗證方式。在APP平臺安全驗證升級迭代中,這條黑色產業鏈的從業者也在利用漏洞,“專研”其如何破解這一“困局”。這條伴隨著互聯網實名制發展而興起的黑產利益鏈,也從最初單純收集販賣姓名、身份證號,升級到了收集販賣手持身份證照片、人臉視頻和照片動態處理軟件。
包含身份證照片及點頭、搖頭、張嘴視頻,交易多藏身于社交平臺,賣家稱能通過多家APP平臺視頻驗證。
“100元一套,包含身份證正反面照片、手持身份證照片和點頭、搖頭張嘴視頻。”在部分社交平臺和網站上,不少賣家將人臉識別視頻明碼標價,還打包票稱所售驗證視頻,能通過大多數APP平臺驗證流程。
記者調查發現,這種地下黑產交易大多藏匿在QQ群中和境外網站中,其中QQ群名稱多包含“過臉”“識別技術”等關鍵詞,從而方便買家檢索到相關信息。
在QQ群中,搜索關鍵詞“臉識別”,便出現眾多黑產買賣的群。
在APP平臺人臉驗證黑產中,百元一套的驗證視頻屬于“價高質優”產品,因為使用了真人錄制的動態驗證視頻,驗證通過率較高,還有一種低廉的人臉認證方式,即使用動態軟件將人臉照片制作成“動態視頻”,配合“外掛”軟件進行驗證。
“低廉的一套只要幾元錢,需求量大的話甚至可以低至0.5元一套。”一名賣家表示,人臉動態驗證的成功率,主要取決于照片動態化處理的細致程度,但真人錄的視頻肯定可以100%通過。
與以往的身份信息或求職簡歷被批發售賣相比,作為生物特征的人臉識別信息被泄露被盜賣,后果會更嚴重——這威脅的,不僅是民眾的財產安全,還有人身安全。人臉識別信息會成為交易者手中開啟非法利益之門的“鑰匙”,他們可以利用人臉圖像特征提取、匹配與識別等,開啟某些“魔盒”。
站在受害者角度來說,這給普通人拉響了警報:對于人臉、指紋等生物信息,個體再警惕都不為過,換句話說,在日常生活中要提高防備級別,任何生物信息都不能輕易讓渡出去。
法律助力信息保護,售賣平臺難辭其責
關于倒賣公民隱私信息的行為將會受到何種處罰,中國政法大學傳播法研究中心副主任 人民中科研究院首席專家朱巍說,對于倒賣公民隱私信息,刑法規定了侵犯公民個人信息罪,即將施行的民法典在人格權編中圍繞“隱私權和個人信息保護”單獨設了一章進行規范,可見國家對個人信息保護非常重視。倒賣個人信息涉嫌構成非法獲取公民個人信息罪。
據民法典規定公民對個人信息享有民事權利,未經本人同意非法收集買賣他人信息會構成民事侵權。人的臉部特征信息是能夠直接識別特定自然人的真實身份的信息,屬于個人信息范疇,如果未經用戶同意買賣個人信息涉嫌違法犯罪。
倒賣公民隱私信息的平臺是否需要承擔相關法律責任?
對此,朱巍表示,這涉嫌違法違規銷售,按照電子商務法的規定,平臺對應知和明知平臺內經營者從事非法業務,平臺方有制止的義務,如果不履行此義務,平臺方將會承擔責任。同時,平臺要設立舉報渠道,售賣個人隱私涉及刑事犯罪,平臺應移交由公安機關處理,若沒有舉報渠道,平臺方也要承擔連帶責任。
此外,還要看售賣主體是誰,若售賣主體為平臺方,則毫無疑問,平臺方為違法者,如果平臺內經營者是售賣主體,則主要看平臺對經營者的行為是否知情,除此之外,還要看經營者是否留下真實的身份信息,如果沒有,則按照電子商務法的規定,平臺方也要承擔連帶責任。
平臺承擔的責任一方面是基于電子商務法中規定的電子商務平臺經營者責任,包括對平臺內經營者進行資質審核、身份信息的留存、違法違規情況的上報、對應知明知情況的負責等。基于網絡安全法,平臺方有網絡安全保障的責任,若平臺沒有履行網絡安全義務,明知道經營者在售賣個人信息而放任不管,則在一定程度上可認定為幫助犯罪。
因此,各電商平臺應認真履行監督義務,運用大數據技術進行監控,及時發現和下架不合規商品,斬斷出賣人臉信息的利益鏈條。
利用新技術 擰緊信息保護安全閥
在進一步完善法律、改進技術之外,企業也應自覺承擔更多的自律責任。
“科技為更好”是科技的使命,更是科技締造者的初衷。對于科技企業而言,如何使AI服務于民、造福于民,為“全民反詐”注入科技力量,必將是行業研討的重點。
人民中科專注內容安全領域,研究團隊針對人臉識別偽造的不同場景和難點,通過機器學習、算法學習和模型訓練,在技術能力上,具備基于身份空間約束的身份交換型偽造人臉鑒別和基于噪聲一致性的偽造人臉鑒別等多種偽造人臉鑒別技術能力。
“白澤”是人民中科跨模態智能搜索引擎,是對全網海量內容進行高通量感知、機器理解、智能檢索并自主進化的計算平臺。
“白澤”搜索引擎主頁面
基于“白澤”的跨模態監測能力,人民中科開發的內容審核及巡檢系統可以實現對跨模態內容數據進行自動識別,人工智能技術將對涉及反動、敏感、違法、低俗信息的內容進行預警標識,隨后轉交人工審核進行復核,并對復核無誤的信息內容予以存檔取證,同時還將提供統計查詢等基礎功能。該系統不僅可以實現對互聯網的日常監測,還可以實現對指定APP、指定行業、指定內容、指定地區等專項任務的支持。
目前,人民中科已面向政府以及其他合作者,提供互聯網音視頻風控系統、內容巡檢平臺、內容風險檢測平臺、版權監測平臺、隱匿網絡監測、黨政智能文庫等產品或服務,同時“白澤”作為核心能力為以上產品提供內容查詢、識別、檢索、關聯等支撐,為數字世界安全治理貢獻力量,為凈化網絡空間貢獻一份力量。
最后,作為人工智能時代下安全治理的重要部分,個人信息和隱私保護工作還將從“法治”走向“多方共治”,科技企業、社會組織、廣大民眾等所有利益相關者需共同聯手應對新問題。
來源:北京青年報官網
原文鏈接:https://xw.qq.com/cmsid/20220721A03FKL00
