苹果公司9月发布新一代手机iPhoneX,其中最大的变革之一是取消以往的指纹识别(TouchID),改为通过“刷脸”实现识别解锁。“只要看一眼就能解锁?面部数据是否会侵犯个人隐私?”这样的疑问开始出现。
当前,移动设备和应用数据安全正在遭受挑战。滥用数据、盗用数据、买卖数据……很多用户在不知情的情况下已将风险暴露在外。改进隐私条款设计,提升个人信息保护水平已迫在眉睫。
脸部识别到底安全吗?
随着苹果公司最新发布的iPhoneX手机引入面容ID(FaceID)技术,个人隐私保护也成为业内外热议的话题。未来会是一个刷脸的世界吗?
目前在业务远程、移动化的同时,用户信息在透明且强大的互联网信息中正面临着巨大考验。之前就有媒体揭露出非实名银行卡正充斥在各大交易平台用于洗钱,12306作为中国最大的电商平台也曝出用户信息泄露导致大量用户被恶意注册的问题,而近期曝出的验证码黑产业链也揭露了原有互联网身份验证体系缺少足够的安全性。
“简单来说,我拿了你的钥匙去配了一把到你家开门,这件事现在在网上非常容易实现。”一位互联网金融风控负责人解释道,“大多数的钥匙其实就是密码、手机号、验证码、身份证号,这些信息在目前互联网环境下非常容易泄露,所以证明你是你,并且证明进行业务操作的是你本人,是当前互联网金融在做风控管理时必须做到的一环。”
对此,有技术人员表示,在实际业务中,人脸识别作为其中一个环节,与账号、密码保护、基于大数据的风控等其他综合手段一起,能够提高移动互联时代的安全性。
作为信息安全技术的分支,指纹识别、虹膜识别、人脸识别等生物特征识别技术日渐流行。手机、金融、安防等行业已开始规模化应用。更贴近个人隐私的面部图象数据如何保证安全,也引起不少争议。“看一眼就支付成功”,在方便之余安全性究竟如何?人脸识别作为新技术,是否会造成新的信息泄露而带来更大的危害?
对此,苹果公司相关负责人在接受记者采访时表示,FaceID不会备份和发送用户的任何面容数据,也不会发送给第三方开发者,这些数据永远不会离开设备自身。
同时,苹果公司表示,面部解锁将通过检测目光方向来确认你是否在注视屏幕,然后利用神经网络的机器学习能力,计算匹配和抵御欺骗攻击。也就是说,如果有人尝试以照片解锁,或者用户没有注视屏幕的时候,都无法解锁成功。
与指纹识别不同,面部变化的复杂度较高,因此当用户面部发生了部分变化,如满脸胡子的用户刮掉了胡子,面容ID会要求用户重新输入密码后,更新学习新的面容,但如果面貌特征不相似的人输入了密码,面容ID则不会自动学习。
也有业内人士指出,每一项技术都有利弊。在安全性和便利性上做出完美的平衡才是市场最需要的技术。所以,从这个角度看,任何一项技术都不能单独承担起保卫信息安全的重任,未来各项信息技术相互融合是必然的趋势,而脸部识别技术无疑会成为重要的加分项。
第三方应用过度收集数据用户隐私风险大增
人脸识别技术能否给行业带来改变?
当前,大数据、云计算和人工智能等技术推动移动互联网中新的应用场景层出不穷,但其背后的隐私和数据保护,已经成为网络平台和移动终端迫在眉睫的要务。从整体移动终端市场来看,应用领域数据滥用的情况十分突出。第三方应用对于个人信息过度收集、隐秘收集和诱骗收集的情况日渐增多。
苹果公司表示,这项技术苹果公司已研究多年,目前面容ID技术将用于验证解锁、支付验证和第三方应用中,其中的深感技术还可以在增强现实(AR)中使用,有着更广阔的应用前景。
日前中国信通院泰尔终端实验室、360互联网安全中心、DCCI(互联网第三方研究机构)就移动终端安全问题,发布了我国首份手机安全生态报告。报告显示,越来越多的手机暴露在各种系统漏洞、恶意软件的威胁中,无数恶意软件、电信诈骗不断挑战用户的安全意识,而各种隐藏的系统漏洞对用户的手机安全影响巨大。这当中,安卓系统已经成为手机系统安全的重灾区。
报告显示,手机应用中越权和滥用用户数据的情况十分严重。其中,非游戏类应用在2017年越权获取“通话记录”的情况出现较大幅度增长;直播类应用获取各种隐私权限增加,越权获取用户“位置信息”“联系人信息”的情况均比前一年高出一倍以上。
苹果公司相关负责人认为,很多好的技术不断涌现,但好的体验并不一定需要牺牲用户的隐私。
“用户的数据即使脱敏后,例如将个体数据做了聚合和随机化处理,传输时还是会增加用户个人数据暴露的风险,”上述负责人说,因此应用一定要考虑平衡用户的隐私和使用体验。
保护隐私加强平台自律
业内人士认为,用户隐私数据安全挑战加剧主要出于三方面原因:第一,部分网站、应用和企业通过一份笼统的“用户协议”或“隐私协议”,获取和收集用户个人信息的授权,导致个人信息使用的不规范甚至大量泄漏。“市场上还存在出于各种目的搜集个人信息的利益链条,”猎豹移动安全专家李铁军认为,个人隐私信息“黑产”庞大,亟需加强监管。
第二,用户本身对保护个人信息重视程度不足。出于方便的考虑,不少用户在多处使用简单重复的账号和密码,当一处信息泄露便导致整体信息暴露。
第三,法律层面的缺失。当数据如同能源一样重要时,法律法规的滞后在一定程度上导致了数据安全和隐私保护的缺失。数据所有权、数据交易规则等基础法律界定仍未明确。例如,个人数据原本属于用户本身,但用户在网络平台中所产生的数据,如交易数据和行为数据,在经过脱敏后其所有权和使用权归属用户还是平台,仍未有答案。
隐私保护已经引起了有关部门的高度重视。日前中央网信办、工信部等四部门联合对京东商城、携程网、淘宝网、支付宝、高德地图、百度地图、滴滴出行等10款网络产品和服务的隐私条款内容进行评审,结果显示10款网络产品和服务在隐私政策方面都有不同程度的提升。其中,微信、淘宝网、支付宝、滴滴出行、京东商城五款产品和服务开始提供“一站式”撤回和关闭授权,在线访问、更正、删除个人信息,在线注销账户等功能。
中国电子技术标准化研究院副院长杨建军表示,长期以来网络运营者在提供产品和服务时,普遍存在隐私条款笼统不清,不主动向用户展示隐私条款,展示内容晦涩冗长,征求用户授权同意时存在“一揽子”打包授权等,擅自扩大范围收集、使用个人信息,私自共享、转让个人信息等问题突出。
中央网信办网络安全协调局局长赵泽良表示,今后要调动更多的企业,对自己的隐私政策主动评估。