查看原文
其他

“人脸识别黑产调查”告诉你:如何保护自己的脸?

xjbcmyj 新京报传媒研究 2021-09-02



“刷脸时代”来临后,如何厘定技术与伦理的边界,怎样去保护我们的脸,成了亟待解决的问题。4月13日,新京报推出《人脸识别黑产调查》专题报道,调查人脸识别黑产,并探讨解读如何让个人信息在发挥价值的同时又不被非法获取或利用,如何明晰人脸识别技术的应用边界,如何通过立法和监管更有效地保护我们的脸,让我们不再为“颜面何存”而忧等问题。

△点击图片可查看专题

人脸识别黑产调查:真人认证视频百元一套

“100元一套,包含身份证正反面照片、手持身份证照片和点头、摇头张嘴视频。”在部分社交平台和网站上,不少卖家将人脸识别视频明码标价,还打包票称所售验证视频,能通过大多数App平台验证流程。
3月30日至4月5日,新京报记者调查发现,这种地下黑产交易大多藏匿在QQ群中和境外网站中,其中QQ群名称多包含“过脸”“识别技术”等关键词,从而方便买家检索到相关信息。
在App平台人脸验证黑产中,百元一套的验证视频属于“价高质优”产品,因为使用了真人录制的动态验证视频,验证通过率较高,还有一种低廉的人脸认证方式,即使用动态软件将人脸照片制作成“动态视频”,配合“外挂”软件进行验证。
“低廉的一套只要几元钱,需求量大的话甚至可以低至0.5元一套。”一名卖家表示,人脸动态验证的成功率,主要取决于照片动态化处理的细致程度,但真人录的视频肯定可以100%通过。
对于人脸识别信息买卖,北京云嘉律师事务所律师赵占领表示,据《民法典》规定公民对个人信息享有民事权利,未经本人同意非法收集买卖他人信息会构成民事侵权。人的脸部特征信息是能够直接识别特定自然人的真实身份的信息,属于个人信息范畴,如果未经用户同意买卖个人信息涉嫌违法犯罪。

“与时俱进”的黑产买卖

张女士在注册微博进行人脸验证时,被提示自己的身份证信息已经被注册过,但此前她并未下载和使用过微博。

张女士咨询微博客服了解到,若扫脸注册微博时提示“该身份证已经绑定其他账号”或“身份证使用次数超限”,是由于身份证已经绑定其他账号。目前,一个身份证号可以绑定2个微博账号,当身份证号绑定账号数量达到上限时,就无法再使用当前身份证号进行验证。

“肯定是我的信息被泄露了。”张女士称,她平时还算比较注重个人信息保护的,身份证除了上学入职、办银行卡、办电话卡、住酒店、买车票用过,其他地方就没有使用过了。

张女士的遭遇并非唯一,多名网友曾发帖称自己在注册微博、QQ、公众号等,发现个人身份信息被盗用。

随着个人信息被冒用数量的增多,网络相关的反馈和投诉也随之增多,随之而来的是各大App平台的安全验证升级,以动态人脸识别作为安全验证方式。在App平台安全验证升级迭代中,这条黑色产业链的从业者也在利用漏洞,“专研”其如何破解这一“困局”。这条伴随着互联网实名制发展而兴起的黑产利益链,也从最初单纯收集贩卖姓名、身份证号,升级到了收集贩卖手持身份证照片、人脸视频和照片动态处理软件。

一名在暗网中贩卖个人信息的黑产卖家介绍,身份证正反面照片、手持身份证照片和人脸点头、摇头视频,一套100元,量大的话可以优惠;如果一次性购买100套,价格可压低到10元一套,“如果数量少真的便宜不了,我们收集这些信息的成本也高”。

接着,对方发来两段别人录制的张嘴、眨眼、点头、摇头视频,称“这些是真人录制的视频,验证大部分App都没问题,比照片处理的动态视频通过率高”。

△在一个1700余人的QQ群中,每天都有新人加入,购买人脸识别验证技术。截图


真人验证视频多来自“网络兼职”

多名黑产卖家称,他们开发包括借贷、走路赚钱等App,其售卖的这些信息便来自于用户下载注册这些App时所采集的,“这些人大多是工厂工人,还有一些网络兼职人员。”

但这些网络刷单兼职人员,并不知道自己在做一些App认证的单子时,会泄露隐私。

来自山西的白女士告诉新京报记者,她从半年前开始做一些刷单等网络兼职,有时候刷单量有限,她就会做一些App认证的单子。

白女士表示,这些单子需要扫描对方提供的二维码下载App然后进行实名认证,实名认证的过程大多数会让上传身份证正反面照片、进行人脸识别,之后才算注册成功。一个单子大概5元-15元不等,有的认证要求复杂的价格会高一点。

