起底人脸信息倒卖产业链:一次丢失,终身危险-冯金伟博客园

  文/唐亚华   编辑   黎明

  来源:燃财经(ID:rancaijing)

  很难想象,有一天,你的人脸信息会被人卖掉,作价 5 毛钱。而这带给你的困扰或许是一生的,除非你去“换脸”。

  如今这一切正在变成现实。近日有报道显示,一些电商平台正以 0.5 元一份出售匹配了身份信息的人脸数据,与此同时,帮助不法分子将照片活化的工具和教程也仅仅售卖 35 元。

  燃财经通过调查,证实了这个黑色产业链的存在。在一些 QQ 群里,3 元钱就能买到用户的详细身份信息和人脸照片。

  相关技术专家指出,单纯的个人照片不构成太大风险,但匹配了身份信息的照片可以做出模拟真人的点头、摇头、眨眼、说话等行为,能实名注册市面上大多数软件,加上验证码破解方式,不法分子在办理网贷、精准诈骗等方面几乎毫无障碍。

  互联网时代,尽管我们获得服务需要让渡一定的个人信息,但不同于一般的账号和手机号,人脸信息属于高度敏感的个人信息,我们可以更改账户密码,但我们能换脸吗?

  也就是说,一旦丢失匹配了身份信息的人脸信息,我们终身将面临安全隐患。那么,如此严重的信息泄露,到底该谁负责?第三方公司在采集、利用、储存、传播中人脸信息时该如何规范,贩卖交易个人信息的中间环节又触犯了哪些法律条款?

  你的脸只值 5 毛钱

  信息裸奔时代,人脸识别都能买卖了。

  近日,一些网络黑产从业者利用电商平台,批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程,“人脸数据 0.5 元一份、修改软件 35 元一套”引起了大众的激辩。

  “我一张脸就值 5 毛?”、“我的支付宝账号瑟瑟发抖”、“凭啥 APP 们要求我们实名,而你们做不到保护我们的隐私?”网友对此表达了强烈不满,甚至有人“有点抗拒互联网大数据了”。

  类似于指纹、虹膜、DNA 可以识别个人生物特征一样,人脸识别也是这样的手段,它是基于人的脸部特征进行身份识别的一种生物识别技术,被认为可以非常便捷地证明“我是我”。

  方便的同时也带来了不小的隐患。与身份信息匹配了的人脸信息可用于注册应用软件、借贷等,利益驱使之下,网络黑产应运而生。

  为了验证传言的真实性,燃财经加入一个名为“人脸技术组团学习群”的 QQ 群,里面充斥着各种“微信解封、代过人脸”、“出售三色人脸技术”、“代注册”等广告。随后记者添加了一位经营人脸信息的群友后,对方声称一份信息售价 3 元,包括人脸和身份信息,并发过来一个支付宝付款码。付款后,对方随即发来一张图片,上面附有女士李 XX 的身份证号、姓名、民族、详细地址和照片。这样的信息他表示还有几十个。

起底人脸信息倒卖产业链:一次丢失,终身危险-冯金伟博客园
卖家出售的人脸信息 3 元一份

起底人脸信息倒卖产业链:一次丢失,终身危险-冯金伟博客园
卖家出售的身份信息

  同时,他还出售三色人脸技术,即人脸活化技术,对方向燃财经展示了照片活化前后对比图片,“888 元教技术外带虚拟视频机刷包”。

起底人脸信息倒卖产业链:一次丢失,终身危险-冯金伟博客园
卖家展示的人脸活化技术

  前不久媒体曝光的黑产从业者更是在淘宝、闲鱼上以人脸数据 0.5 元一份、“照片活化”网络工具及教程 35 元一套在售卖,“要的话五毛一张打包带走,总共两万套,不议价。”有卖家透露,自己所售卖的人脸信息来自一些网贷和招聘平台。

  “照片活化”工具可将人脸照片修改为执行“眨眨眼、张张嘴、点点头”等操作的人脸验证视频。也就是说,不法分子拿到公民的照片和身份信息后,利用“照片活化”工具就可以执行摇头、点头、眨眼等动作,由此来骗过一些人脸识别验证方式。

  人脸识别这个曾经被认为安全的个人信息验证方式,正遭遇严重的质疑。

  人脸信息丢失,后果多严重?

