【新华网】北理工教师就“生物特征信息有泄密风险”发表观点
发布日期:2018-05-14 供稿:新华网 编辑:薛乔丹 审核:王征 阅读次数:
原文标题:面对新应用多个心眼,谨防有人套取你的生物特征信息
原文链接:http://www.xinhuanet.com/legal/2018-05/10/c_1122814478.htm?from=groupmessage&isappinstalled=0
上传“自拍照”也可能会泄露个人隐私,这可不是危言耸听。
随着生物特征识别技术在生活中的广泛使用,人脸、声纹、虹膜、指纹,甚至是步态都已经成为重要的个人身份信息,同时也有可能成为个人隐私的泄露方式。
“秀自拍”背后的“泄密风险”
“扫一扫二维码,上传一张自己的照片,来看看你过去的样子。”
不久前,一场网络互动活动火了一把。它让网友上传自己的照片,并在朋友圈中分享“自己过去的样子”。随后,有人质疑这样的活动存在泄漏网友生物特征信息的风险,尽管活动主办方迅速澄清,表示不会保存用户照片和其他个人信息,但依旧引发了人们的关注。
从一张照片中可以提取到用户的哪些信息?上世纪八十年代,某杂志一张封面照片《阿富汗少女》吸引了众多读者的目光。十多年后,为找寻照片中当年那个神秘少女,技术人员通过虹膜识别技术,在上千个自称是照片主角的人中找到了她。华体会hth·(体育)(中国)官方网站-华体会体育hth首页光电学院副教授何玉青向记者讲述了这一故事。
“那是用30多年前的相机拍摄的照片,以现在的摄影技术,想要获取某个人的虹膜信息并非难事。”何玉青说。
当前,人脸识别技术更加普及,随意上传自己的照片是否存在安全风险?记者向多位技术专家求证,多位给出了肯定答复。
“尽管不少互联网企业都声称有自己的人脸识别算法,并能够通过机器深度交互学习来甄别是活体还是照片,”360视觉技术专家邱学侃表示,“但是任何人脸识别技术都无法保证100%不被照片等影像骗过去。”
上海市信息安全行业协会会长谈剑峰表示:“生物认证最大的共性是唯一性,每个人都有独一无二的脸、指纹和虹膜等,正是这种唯一性让大家认为生物认证是安全的。但生物特征数据库一旦被攻破,大量带有唯一性的生物特征数据被盗取,这带来的风险要比盗刷严重得多。”
“如果你的邮箱密码被盗用,你可以重新设置密码来弥补损害。但如果你的虹膜或者指纹等信息被盗用,你是不可能重新设置虹膜或者指纹的。”英特尔公司软件工程师郭向阳说。
把“我”变成“你”,其实很简单
除了人脸信息之外,虹膜、声纹、指纹、掌纹、手指静脉甚至步态都可以作为身份识别的重要生物特征。一旦这些信息被他人盗取利用,轻则造成个人财产损失,重则危及国家安全。
今年春节期间,一些机构通过社交软件发布了“口令红包”的小游戏。在此类游戏中,用户需要根据文字提示的内容录制一段绕口令,随后系统会根据用户发送的音频来判断该段绕口令是否标准,并派发一定数额的红包。有专家指出,若上述活动被不法分子控制利用,极有可能泄露用户的声纹信息。
科大讯飞声纹识别技术负责人李晋表示,从目前的技术手段来看,声纹解析并不复杂,“当用户的声纹信息被不法分子获取,有可能会被解析,进而根据其特性合成与该用户音色相同的声音,或者把其他人的声音转换成该用户的,用于电话诈骗等犯罪活动。”
在一些视频网站上,甚至还出现了利用指模工具复制他人指纹的教学视频。何玉青表示,“复刻”他人指纹并非难事,一些人出于指纹考勤需要,将自己的指纹信息提供给他人用来制作指纹倒模,从而给自己的生物特征信息泄露埋下了隐患。
专家呼吁:用户需谨慎,监管要加强
“一张没有其他附加信息的照片泄露隐私的可能性不大,但应该防范他人恶意将照片与其他个人信息串联后做非法用途。”安全专家提醒,对于一些要求上传手持身份证照片或视频的服务,用户应保持警惕。
戴美瞳能避免被复制虹膜信息吗?何玉青的团队通过实验证明,目前市面上销售的美瞳或隐形眼镜等产品均无法完全遮挡虹膜信息,“虹膜信息主要处在靠近瞳孔的边缘部分,由于瞳孔大小会随光照变化而发生改变,因此即便是花纹多的美瞳也只是能遮挡住极少部分的虹膜信息。因此我们建议,使用虹膜验证身份的敏感人群不要随意上传照片到网络,也不要轻易接受他人拍摄照片的要求。”
腾讯玄武实验室负责人于旸表示,生物识别信息的存储应遵循最小化原则,特别是应禁止存储生物识别信息的原始数据。因为人的生物特征只有一套,所以将生物识别技术用于身份验证,实际上就相当于在不同网站上使用相同的密码。一旦攻击者窃取了这些生物识别信息的原始数据,用户在其他网站上的账号也就危险了。
“我国对个人信息保护的基本要求都有了,但是制度设计中还没有明确哪个部门来履行监督管理职责,一些法律中对‘有关主管部门’的指向也还不够具体。”中国信息安全研究院副院长左晓栋说。
“《个人信息安全规范》已经发布,要考虑如何进一步提升规范标准的约束力,进而提升个人生物特征信息的保护效果。”左晓栋建议,相关法律法规、政策要积极引用《个人信息安全规范》,在特定领域强化国标的约束力。
分享到: