蘋果公司9月發佈新一代手機iPhone X,其中最大的變革之一是取消以往的指紋識別(Touch ID),改為通過“刷臉”實現識別解鎖。“只要看一眼就能解鎖?面部數據是否會侵犯個人隱私?”這樣的疑問開始出現。
當前,移動設備和應用數據安全正在遭受挑戰。濫用數據、盜用數據、買賣數據……很多用戶在不知情的情況下已將風險暴露在外。改進隱私條款設計,提升個人資訊保護水準已迫在眉睫。
臉部識別到底安全嗎?
隨著蘋果公司最新發佈的iPhone X手機引入面容ID(Face ID)技術,個人隱私保護也成為業內外熱議的話題。未來會是一個刷臉的世界嗎?
目前在業務遠端、移動化的同時,用戶資訊在透明且強大的網際網路資訊中正面臨著巨大考驗。之前就有媒體揭露出非實名銀行卡正充斥在各大交易平臺用於洗錢,12306作為中國最大的電商平臺也曝出用戶資訊洩露導致大量用戶被惡意註冊的問題,而近期曝出的驗證碼黑産業鏈也揭露了原有網際網路身份驗證體系缺少足夠的安全性。
“簡單來説,我拿了你的鑰匙去配了一把到你家開門,這件事現在在網上非常容易實現。”一位網際網路金融風控負責人解釋道,“大多數的鑰匙其實就是密碼、手機號、驗證碼、身份證號,這些資訊在目前網際網路環境下非常容易洩露,所以證明你是你,並且證明進行業務操作的是你本人,是當前網際網路金融在做風控管理時必須做到的一環。”
對此,有技術人員表示,在實際業務中,人臉識別作為其中一個環節,與賬號、密碼保護、基於大數據的風控等其他綜合手段一起,能夠提高移動互聯時代的安全性。
作為資訊安全技術的分支,指紋識別、虹膜識別、人臉識別等生物特徵識別技術日漸流行。手機、金融、安防等行業已開始規模化應用。更貼近個人隱私的面部圖像數據如何保證安全,也引起不少爭議。“看一眼就支付成功”,在方便之餘安全性究竟如何?人臉識別作為新技術,是否會造成新的資訊洩露而帶來更大的危害?
對此,蘋果公司相關負責人在接受記者採訪時表示,Face ID不會備份和發送用戶的任何面容數據,也不會發送給第三方開發者,這些數據永遠不會離開設備自身。
同時,蘋果公司表示,面部解鎖將通過檢測目光方向來確認你是否在注視螢幕,然後利用神經網路的機器學習能力,計算匹配和抵禦欺騙攻擊。也就是説,如果有人嘗試以照片解鎖,或者用戶沒有注視螢幕的時候,都無法解鎖成功。
與指紋識別不同,面部變化的複雜度較高,因此當用戶面部發生了部分變化,如滿臉鬍子的用戶刮掉了鬍子,面容ID會要求用戶重新輸入密碼後,更新學習新的面容,但如果面貌特徵不相似的人輸入了密碼,面容ID則不會自動學習。
也有業內人士指出,每一項技術都有利弊。在安全性和便利性上做出完美的平衡才是市場最需要的技術。所以,從這個角度看,任何一項技術都不能單獨承擔起保衛資訊安全的重任,未來各項資訊技術相互融合是必然的趨勢,而臉部識別技術無疑會成為重要的加分項。
第三方應用過度收集數據用戶隱私風險大增
人臉識別技術能否給行業帶來改變?
當前,大數據、雲計算和人工智慧等技術推動移動網際網路中新的應用場景層出不窮,但其背後的隱私和數據保護,已經成為網路平臺和移動終端迫在眉睫的要務。從整體移動終端市場來看,應用領域數據濫用的情況十分突出。第三方應用對於個人資訊過度收集、隱秘收集和誘騙收集的情況日漸增多。
蘋果公司表示,這項技術蘋果公司已研究多年,目前面容ID技術將用於驗證解鎖、支付驗證和第三方應用中,其中的深感技術還可以在增強現實(AR)中使用,有著更廣闊的應用前景。
日前中國信通院泰爾終端實驗室、360網際網路安全中心、DCCI(網際網路第三方研究機構)就移動終端安全問題,發佈了我國首份手機安全生態報告。報告顯示,越來越多的手機暴露在各種系統漏洞、惡意軟體的威脅中,無數惡意軟體、電信詐騙不斷挑戰用戶的安全意識,而各種隱藏的系統漏洞對用戶的手機安全影響巨大。這當中,安卓系統已經成為手機系統安全的重災區。
報告顯示,手機應用中越權和濫用用戶數據的情況十分嚴重。其中,非遊戲類應用在2017年越權獲取“通話記錄”的情況出現較大幅度增長;直播類應用獲取各種隱私許可權增加,越權獲取用戶“位置資訊”“聯繫人資訊”的情況均比前一年高出一倍以上。
蘋果公司相關負責人認為,很多好的技術不斷涌現,但好的體驗並不一定需要犧牲用戶的隱私。
“用戶的數據即使脫敏後,例如將個體數據做了聚合和隨機化處理,傳輸時還是會增加用戶個人數據暴露的風險,”上述負責人説,因此應用一定要考慮平衡用戶的隱私和使用體驗。
保護隱私加強平臺自律
業內人士認為,用戶隱私數據安全挑戰加劇主要出於三方面原因:第一,部分網站、應用和企業通過一份籠統的“用戶協議”或“隱私協議”,獲取和收集用戶個人資訊的授權,導致個人資訊使用的不規範甚至大量泄漏。“市場上還存在出於各種目的蒐集個人資訊的利益鏈條,”獵豹移動安全專家李鐵軍認為,個人隱私資訊“黑産”龐大,亟需加強監管。
第二,用戶本身對保護個人資訊重視程度不足。出於方便的考慮,不少用戶在多處使用簡單重復的賬號和密碼,當一處資訊洩露便導致整體資訊暴露。
第三,法律層面的缺失。當數據如同能源一樣重要時,法律法規的滯後在一定程度上導致了數據安全和隱私保護的缺失。數據所有權、數據交易規則等基礎法律界定仍未明確。例如,個人數據原本屬於用戶本身,但用戶在網路平臺中所産生的數據,如交易數據和行為數據,在經過脫敏後其所有權和使用權歸屬用戶還是平臺,仍未有答案。
隱私保護已經引起了有關部門的高度重視。日前中央網信辦、工信部等四部門聯合對京東商城、攜程網、淘寶網、支付寶、高德地圖、百度地圖、滴滴出行等10款網路産品和服務的隱私條款內容進行評審,結果顯示10款網路産品和服務在隱私政策方面都有不同程度的提升。其中,微信、淘寶網、支付寶、滴滴出行、京東商城五款産品和服務開始提供“一站式”撤回和關閉授權,線上訪問、更正、刪除個人資訊,線上登出賬戶等功能。
中國電子技術標準化研究院副院長楊建軍表示,長期以來網路運營者在提供産品和服務時,普遍存在隱私條款籠統不清,不主動向用戶展示隱私條款,展示內容晦澀冗長,徵求用戶授權同意時存在“所有”打包授權等,擅自擴大範圍收集、使用個人資訊,私自共用、轉讓個人資訊等問題突出。
中央網信辦網路安全協調局局長趙澤良表示,今後要調動更多的企業,對自己的隱私政策主動評估。(記者 郭宇靖)
[責任編輯:葛新燕]