  首先我们来了解一下,哪些地方正在搜集人脸信息?这些信息究竟是从哪些渠道泄露的?泄露之后又有多大的风险?

  NETSTARS CTO 陈斌告诉燃财经,以前有刷脸支付、门禁、手机应用软件,今年因为疫情,一些测体温的设备也在采集人脸数据,“从技术上来看,采集人脸信息很简单,只要有摄像头就可以不间断采集。”

  他指出,第三方平台采集到数据有两种泄露的可能性:一种是黑客技术入侵数据库,把库里的信息拷贝盗走,很多公司都不知道自己的数据库泄露了;另一种是公司内部有人拿数据出去倒卖交易。

  事实上,如果第三方只有人脸信息,用处不太大,但如果匹配了身份证信息,危害就非常大,这中间的难点在于跟身份信息关联。

  至于怎么匹配个人信息,“第一种是通过支付软件,上面可能本来就有了个人信息,再加上人脸信息,就能匹配;第二种是一些园区、旅游景点,刷身份证进入,就有了数据库;第三种是不少金融服务公司会拿客户的信息去查询比对权威部门的数据库,对比完以后,有的公司会把信息储存下来,存在泄露的可能。”陈斌分析。

  再加上,现在不法分子也可以操作手机号验证码,信息的全面汇集,让形势更加严峻。陈斌提到,目前有技术可以操作伪基站,也就是说,不法分子可以做一个假的移动或联通基站,向对应的手机号发验证码他们就能收到。

  也就是说,“照片活化”技术可以通过照片作出摇头、点头、眨眼、吐舌头等动作,“甚至配合说一句话都没有难度,可以用语音操作”,再加上手机号验证码的操作空间,不法分子一旦有了身份证信息和照片,冒用别人的身份去办理网贷、注册软件或网站、解锁支付软件、精准诈骗等,可以无障碍做很多不法的事情。

  “不同于一般的账号、手机号,人就一张脸,人脸信息被盗取只能去整容换脸了,否则被盗取了经匹配的人脸信息后,你每天出门就相当于脑门上顶着信用卡在走路,是很危险的。”陈斌说。

起底人脸信息倒卖产业链:一次丢失,终身危险-冯金伟博客园
来源 / 视觉中国

  真实的案例已经发生在现实生活中。

  2019 年,深圳龙岗警方发现有辖区居民的身份信息被人冒用,其驾驶证被不法分子通过网络服务平台冒用扣分。另外,龙岗警方还侦查发现,有不法分子使用 AI 换脸技术,绕开多个社交服务平台或系统的人脸认证机制,为违法犯罪团伙提供虚假注册、刷脸支付等黑产服务。龙岗警方在广东、河南、山东等地已抓获涉案犯罪嫌疑人 13 名。

  2019 年 11 月,浙江省江山市人民法院对一起侵犯公民个人信息案件作出判决,案件缘由是,支付宝推广政策中有一条是当老用户介绍新用户来注册支付宝,老用户可以获得 28 元推广奖金,有一个诈骗团队搜集了数千人的照片信息,利用这些照片制作可以动的 3D 视频注册支付宝账号赚钱,共注册成功数千个账号,非法获利共计 30324 元。

  对此,支付宝回应媒体称,2018 年,支付宝安全系统监测到部分用人脸识别进行身份认证开通账户行为异常,及时上报警方,并且升级人脸识别身份认证的防攻击技术。

  据悉,犯罪嫌疑人利用非法获取的公民照片进行一定预处理,而后通过“照片活化”软件生成动态视频,骗过人脸核验机制。随后,通过网上批量购买的私人社交平台账号登录各网络服务平台注册会员或进行实名认证。

  所以,人脸信息和身份信息丢失最危险的后果是全民都需要“换脸”,这是一件一次丢失,终身都有危险的事情。

  谁该为人脸信息泄露负责?

