iPhoneX人脸识别 引发怎样的数据安全的思考？

今年的苹果发布会上,iPhone X的“前刘海”一时之间成为观众焦点,它所具有的人脸识别、双摄、增强现实等新特质成为了最大的卖点。iPhone X号称“定义未来智能手机形态”,引领下一个10年,以碾轧iPhone 8/iPhone 8Plus的态势,致敬智能手机教父级人物史蒂夫 · 乔布斯。

3D人脸解锁何以成为现实

人脸识别功能Face ID无疑是iPhone X的杀手锏,发布会上Face ID的9大特征被隆重介绍:人脸验证、原深感镜头、注册简单、专门的神经网络、安全自然、用户隐私、注意力感知、自适应性和Apple Pay以及其他应用协同工作。库克针对Face ID的安全性进行强调,如果说原来的Touch ID有五万分之一的可能被破解,那么Face ID被别人打开的概率可能只有百万分之一。

这也得益于“前刘海”中暗藏玄机:8个配件中有4个参与人脸识别(红外相机、泛光照明灯、环境光传感器和点阵投影器)——以3万个采样点为基准,以上前端器件进行人脸图像采集、处理,并建立用户面部3D数据。之后用户每次解锁,最新数据与之前采集数据对比,传输到A11芯片中的神经网络模块神经引擎(Neural Engine )进行处理。

Face ID科技感爆表,既为新一代iPhone赚足眼球,也带来充足的话题流量。但与此同时,再次引发了人们对个人隐私、信息安全的担忧。我们感受一下网友的吐槽:

某宝也跟风上架了号称防面部识别解锁的神器:

网友调侃中也透露出人们对于面部识别解锁手机这一技术背后的信息安全隐患问题的担忧。美国明尼苏达州民主党参议员艾尔-弗兰肯(AlFranken)表示,苹果可能会通过Face ID这套新解锁系统,搜集用户留下的所谓的面纹数据,进而再泄露这些数据。就在iPhoneX发布一天后,弗兰肯要求苹果详细披露在使用生物技术数据方面所采取的隐私与安全保护措施等情况。

本次苹果发布会召开前夕,斯坦福大学助理教授迈克尔•科辛斯基(Michal Kosinski)和其学生王轶伦发表了论文《深度神经网络基于人脸图像判断性取向比人类更准确》,利用VGG-Face深度神经网络模型,他们提取脸型、嘴型、鼻型、眉形、面部毛发等面部特征并将其量化,以此训练分类器区分出不同性取向。消息一出,舆论哗然。在同性恋群体仍遭受歧视或偏见的今天,人们纷纷质疑这项研究会严重侵犯个人隐私,技术的触角正跨出公共领域,并延伸至个人空间,试探社会或法律容忍的底线。

我们联合清博大数据舆情监测系统以“iPhone X”“隐私”为监测词组进行数据分析,结果显示,网友表达的情感属性中,负面情感占比12.43%,中性情感占比29.5%,可见有相当比重的人对iPhone X潜在的个人信息安全隐患抱有非乐观态度。

玩人脸识别的不止iPhone X

目前,玩人脸识别的不止iPhone X。在iPhone X面世之前,三星的Note 8、小米的Note 3都应用人脸识别技术解锁。但后者人脸图像采集停留在2D摄像阶段,还闹出用户用机主照片解锁的笑话,人脸识别招致差评。

应用人脸识别技术并非智能手机的专利。在门禁系统、摄像监视系统、支付系统等功能设备中,人脸识别如同人的大脑中枢输入甄别,大有可为。我们正在迎来“刷脸时代”,社会越来越信息化、数字化,人脸识别向公众衣食住行用等多个生活场景渗透,并在市场攻城略地。

8月25日,武汉火车站全面宣布刷脸进站;9月1日,支付宝宣布商用刷脸支付;9月5日,杭州大量宾馆可刷脸入住;9月6日,汇丰银行宣布使用人脸识别技术;9月7日,京东、苏宁开启刷脸支付;9月11日,北师大宣布学生宿舍全面启用“刷脸开门”……越来越多的应用场景引入了人脸识别技术。

人脸识别出卖个人信息

库克宣称Face ID相较Touch ID安全性提升20倍,这底气来自:iphone X采用红外结构光/结构光双摄,搭载3D结构光深度镜头。手机主动发射特定红外结构光照射被检测物体,从而获取人像的3D图像数据。采用结构光的3D人像解锁能抵御所有的平面攻击。另外,据称苹果云端并不会收集用户脸部3D数据,安全性也因此提高。

