刷脸进小区攻防战

当刷脸进小区成为现实,居民是否可以选择不刷?更令人担忧的是,人脸等个人生物识别信息是否安全,有无被泄露风险。

“不少朋友说胜诉了,我自己则表示不服。”

浙江理工大学特聘副教授郭兵在朋友圈转发了国内人脸识别第一案宣判的结果,作为这起案件主诉人,庭审当天其并未到庭。

11月20日,杭州富阳区人民法院判决动物园赔偿郭兵合同利益损失及交通费1038元,删除郭兵办理年卡时提交的照片等面部特征信息,郭兵的其他诉讼请求被法院驳回。

庭审当天下午,郭兵利用学校课间休息时间组织学生观看了庭审直播,同学们在学校多媒体教室静静地收看电视屏幕上的法庭直播,主诉人就是他们的老师,这是一堂最为直观的法律实践课。当天晚上的研究生网络安全法课程,郭兵也恰逢其时地对照本人的案例跟学生讨论生物识别信息保护话题。

不知是否巧合,人脸识别信息保护的话题开始持续发酵。济南一则戴头盔看房的小视频在网上流传,房产商暗中设置人脸识别,有购房者为避免人脸信息泄露戴着头盔看房。

这两天,还有网友爆料,湖北广水一个94岁的老奶奶行动不便,为了激活社保卡,被抱起进行人脸识别。视频中,老奶奶年岁已高,行动不便,她的亲人将佝偻着身躯的老人拖起来,膝盖弯曲着,勉强进行人脸识别,看起来十分吃力。

“当没得选择时,便利从何谈起······”看过这段视频后,郭兵辛酸又无奈地感慨道。在人脸识别技术应用潮水般的冲击下,很多人变得无所适从,这些打着“智慧城市”“平安城市”旗帜,以及互联网+安防、大数据+安防、AI+安防口号的新技术、新应用已突人人们日常生活的每个角落,作为国内“人脸识别第一案”的当事人,郭兵的抵抗和呼吁显得有些吃力。

他所在的杭州,不少城市居民憩息的住所,也安装了人脸识别信息门禁。好在经过郭兵等人的力争,10月底,杭州市人民政府提交市人大审议的《杭州市物业管理条例(修订草案)》有了变化,修订草案新增第六条规定,不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权。

不出意外的话,已经进入征求意见阶段的这一条例有望在年底前通过。

准入门槛低

数字化转型正成为郭兵所在城市的新标签,从金融支付,到工作场所考勤、会议签到、机场安检、远程认证和娱乐应用,大数据和人工智能技术在日常生活中已无处不在。

在移动平板电脑(如Android平板)上,安装一个搭载了人脸识别软件开发工具包的应用,便构成了一套最为带见的人脸识别系统。人脸识别系统服务商、杭州数字裂变科技公司的一位客户经理表示,人脸识别系统的核心在于软件系统,即算法数据技术,不同的公司开发的算法技术都不同,系统其他硬件设施如人脸识别面板机、电脑、网络、路由器等硬件投入大同小异。

“一套人脸识别系统软硬件加起来不过1700元钱,一个小区大门装一台非常划算。”另一家科技公司的商务代表陈先生表示,他们公司的人脸检测技术支持强光、弱光、黑夜、背光等多种复杂环境,并且可检测出正脸、侧脸等多种角度人脸的位置。相比传统的IC卡方式,刷脸通行更快,刷脸开门识别准确率平均达99%以上,能有效提升社区通行效率和安全性。

image.png

有业内人士表示,现在市场上人脸识别技术系统行业进入门槛低,投入成本也不大。市而上所见的多数人脸识别系统是技术开发、APP运营商、终端设备各自为营。技术开发公司只提供算法以及算法优化,终端只做配置。

市场售价方面也相差迥异,单纯做算法的公司只提供软件服务包,其服务包授权大概是每套200~1000元不等,价格的高低决定算法技术的精密程度。在市场竞争较激烈的情况下,有公司会出现低价倾销,甚至出现算法完全免费的情况。

