“人脸识别破解术”成黑产业,护“脸”亟须查
刷卡机测评员
关注POS支付圈爆料,不迷路..
►进群加微:
3月30日,《新华每日电讯》刊载题为《上海检方公诉的一起涉案金额超5亿元的虚开发票案,牵出非法人脸识别案:“人脸识别破解术”成黑产业,护“脸”亟须查缺补漏》的报道。
记者从上海检察机关获悉,在近期上海市虹口区人民检察院公诉的一起特大虚开增值税普通发票案中,被告人通过破解人脸识别技术等方式,注册“皮包公司”用于虚开增值税普通发票。据悉,多名被告人为他人开具增值税普通发票价税合计超过5亿元。案件中,犯罪嫌疑人首先通过相关政务平台完成注册“皮包公司”,过程中通过平台上注册人的人脸识别是注册成功的关键环节。为达到目的,犯罪嫌疑人中专门从事人脸识别破解的成员表示,其一般先从他处以30元每个的价格购买他人的高清头像和身份证信息,之后利用“活照片”App对高清头像进行处理,让照片“动起来”,形成包括点头、摇头、眨眼、张嘴等动作视频。“获取视频后,我们利用特殊处理的手机‘劫持’摄像头,在人脸认证环节时,手机摄像头不会启动,系统获取的是之前做好的视频。系统会认为是本人在摄像头前,最后通过认证。”犯罪嫌疑人说。同时,该团伙还破解了某广泛用于管理电子营业执照App的人脸识别系统。犯罪嫌疑人下载电子营业执照后,会在App里添加办事员的身份信息。虚开发票团伙就以此通过办事员身份使用电子营业执照。据犯罪嫌疑人交代,其破解的App类别非常广泛,涉及政务、安防、金融、支付、生活消费等用户量巨大的App。每单的破解价格从25元到300元不等。在上述虚开发票案中,犯罪嫌疑人除了利用破解技术从事虚开发票外,还会利用注册新账号从事骗取各类App补贴优惠等违法犯罪。据犯罪嫌疑人交代,其破解的App类别非常广泛,涉及政务、安防、金融、支付、生活消费等用户量巨大的App。每单的破解价格从25元到300元不等。一年一度的央视315晚会上,通过人脸识别技术自动抓取用户信息行为被曝光,苏州万店掌网络科技有限公司(以下简称“万店掌”)等被多个机构被点名。根据央视报道,万店掌推出的具有“人脸识别”功能的摄像头,在科勒卫浴等多个店铺门店安装后,未经用户许可抓取人脸数据,对用户的性别、年龄甚至心情等进行分析。
据央视记者调查,科勒卫浴、宝马、港汇恒隆Max Mara等多家知名品牌门店均安装了人脸识别摄像头。消费者一旦进入这些商家门店,就会在完全不知情的情况下,被摄像头捕捉到人脸并自动生成编号,以后顾客再去哪家店,去了几次,便都可以通过摄像头系统获悉。
据了解,这些人脸识别摄像头生产企业涉及苏州万店掌网络科技有限公司、悠络客电子科技股份有限公司、广州雅量科技有限公司(以下简称雅量科技),以及瑞为信息技术(深圳)有限公司。据央视报道,雅量科技的摄像头甚至可以在捕捉人脸的同时,识别消费者的性别、年龄等信息,并给消费者打上标签,比如职业打假人、记者等人出现在摄像头时,系统一旦打上对应标签,所有门店都会知道该顾客的身份信息。
所周知,由于人脸识别技术的普及,人脸信息现在已经是非常重要的个人隐私,还会涉及到用户的人脸识别支付,影响广泛。
根据国家法律规定,收集个人信息,应向个新人主体告知收集,并获得个人信息主体的授权同意。
但在央视的报道中,科勒卫浴等商家在众多门店安装了人脸摄像头,无须用户同意就将人脸信息记录下来,并对客户进行分类。从这些企业透露的信息来看,他们的客户中,规模较大的至少有上万家分店,销量已经是及时上百万,其中又一家公司表示他们掌握的人脸信息至少上亿,规模非常大,很多人的信息在无意中已经被这些商家窃取了。
刷脸支付整正遭受安全威胁