在兼职刷单中,有的只需要上传姓名和身份证号,这样的每单3元,需要进行人脸识别的价格可能会到十几块钱。白女士说,有的App在进行人脸认证的时候,眨眼摇头幅度大一点,或者人脸离得近一点,会比较好通过。

“没想到过会有人用这种方式收集个人信息,也从来没有听说过会有人收集人脸识别的动态视频。”白女士称,自己刚开始接这种App注册的单子时,遇到身份和人脸信息验证时有过犹豫,但是后来觉得群里大家都在接单,也没听人说出现什么问题,也就开始这样做了。

兼职刷单认证造成的数据泄露,应算是少数。曾有媒体报道,有80%的个人信息数据泄露,都是企业内部员工所为。

不少黑产商贩也认可这个说法。有商贩透露,如今市面上流通的手持身份证照片大多是在小额贷款平台和公司野蛮发展期间泄露出来的,还有部分是从各行业收集而来的,这种信息交易和使用一般情况下不会被人发现,“当时很多人借钱不还,平台就把这些信息拿出来卖钱了,刚开始挺贵的,现在层层转卖就便宜了”。

除此之外,如今日常使用App、进出店铺等场合均需要进行人脸信息识别和采集,还有人员以人脸识别技术开发和系统测试为名开展信息采集。

在网络中,新京报记者留意到有人发布招聘信息采集员的信息,工作内容为到乡村采集身份证、人脸信息,可以将食用油、锅等商品作为礼品赠送。

△一名黑产商家售卖的人脸识别验证资料包,包括软件及教程。截图


黑产圈的“四件套”

相比真人视频录制,将照片中的人脸通过软件进行动态化处理形成验证视频,成本更低。

3月31日,新京报记者通过QQ群按条件查找,在搜索框中输入“过脸”“识别技术”等关键词,便会出现众多相关QQ群。记者随机加入6个QQ群发现,这些群内的成员从100余人到1700余人不等,并且不时有新的成员加入。

△在QQ群中,搜索关键词“脸识别”,便出现众多黑产买卖的群。截图

QQ群中,不时有人发布出售微信号、售卖换脸软件的信息,同时还有人在咨询如何将照片中的人物进行动态化处理,并通过人脸识别验证。

此外,在新京报记者以需要购买人脸认证技术和软件的身份加入群后,3个小时内便有多名黑产信息贩卖者添加记者好友,了解需求。

这些黑产卖家表示,他们售卖照片抠图、动态化处理等软件,使照片中的人物张嘴、眨眼、左右摇头和上下点头。之后,通过特定手机开“外挂”进行人脸识别,“我们一般用于验证微信、QQ、陌陌多一些,其他软件也都可以人脸验证。”

3月31日,一名从事黑产买卖的商户在其QQ空间发布消息称,由于微信安全验证升级,暂时已无法通过人脸识别验证,自己正在研究办法。4月3日,这名商户表示已经攻克新的安全验证,可以接单。

此外,这些商户还售卖身份证正反照片、手持身份证照片以及带有人脸的照片,在黑产圈俗称为“四件套”,每套价格在0.5元至3元不等。

当被问起这些证件照片的来源,商户在聊天过程中便开始谨慎起来。最后新京报记者表示对四件套信息有大量需求的情况下,一名卖家表示有人专门负责收集,自己也是从别人那里买来再卖的。

△黑产卖家售卖的个人信息,包括身份证号及照片等。截图


开“外挂”软件进行人脸识别

无论是真人录制视频还是照片动态化处理,在完成App人脸动态验证的重要工具就是手机和外挂软件。

新京报记者通过向黑产卖家询问得知,从二手交易平台上花费200余元就可以买来某品牌二手R9手机,然后将刷机包植入到手机中。

部分App平台在人脸识别验证过程中,屏幕会变成红、黄、蓝三种颜色,以此验证脸部的亮光,但使用相关外挂软件,也可以完成验证。

“给手机刷机的目的就是获得手机操作的更多权限。”对于照片动态处理后通过人脸识别验证的原理,有两名黑产卖家表示,当App需要通过摄像头进行人脸验证时,用手遮挡摄像头,手机“外挂”就会启动,通过修改相关数据和设置,将提前做好的动态人脸视频导入到App中,便完成认证。