价格低廉和免费不一定是好事。商沥科技公司的一位软件开发工程师透露,人脸识别数据系统工作设置原理第一步是拍摄图像、人脸注册,随后引擎初始化,对人脸检测,进行特征提取保存,算法精密的软件提供的是全角度的人脸特征值的提取,以及随后的信息比对,这样精确度可以达到98%以上。而市场上一些低端产品的算法比较简单,储存图像帧数很少,易被攻击,存在较大的安全隐患。

最为关键的是,人脸识别技术系统作为新兴的智能安防科技行业,并没有准入门槛也无统一的行业技术标准,鱼龙混杂,各自为战,像做人脸识别技术开发较早的商汤科技、海康威视、大华等公司几乎占据了安防市场的大半份额,但众多小型科技公司借助城镇化发展和智慧城市推进等政策东风,也能赚得盆满钵满。

事实上,人脸识别系统作为安防技术新宠成为一些城市高端小区的标配。龙湖物业合肥公司张小姐告诉记者,龙湖地产下属小区大多会配备人脸识别系统,在整个合肥地区来说,配备人脸识别的小区也不超过10家。她表示,人脸识别系统对业主来说挺方便的,没带门禁卡的话可以直接刷脸进,小区要录入脸的话得去前台登记,只有业主、租户、物业可以录入。

刷脸进小区

人脸识别技术在杭州更是发展迅猛,很多老旧小区也都在街道和物业的推动下统一装上了门禁人脸识别系统。

拱墅区小河街道潘女士所居住的小区新近也安装了人脸识别门禁,潘女士说:“刷脸确实挺方便的,忘带门禁卡或手上提着东西的话可以直接刷脸进,而且给人感觉很高级。”她有时看到,进入小区人多的时候机器反应有点慢,有时不是本小区的人进入小区,只需门岗保安代刷人脸进去即可,刷脸系统更像是摆设。

潘女士不知道的是,杭州是全国第一个实现“全市入脸讽别比对系统数据联网”的城市,目前杭州全市重点公共区域的视频监控覆盖率、高清率,以及重点行业、领域涉及公共区域的视频监控覆盖率,均已达到100%。

而国内人脸识别技术应用的发端可能也始于杭州的G20峰会的安保筹备阶段,杭州就寻求与海康威视、大华科技等几家国内的安防监控巨头企业合作,利用视频智能化产品提升社会防控水平。

“当时面临着识别率不够高、采集质量不够好、成本偏高、缺乏标准、数据缺乏深度挖掘等各项挑战。”杭州市公安局科技化信息局一位官员撰文称,为确保安保工作中视频图像的绝对稳定,达到灵活便捷操控的目标,政府对原有视频监控应用平台进行了全面改造升级,当时人脸识别应用平台主要包括:视频监控、车辆卡口人脸比对监控。

2017年是人脸识别技术在公共安全管理领域爆发的关键一年,随着人脸比对算法的不断突破,浙江涌现出了一批较为成熟的人脸比对技术企业,杭州市牢牢把握技术发展的脉搏,市区多个单位和分县通过测试、试点等方式进行了人像比对系统的应用,其中,成效最为突出的是在地铁公安分局进行的试点应用,实现了对重点人员的高效管控。

彼时,中国安防产业正处于第四个十年快速发展时期,各类资本群雄竞逐,跑马圈地。

人睑识别被滥用的隐患

在今年杭州市举行的一个由较高级别官员参加的智慧工程现场会上,与会专家提出,对人脸比对应用系统已基本全覆盖、全景化应用的杭州来说,人脸比对系统的下个场景应用无疑就是进入“刷脸进小区”时代。

但颇有阅历的杭州小河街道潘女士对刷脸门禁系统也有点担心,物业对住户的隐私保护做得好不好?在人脸识别系统中,类似潘女士这样的民众比较普遍,大多关心的是小区刷脸系统的信息安全问题,尤其是关于个人信息安全问题。

