“要的話五毛一張打包帶走,總共兩萬套,不議價。”一位賣家用微信語音對記者説。他還發來兩套手持身份證的人臉照片截圖。
記者近日調查發現,一些網路黑産從業者利用電商平臺,批量倒賣非法獲取的人臉等身份資訊和“照片活化”網路工具及教程。專家提醒,這些人臉資訊有可能被用於虛假註冊、電信網路詐騙等違法犯罪活動。
倒賣的人臉數據拿來做什麼
在淘寶、閒魚等網路交易平臺上,通過搜索特定關鍵詞,就能找到專門出售人臉數據和“照片活化”工具的店舖。
“如果只是採集個人的人臉資訊,比如在馬路上你被人拍了照,但是沒有獲得你的其他身份資訊,隱私洩露風險並不大。”中國電子技術標準化研究院信安中心測評實驗室副主任何延哲説,問題在於,當前網路黑市中售賣的人臉資訊並非單純的“人臉照片”,而是包含公民個人身份資訊(包括身份證號、銀行卡號、手機號等)的一系列敏感數據。
一位倒賣“人臉視頻工具箱”並聲稱可以“包教會”的賣家告訴記者,只要學會熟練使用“工具箱”,不僅可以利用這些人臉數據幫他人解封微信和支付寶的凍結賬號,還能繞過知名婚戀交友平臺及手機卡實名認證的人臉識別機制。這位賣家還給記者傳來了幫一些“客戶”成功解封凍結賬號的截圖。
“從技術角度看,將人臉資訊和身份資訊相關聯後,利用系統漏洞‘騙過’部分平臺的人臉識別機制是有可能的。”人臉識別技術專家、廈門瑞為資訊技術有限公司研究中心總監賈寶芝博士認為,儘管一些金融平臺在大額轉賬時需要多重身份認證,但“道高一尺魔高一丈”,網路黑産技術手段也在不斷更新,絕不能因此忽視賬戶安全。
何延哲向記者舉例:如果人臉資訊和其他身份資訊相匹配,可能會被不法分子用以盜取網路社交平臺賬號或竊取金融賬戶內財産;如果人臉資訊和行蹤資訊相匹配,可能會被不法分子用於精準詐騙、敲詐勒索等違法犯罪活動。
這些包含人臉資訊和其他身份資訊的數據從何而來?有賣家向記者透露,自己所售賣的人臉資訊來自一些網貸和招聘平臺;至於如何從這些平台中獲取此類資訊,對方沒有作答。
劃定人臉識別技術使用紅線
近年來,人臉識別技術被用於金融支付、小區安防、政務服務等諸多場景,既提高了便利性,也通過數據交互在一定程度上增強了安全性。
但是,人臉數據如果發生洩露或被不法分子非法獲取,就有可能被用於違法犯罪活動,對此應保持警惕。
去年8月,深圳龍崗警方發現有轄區居民的身份資訊被人冒用,其駕駛證被不法分子通過網路服務平臺冒用扣分。
在開展“凈網2020”行動中,龍崗警方經多方偵查發現,有不法分子使用AI換臉技術,繞開多個社交服務平臺或系統的人臉認證機制,為違法犯罪團夥提供虛假註冊、刷臉支付等黑産服務。截至目前,龍崗警方在廣東、河南、山東等地已抓獲涉案犯罪嫌疑人13名。
據警方介紹,在上述案件中,犯罪嫌疑人利用非法獲取的公民照片進行一定預處理,而後通過“照片活化”軟體生成動態視頻,騙過人臉核驗機制。隨後,通過網上批量購買的私人社交平臺賬號登錄各網路服務平臺註冊會員或進行實名認證。
人臉資訊關係到每個人的生命財産安全。業內專家認為,對倒賣人臉資訊的黑色産業鏈必須予以嚴厲打擊,立法機關需統籌考慮技術發展與資訊安全,劃定人臉識別技術的使用紅線;監管部門也應對惡意洩露他人人臉和身份資訊的違法行為予以堅決制止。
明年將施行的民法典,對自然人個人資訊的範疇進行了專門説明,生物識別資訊被納入其中。中國資訊安全研究院副院長左曉棟認為,除民法典外,正在制定的個人資訊保護法和數據安全法也應對人臉等生物特徵資訊的保護作出安排;立法要充分考慮人臉這一特殊身份資訊的可獲得性,不能讓制定出來的法律因執行難而流於形式。
北京師範大學網路法治國際中心執行主任吳沈括認為,網路平臺對平臺上的交易行為負有監管義務,應嚴謹審核賣家資質,對平臺內經營者的合規情況進行監控、記錄,不應允許發佈任何侵犯他人人身財産權利或法律法規禁止的物項。
賈寶芝建議,相關平臺在制定人臉識別安全規範的過程中,要強調“人臉數據等生物特徵資訊”與“其他身份資訊”實行完全隔離存儲,避免將人臉數據與身份資訊相關聯後發生批量化洩露。
對於曾經上傳過清晰手持身份證照片或同時上傳人臉照片並填寫身份證、銀行卡資訊的用戶,專家建議,應在開啟人臉驗證的同時,盡可能選擇多重驗證方式,減輕單重人臉驗證風險。
(責任編輯:解絢)