“真人录的视频通过率肯定高,照片处理的话要看天赋,不能保证你每一次验证都能通过,要看你制作的人脸动态视频是否细致。如果第一次验证失败,就多验证几次,后面可能就会通过。”一名黑产卖家表示,盗用他人信息进行App账号注册和验证属于违法行为,且国家打击力度较大,所以自己只卖软件和教学,并不会直接操作。

按照这名黑产卖家的提示,新京报记者花费500余元购买了一部安卓手机和一套动态处理软件及教学,黑产卖家附送30套身份证正反面照片和手持身份证照片。

在实际体验过程,按照黑产卖家的说法,使用刷过机的某品牌R9手机,将处理后的人脸动态视频保存在这部手机上,并打开App进行用物品遮挡摄像头,使摄像头处于黑屏状态,便可顺利通过安全验证。

新京报记者使用该方法,在探探及智联招聘等平台上,都通过了人脸识别。

探探客服工作人员向新京报记者表示,如果发现个人身份信息被盗用认证,只能用户发现后向平台反映,之后用户需要向平台提供本人的身份信息进行审核,审核通过后平台会对已经认证账号进行封禁处理。对于探探平台人脸识别认证漏洞问题,他们将会把情况向上进行反馈。

智联招聘、陌陌等平台的客服人员均表示,对虚假的人脸识别目前没有很好的应对措施,之后会对该情况反馈处理。

△一名黑产商贩售卖真人人脸识别视频,喊价150元一套。截图


律师:私自贩卖人脸信息属于违法行为

个人信息贩卖后被非法使用的案例并不少。

在中国裁判文书网上,一起关于人脸识别验证的刑事判决书显示,从2018年7月份开始,被告人张某、余某等人以牟利为目的,使用其购买的公民个人身份信息注册支付宝账号,并使用软件将公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证。

通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励(包括邀请新人红包、通用消费红包、花呗红包等),而每个新注册支付宝至少可以获取28元收益。截至案发,该团伙非法收集近2000万条公民身份信息,共使用他人公民个人身份信息注册成功至少547个通过人脸识别认证的实名支付宝账户,获利4万元。

北京云嘉律师事务所律师赵占领表示,人的脸部特征信息是能够直接识别特定自然人的真实身份的信息,属于个人信息范畴,如果未经用户同意买卖个人信息是违法行为甚至是犯罪行为。

据《民法典》规定,公民对个人信息享有民事权利,未经本人同意非法收集买卖他人信息会构成民事侵权。另外《刑法修正案(九)》规定了侵犯公民个人信息罪。买卖高度敏感的个人信息达到一定数量,符合司法两高的司法解释中所规定的立案标准的行为就涉嫌刑事犯罪。在这个过程中,无论买方还是卖方都涉嫌构成侵犯公民个人信息罪。

自然人的个人信息被他人非法买卖之后,用于一些违法甚至犯罪行为,那么他对此并不承担法律责任。但需要举证去证明个人信息是被他人非法获取并盗用的。个人信息方面的刑事案件比较多,公安机关每年都会抓获大量侵犯公民个人信息的犯罪嫌疑人。


如何保护我们的脸?

如何让个人信息在发挥价值的同时又不被非法获取或利用,如何明晰人脸识别技术的应用边界,如何通过立法和监管更有效地保护我们的脸,让我们不再为“颜面何存”而忧……这些都是亟须关注和解决的问题。

《民法典》提出合法、正当、必要三原则

大数据时代,个人信息被誉为“新时代的石油”。而人脸信息是高度敏感的个人信息,人脸识别技术就是基于人的脸部特征信息及其不可更改的特性进行身份核验的一种生物识别技术。这一技术还具有无接触、交互性强、高效迅速、符合人类识别习惯等优势。

当前,人脸识别技术愈加成熟,应用场景逐渐广泛,成本也在不断降低,一个个本具生命体征的人便转化成了一串串代码,面临着被替代、被冒用的风险。

中国社科院大学互联网法治研究中心执行主任刘晓春指出,个人信息泄露的风险是不容忽视的。人脸识别技术在现阶段并不算成熟,很多人脸采集的主体没有严格的安全措施要求和技术测试,有时使用照片或者一段视频就可以被识别,存在密码泄露、账户盗用的风险。

今年3月,清华大学教授劳东燕就在园区门禁问题上绷紧了谨慎的弦,因她所居住的小区实施安装人脸识别门禁计划,她特地写了法律函寄到物业公司和居委会以引起他们对“人脸识别潜在风险”的注意。最终,小区在“刷脸”进出方式之外,增加了刷门禁卡、手机等方式。