小区的人脸数据信息到底存储在哪里呢?有人说刷脸系统中大量识别数据都被存储在运营商或技术提供方的中心化数据库中。但数据是否脱敏,安全是否到位,哪些用于算法训练,哪些会被运营商分享,业主都不得而知。

杭州一家人脸识别系统服务经理说,公众的担心不无道理,以他们了解的情况来看,大多数刷脸系统的数据被存储在云端,如果觉得云端保存不太安全,服务商也可提供私有化部署,即提供一台服务器,把所有业主信息存储在电脑里,这样业主的数据信息所有权就归物业所管。

但把人脸这一重要隐私数据交给人来人往的物业公司保管是否安全也值得商榷。

身为法学博士的郭兵极不赞成人脸识别系统在公众场所的滥用和小区物业的强推。郭兵此前对媒体表示,近年来,业主个人信息泄露事件频发,在各地警方通报的侵犯公民个人信息刑事案件中,物业服务人员往往是个人信息的主要泄露源头。近两年来,围绕业主委员会、物业强制安装人脸识别门禁设备的争议也持续不断。

image.png

近日由全国信息安全标准化技术委员会等机构成立的APP专项治理工作组,发布了一份《人脸识别应用公众调研报告(2020)》,报告显示有九成人使用过刷脸APP,有六成受访者认为人脸识别有滥用趋势,有三成受访者已经受到人脸信息泄露带来的隐私或财产损失。

信息泄露除了后端服务器人员管理疏忽外,深圳一家人脸识别技术服务商的一位工程师透露,还有技术攻击手段非法获取。

该工程师透露,针对市面上的人脸识别系统,一些黑客和不法之徒可用照片和屏幕类翻拍对系统进行攻击。照片包括打印纸张翻拍,手机、电视、显示器、投影屏幕翻拍,裁剪照片以及100多种纸张类型的攻击。还有可以通过手持含有眨眼、头部运动、面部表情等活体信息的视频,3D人脸合成欺骗等50多种屏幕类型的攻击,以此完成人脸采集和特征值提取,迸行不法目的交易。

立法需逐步完善

刷脸时代走人千家万户,与其方便快捷有着密不可分的关系。有关专家表示,信息安全的保障就需要人脸识别技术的升级,升级主要包括两个部分,一个是优化算法,二是优化训练。同时需要完善的法律法规对全行业有着更明确的规范,不能APP运营商和技术开发商各自为营,成为数据安全孤岛。

北京安防行业协会一位专家告诉记者,国外视频监控系统的建设过程中多会采用专业第三方咨询服务公司负责项目的质量监管与服务保障,避免建设方由于专业水平与能力方面的缺失造成项目管控的失控。

“国外,特别是北美在视频监控建设和运营方面,主要有以下几大经验值得借鉴:第一,视频监控系统工程建设、运营已经逐渐发展为大型专业公司一体化服务,并由政府采购相应的服务作为城市公共安全管理支撑,减少政府财政对初期建设、运行管理和专业人员队伍的投入。第二,大力培养社会居民对安全服务的需求,形成社会化的视频及报警监控服务市场。”

在国家层面,中国也已出台多部法律法规加强对个人信息的保护。2020年10月1日正式实施的《信息安全技术个人信息安全规范》(以下简称《规范》)则进一步明确了关于收集、储存个人生物识别信息的要求。

根据《觌范》,“在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。”

对于生物识别信息的存储,“规范”给出了具体的解决措施,“个人生物识别信息要与个人身份信息分开存储;原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:仅存储个人生物识别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等。”

10月21日,《个人信息保护法(草案)》(以下简称《草案》)在中国人大网公布,开始向社会征求意见。草案也就相关问题作出回应。

根据草案第二十七条规定,“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。”

“以目前立法修法进展来看,法律条款上对个人隐私权和个人信息保护的适用范围和具体指向还不够细化,有待后续各方磨合,或在社会实际场录中改进和完善。”郭兵表示。

5
凤凰周刊