刷脸支付确实大大地节省了用户支付的时间,然而人们还是有很多的担心,这种刷脸支付真的安全吗?在进行扫描使用刷脸支付时发现有多次脸部还没有对准手机或者光线非常暗根本无法辨别自己的脸,那边就已经完成了支付。由于体验者使用的刷脸无密支付都是金额比较小的,所以还是没有太过认真,但是心里依然觉得刷脸支付没有做好,安全性得不到保证。实际上网上不时有新闻报道,有犯罪分子使用AI换脸技术实施诈骗犯罪,2020年根据央视《第一时间》报道,浙江就破获了多起使用AI换脸技术进行诈骗的案例。这些犯罪嫌疑人都是利用“AI换脸技术”非法获取公民照片进行一定预处理,然后再通过“照片活化”软件生成动态视频,骗过了人脸核验机制,得以实施犯罪的。除去明确与公共安全相关的机构,那些拥有一定人脸数据的第三方,其持有通常基于两种情况:一种是无意的拥有。比如你家的小区,你所在的公司,一般只为实现识别、打卡的功能,但无意对人脸数据进一步利用。另一种是有意的拥有。如个别商业平台的“内鬼”,在获取人脸数据后进一步分析、贩卖,谋利或实现其他目的。刷脸支付安全问题一直备受央行关注,早在2019年,央行科技司司长李伟表示,人脸属于弱隐私生物特征,信息误用风险比较大。现实生活中通常综合人脸、声音、体态等多个弱隐私特征来认识他人,不光看你的脸,还要听你的声音、看你的动作,综合判断你是谁,来认识一个人,这些特征普遍显露在外,往往容易通过远程非接触的方式,在本人豪无察觉的情况下无声无息的采集,当前这是难以避免的现象。但问题在于,部分机构高估了弱隐私特征的识别作用,在网络空间仅依靠单一特征进行金融交易验证,存在严重隐患。李伟表示,针对人脸识别支付应用,由于线上开放的网络环境中存在诸多风险,应用条件不成熟,而线下应用风险相对可控,基本具备试点应用的条件,应遵循以下几个原则:人脸特征是重要隐私,数据采集应提前告知信息使用方式,明确获得客户授权,避免与需求无关的特征采集,确保人脸特征采集的合理性和必要性。考虑到人脸识别过程悄无声息,金融机构要严格落实消费者权益保护法,充分尊重用户的主观意愿,保护用户的知情权、财产安全权等合法权益,不得在用户不知情、未授权的情况下擅自发起交易,不要简单地将人脸特征作为唯一的交易验证因素,必须根据风险等级结合用户口令等其他因素进行多因素认证,平衡好金融服务的安全与便捷。鉴于人脸识别高度依赖人工智能算法模型,攻防技术不断迭代升级,因此要主动建立健全风险赔付资金、保险计划、应急处置等风险补偿机制,综合运用多种信息技术,加强人脸特征信息端到端的全链条安全防护,切实保障消费者资金与信息的安全。后续,人民银行将对此强化监督检查和安全评估工作。另外在今年的7月13日,在由中国金融四十人论坛和金融城主办的“第四届全球金融科技(北京)峰会”上,人民银行科技司司长李伟表示,要纠正部分机构“有技术就滥用、有技术就任性”的乱象。他以人脸支付举例称,人脸是非常敏感的个人信息,一旦泄露或被盗取,会带来非常大的影响。李伟以“隔空盗刷”问题作类比,认为问题在于支付场景没有表达出个人主观的支付意愿。“如果进行人脸支付的时候,一刷脸钱就没了,更可怕。银行卡可能还揣在兜里,脸可是平常都露在外面,识别出来非常容易,现在有的技术在3公里之外就能识别人脸。当一个场景不能表达客户的主观意愿,这是多么可怕的一件事情。”因此,有技术也不能滥用,有技术也不能任性。”李伟直言,尤其是一些企业在设计模式场景时没有考虑到这些问题。一方面刷脸,另一方面让人在大屏幕上输入手机号码,这是非常危险的。
近期热点:
0.38时代终结?4月底小额双免将恢复至0.6%!今天是愚人节,你相信吗?支付行业变天!回收旧机价格暴涨,自备机要重回霸主地位吗?
标签:
支付公司犯罪嫌疑人识别虚开摄像头
