当前位置:经济频道首页 > 正文

人脸识别技术存在重大网络安全风险

2017-03-29 20:40:34    第一财经  参与评论()人

2017年春运人脸识别在部分火车站进站检票时开始应用,引起很多关注,部分媒体也报道了生产商的核心技术掌控在日本企业手中,以及由此引发的对信息安全的担忧。前不久央视“3·15”晚会现场对于人脸识别的实验演示,再一次将网络产品的人脸识别的风险清晰展示在观众面前。

虽然生物识别的准确性等问题会随着技术进步逐步获得解决,但生物识别身份却存在难以克服的重大潜在法律风险,甚至可能上升到危害国家安全的高度。因此,大规模应用必须慎之又慎,不能放任商业企业自行其是。

生物识别技术与现有身份识别体系的异同

做任何一件事情,我们都需要知道是在跟谁做,这就是身份识别。生物识别仅仅是一种识别行为人身份的技术手段,事实上身份识别的手段有很多,其目的都是要识别真实而不是假冒的身份,保证身份识别的准确、不可仿冒和篡改。传统社会往往依靠人与人之间的熟人关系,中国古代则有官凭路引,这些都能实现身份识别。最近100年左右,人类社会开始用介绍信、护照、身份证等记载证明身份的凭证辅助识别身份。

进入网络时代以来,开始是使用密码作为身份识别的主要手段,几乎所有网站协议都写明,用户名、密码一致,后果由当事人承担。早期法院对这类约定是支持的,2005年左右,网上曾有过一个大约500人参加的工商银行网银受害者维权联盟网站,当时就是受害者证明不了不是自己实施的款项转移,而当时法院不了解也不像现在对于伪卡交易要判银行赔偿,因而用户无奈之下组团抗议。

但随着互联网技术的不断发展,各种盗窃密码、假冒身份事件层出不穷,因此密码验证不再是客观唯一的可信任手段。在智能手机普及后,法官也开始逐渐熟悉了互联网,现在银行卡失窃如能证明伪卡交易,法院会支持用户向银行的索赔请求。

生物识别技术提取和识别人体生物学特征的唯一性,是很多人看好这个领域商业前景的主要原因。比如人脸、虹膜、指纹、声纹,由于这些特征只有当事人自己才有,别人不能假冒,因而能够解决目前比较普遍的诈骗者利用密码等技术手段易失窃、易复制、易滥用的漏洞。但是,这些人忽视了一点,那就是任何技术只要大规模使用,尤其是非现场使用,一定要通过信息网络,而通过信息网络,任何技术都要转化为计算机识别的0-1这样的二进制代码。人脸不能复制,转化的二进制计算机代码却可以复制,也完全可能被盗窃。

生物识别技术的识别原理和提取的数据都会存储成为企业的数据库,在目前全世界的情况看来,都存在重大的数据泄露、失窃的潜在安全风险。而且,更为可怕的是,由于生物识别技术是唯一的、终身不变的,是不可再生或重建的,因此,一旦泄露或者丢失,就是永久泄露,将贻害无穷。

有资料记载,当年某著名空难发生后,苏联能在第一时间精准判断死者身份就因死者曾在苏联就医的牙齿档案。这个原理是成立的。所以有人对于日本企业提供的人脸识别设备在火车检票时的使用涉及数据安全的担忧,是成立的。这种数据一旦被收集存储,会成为永久的安全隐患。

由于生物识别的这种唯一性特点,全球比较统一的做法是在识别犯罪嫌疑人、识别灾祸中很难辨认死难者身份时,采用DNA等生物识别技术,例如在空难后尸体受到严重毁坏无法辨认时,通过基因等识别技术,识别死难者身份。我国至今常见的警察让犯罪嫌疑人在笔录上按手模,也是一种通过指纹生物特征来固定证据的方式。