此前,关于保护个人信息的专门立法一直未出台,以至于“强制刷脸是否合规合法”的问题步入到相对尴尬的境地之中,于今年实现落地的《民法典》在一定程度上填补了这一领域的空白。

一方面,它规定了个人信息的处理原则和条件。要求处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。另一方面,它也明确了个人信息主体的权利,即自然人可以向信息处理者查阅或者复制其个人信息,有权提出异议并请求及时采取更正等必要措施,发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。

但《民法典》中的相应规定在适用过程中仍存诸多难题。劳东燕认为,保护个人信息不只是“同意”的问题,除了得到个人授权外,个人信息在保管和使用方面都应该得到明确,“《民法典》只能做比较概括性的规定,未来还需要有一些细节性的规范。”

中国信息安全研究院副院长左晓栋表示,由于人脸识别技术应用场景很多,所以还需要专门的文件予以规范,“例如,什么叫人脸识别技术应用的‘合法正当必要’?这需要专门作出规定。”

中国电子技术标准化研究院网安中心测评实验室副主任何延哲也指出,人脸识别特殊的场景需要在法律法规中得到细化,“合法、正当、必要”三原则虽然能把所有的个人信息保护的事情涵盖,但这样的原则通常比较笼统,所以有一些企业在应用人脸识别的时候,可能会钻一些空子,变得更倾向于商业利益,而不是倾向于个人消费者的权益。

仍需对人脸识别不同场景进行规范

2020年10月13日第十三届全国人大常委会第二十二次会议对《个人信息保护法(草案)》进行了初次审议。九天之后,中国人大网公布《中华人民共和国个人信息保护法(草案)》并对其公开征求意见。

相较于《民法典》而言,《个人信息保护法(草案)》深入总结了《民法典》《网络安全法》等法律法规和《个人信息安全规范》等国家标准的实施经验,更加具体地规定了个人信息保护的原则,将个人信息保护实践中行之有效的做法和措施上升为法律规范。同时,后者还做好了与前者的衔接工作,也就实践中出现的个人信息保护新问题、新场景进行了必要的规制和留下弹性的空间。

但部分条文仍有待进一步探讨和调整。对此,刘晓春表示,目前而言,《民法典》、《网络安全法》、《消费者权益保护法》和即将出台的《个人信息保护法》所构建的法律体系已经相对完备,但需要针对具体的领域,比如金融、生物信息识别、人脸识别等不同场景进行整治,从而清晰地指引具体实践操作。

同时,她还认为,人们对人脸信息被收集之后因保护不周而被泄露的担忧在当前更多的是一种猜测,到目前为止没有证据显示人脸的滥用和泄露形成了一种明显的趋势。因此在风险可控的情况之下,信息采集、处理、保护得当,人脸识别作为一种身份验证的手段,不能被当作“洪水猛兽”。

在她看来,个人信息售卖的黑色产业链才是对个人信息威胁最大的部分,以黑客的犯罪活动为代表的个人信息买卖,已经成为一种产业链。暗网中出售个人信息的行为被称做黑产灰产,犯罪分子会在侵害个人信息的基础上进行诈骗或者传播违法内容。

2019年以来,人脸识别技术在不断更新迭代的同时,人脸信息泄露并被违法售卖的事情也有增无已。近期,上海检方公诉的一起涉案金额超5亿元的虚开发票案就牵出了非法人脸识别案。

在此案中,犯罪嫌疑人先从他处以30元每个的价格购买他人的高清头像和身份证信息,之后利用“活照片”App对高清头像进行处理,让照片“动起来”,形成包括点头、摇头、眨眼、张嘴等动作视频然后利用特殊处理的手机“劫持”摄像头,在人脸认证环节时,手机摄像头不会启动,系统获取的是之前做好的视频。系统会认为是本人在摄像头前,最后通过认证,完成“皮包公司”注册,用于为他人开具增值税普通发票。据犯罪嫌疑人交代,其破解的App类别非常广泛,涉及政务、安防、金融、支付、生活消费等用户量巨大的App。每单的破解价格从25元到300元不等。

由此来看,人们在App的使用中同样面临着个人信息泄露的风险。何延哲指出,App的应用中一是存在保护意识薄弱的问题,安全措施不到位,该加密的没有加密,该做访问设置的没有做访问设置;另一方面就是App本身存在的过度收集个人信息的问题。

因此,从摄像头、手机等硬件设备到所配备的收集管理软件都需要依法进行把关,从而防范信息泄露、财产损失、身份冒用等问题。

何延哲称,在App治理方面,需要通过检测、评估和整改这一系列的措施来弥补“规则尚不明晰”的缺陷,“但这是全球范围内进行数据治理的共同挑战,考验的是监管部门的智慧。”

国外案例是否适应中国国情还需探讨

2020年2月,谷歌公司遭到集体诉讼,诉讼称其Google Photos服务使用的面部识别技术在未经许可的情况下收集了用户的面部印记数据,同年,微软公司也因相似原因遭到集体诉讼。不久,谷歌、微软、亚马逊三名科技巨头又被指控违反了美国伊利诺伊州的《生物识别信息隐私法》。

《生物识别信息隐私法》早在2008年10月3日就已在伊利诺伊州诞生,这个州是美国第一个规范生物识别信息收集的州,该法律禁止私立公司收集生物识别数据,除非书面告知用户正在收集或存储哪些数据、收集和使用数据的具体目的和储存时间、并获取用户的同意。

自 2019 年至今,美国已有旧金山、萨默维尔、奥克兰等十几个城市通过地方条例禁止政府机构使用人脸识别技术。

除美国外,人脸识别的案例也分布在加拿大、瑞典、印度等地。各个国家也为此拟定或出台了专门的法案法规。例如,加拿大《数字宪章实施法案2020》中包含的《消费者隐私保护法》和《个人信息和数据保护法庭法》、瑞典的《犯罪数据法》、印度的《个人数据保护法案(草案)》等等。

国外的法案能切实在我国推行实施吗?对此左晓栋表示,相对而言,美国部分州颁布的法律很严格,这代表了一种对生物特征识别技术应用的立法态度。但这类规定过于严格,至于它是否适合中国国情的政策,还需要在实践中探讨,不宜对人脸识别技术应用“一刀切”。

专家建议:用行政监管的手段引导技术向善

刘晓春指出,在美国众多个人信息泄露诉讼案中,受害者可以采取集体诉讼来起诉企业,但目前在我国并没有集体诉讼制度,个人诉讼仍然存在很大障碍。其中关键因素就是在取证方面,主体需证明网站、平台、小区收集了人脸数据且造成损害,取证的过程比较难,成本比较高,需要技术性,普通人可能不太具备取证所需的专业能力。所以人脸信息被盗用并对个人利益造成损害,在没有产生实际损害的基础上,个体很难有动力去起诉。

刘晓春提到,杭州“人脸识别第一案”中,起诉人的起诉目的带有公益性质,起到了弘扬社会责任感的示范作用,超越了个案的意义。但这种案例无法大量复制,民众若想要发起集体诉讼,诉讼制度本身无法提供匹配的支持。

“虽然个人无法提起集体诉讼,但可以通过公益诉讼,如消费者保护协会提起诉讼,检察院提起检察公益诉讼,从而实现司法保护的能动作用,推动实践发展。”刘晓春表示。

此外,在国内外的法律中,法定的赔偿制度是很难证明损害金额的。人脸识别技术带来的损害无法被确定,就中国的具体情况而言,《民法典》的内容作为主要的赔偿依据,但法律上没有更有针对性的相关规定。刘晓春认为,长远来看,我们现在仍要继续推动人脸信息的相关立法,补足生物识别监管合规要求的空缺,推动技术标准的制定,建构完善的侵害认定的司法规则。

总而言之,针对于国内外案例和法案探讨如何保护“我们的脸”的问题,多位专家建议,除了立法,在执法层面也要针对个人信息泄露的事实现状进行针对性的执法。

此外,在企业层面还需强化企业自律,在个人信息获取和使用时遵循合法、正当、必要三原则;同时,提升企业在大数据环境下的网络安全防护技术;以及规范应用隐私条款,为用户删除数据、注销账户提供渠道,明确告知用户争议解决机制等。

最后,在个人层面。一方面,要注意留存大数据杀熟、动态定价、价格操纵和个人信息泄露的相关证据;另一方面,应了解我国个人信息保护的相关法律,一旦发现个人信息泄露和违法使用的行为,也能立即向相关监管部门举报或者到法院起诉,依法维护好自身权益。

何延哲表示,整体而言,现在还是摸着石头过河,但希望技术应用能够有利于经济发展,也有利于社会进步,所以我们需要通过行政监管的手段引导技术向善,坚持好安全发展相统一的原则。


本文综合整理自新京报App 作者:刘名洋 薄其雨
文编辑:刘颖

投稿、合作邮箱:

xjbcmyj@bjnews.com.cn

- 阅 读 推 荐 -

记者报道火灾手机被抢,究竟什么问题最该被看到?


UP主演示精准定位到人,“人肉搜索”岂能当教程?| 周末谈



: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存