  一直以来,人脸识别不仅意味着个人和部分场所更高级别的安全防控,也曾是公安在茫茫人海识别抓获罪犯的好帮手,人脸识别技术作为一种创新事物,备受各行各业青睐。

  然而,不可避免的是,技术跑在监管前面,风险也如影随形。

  从技术上来看,陈斌认为:“这样的情形其实是技术不够先进造成的安全隐患,因为目前的人脸识别技术不是活体识别,它识别的是面部的物理特征数据,比如眼睛之间的距离,鼻子到眼球的距离,鼻子到嘴的距离等,这和真人的识别差别很大。其实就是人脸识别技术还不够完善,不法分子才有空子可以钻。如果技术能区分活体和照片、视频,那就不一样了,未来可能随着技术进步能解决这个问题,但是目前的情形还很值得忧虑。”

起底人脸信息倒卖产业链:一次丢失,终身危险-冯金伟博客园
来源 / 视觉中国

  那么,从人脸信息的采集、储存、传播到再利用,中间哪些环节该为信息泄露负责?

  中国政法大学传播法中心研究员朱巍从法律角度给出了解释,个人信息保护法见于《网络安全法》《刑法》第二百五十三条、即将生效的《民法典》第一千零三十八条,以及全国人大发布的《加强网络信息保护的决定》等。

  “这种出售人脸信息黑产,主要是用作精准诈骗或刑事犯罪的,按照刑事法律的规定,明知道是用作犯罪依旧出售的,属于典型的侵犯公民个人信息犯罪,一般出售 50 条就构成刑事犯罪了。”朱巍表示。

  北京至普律师事务所合伙人李圣也指出,无论是依据《消费者权益保护法》第十四条规定消费者享有个人信息依法得到保护的权利,还是依据《电子商务法》第五条电子商务经营者有个人信息保护的义务,以及即将实施的《民法典》第 111 条,对于个人信息保护也作出了明确的约束,任何组织或者个人不得非法收集、使用、传输他人个人信息,不得非法提供或者公开他人个人信息。随意买卖人脸信息明显违法,不仅构成民事侵权,也违反了《治安管理处罚法》,可处拘留或罚款。严重的涉嫌侵犯公民个人信息罪,应受刑事处罚。

  陈斌认为,如今的人脸识别行业监管还不到位,针对采集人脸信息的公司没有规范的管理办法,比如哪些公司可以采集、什么用途、保存多久、谁可以看、要不要加密、什么样的清晰度,这些应该有一些法律规范,目前行业比较混乱。

  “不过互联网发展向来就比法律规范更快,监管如果太快了所有的技术创新都被杀死了,太慢了用户的信息安全存在隐患,要寻找一个平衡点。”陈斌表示。

  对于普通用户来说,别轻易贪便宜,要求刷脸注册,填写身份证号等个人信息的应用软件、公司、网站等都要高度提防。专家提醒,举着身份证拍照是最害人的,因为既有身份证又有人脸信息,一定要尽量避免提供这样的信息。

  “事实上,在合适的规范之下发展人脸识别技术是应该的,人类总要进步,要探索在合适的方式下发展,怕的是不成熟的技术广泛应用。如果真的能识别活体,这个问题一定程度上也可以得到解决。”陈斌说。

  个人之外,企业也该加强技术管控和审核力度,选择多重验证方式,不能仅仅看外部特征。

  “你还要脸吗?”一句日常俗语,道出了人脸的特殊性。不管是物理上,还是道德上,每个人只有一张脸,它关乎个人安全的方方面面,值得所有人警惕。