尽管如此,数据显示当下全球信息安全现状不容乐观,据2016年数据泄露水平指数(Breach Level Index2016)报告显示,仅2016年上半年全球数据隐私泄露就高达900余次,泄露和违约类型上,身份盗窃、财务窃取、帐号获取分别占比占64%、16%、11%;违约渠道上,外部窃取、意外丢失、内鬼窃取分别占比69%、18%、9%。数据隐私的泄露和违约类型多样,外部窃取占比较大,均暴露出当今数据安全隐患问题突出。

反观我国,2016年徐玉玉案成为全国性新闻,成为电信诈骗案中的一例典型,据公安部数据显示,近10年来,电信诈骗案件就以每年20%至30%的速度增长,仅2016年1月至7月,中国共立电信诈骗案件35.5万起,同比上升36.4%。而日常接到各种销售、中奖电话,对民众来说已经司空见惯,谁又能确信自己不会是新的受害者 因此,对信息安全问题的担忧并非空穴来风。

包括当下各平台都在实施的智能广告投放,互联网公司将用户在微信等应用上留下的各种隐私信息变为数据资产,通过智能化手段,商业公司分析用户的年龄、兴趣、个性和消费力等等,进而对用户进行定制化、个性化服务。比如不同用户会在朋友圈看到“宝马”或“可乐”等不同产品广告内容,此类智能广告投放的出现引发了用户对消费歧视、信息茧房等问题的讨论。

寻找技术发展与数据安全中间的最大公约数

实际上,对于信息安全问题的担忧和治理早就出现了。1983年,德国立法确立了个人数据信息自决权,并在2008年又扩充了这一权利的内容,以保障个人数据的私密性和完整性以及个人自主决定个人数据的公开和使用。2014年,《大数据时代》作者维克托·迈耶-舍恩伯格明确提出“数字遗忘权”的概念,具体指数据主体要求数据控制者删除关涉自己的个人信息,以防止其进一步传播的权利。

除了信息安全相关概念及理论的深化,人们在法律制度、司法实践以及技术等多个层面的探索也一直在进行。

法律制度层面,2016年,欧盟颁布将于明年生效的《数据保护通用条例》,其中第17条”被遗忘权”特别指出,当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可随时要求收集其数据的企业或个人删除其个人数据。该法令对个人信息界定、数据保护力度等方面的内容进行了扩充和增强。

司法实践层面,互联网公司被要求承担消除数据责任的判例已经存在。谷歌曾收录西班牙人Mario因欠债而被强制拍卖房产的内容。2010年,Mario要求谷歌西班牙分公司删除相关链接遭拒,但Mario一直坚持这一诉求并做出努力。2014年,Mario连同支持Mario的数据保护机构AEPD(Agencia Española de Protección de Datos,隶属西班牙政府)被谷歌告上法庭。最终,欧盟法院援引欧盟基本权利宪章对尊重私人生活和保护个人数据的规定,裁决谷歌败诉。欧洲公民申请消除个人数据的处理机制也得以建立。

技术层面,在部分人争论技术引发的个人信息安全、社会伦理等问题时,已经有技术行动派研究“反人脸识别”技术,试图以技术压制技术。俄罗斯科网 Yandex 技术总监 Grigory Bakunov曾表示,受够了被人监视的感觉。他和几名黑客联手开发了一种反人脸辨识的演算法,可以防止人脸辨识软件成功辨认一个人。只要配合特殊的化妆技术,就可以避开软件的辨识。日本东京国立信息研究院教授ISAO ECHIZEN也研发出了世界首款反面部识别的眼镜,通过眼镜上的 11 组近红外环形灯影响人脸识别技术,可以阻止被摄像头的面部识别程序抓取信息。

需要注意的是,对数据安全的重视和行动不可矫枉过正、因噎废食。数据隐私是一把双刃剑,一方面引起我们的焦虑,另一方面也给我们带来很多机会。数据保护得当会产生巨大价值,如交易成本降低、个性化服务等等,可见问题的关键在于“保护得当”,也就是度的把握。

此外,关于隐私,现实中存在多组悖论:观念上对隐私的重视与行为上对隐私的忽视、公开场合对数据的保护重视与私下里数据外泄甚至黑市交易、舆情分析监控与思想自由表达自由、保护隐私与数据挖掘服务公共安全等等。

显然,准确把握保护数据隐私的度是超出单一学科的重大命题。实现技术发展与数据安全中间的最大公约数,势必要经历一番纠结。更重要的是,解决这一公共问题需要聚集各方专家,促成跨学科交流。也许,在技术、政治、经济、法律等多方参与下,发挥各学科优势,有望探究出技术发展与数据安全的平衡点。