本文来自微信公众号:IT时报(ID:vittimes),作者:潘少颖、孙妍(李玉洋、钱奕昀对此文亦有贡献),原文标题:《刷脸取厕纸?仅上海安装上万部 政协委员多年提案拒用人脸识别》,头图来自:视觉中国
30秒快读:
1. 东莞一公厕的人脸识别厕纸机备受质疑,为了60公分的厕纸出卖自己的脸,而同一家生产的设备早已进驻上海,销售人员还宣称,上海已经安装上万部。
2. 商家不罢手,难道以后只能戴头盔出行吗?多地开始禁用人脸,政协委员多年提案,拒用人脸识别等唯一的生物特征信息作身份认证。
不戴头盔看房我可能损失30万,为了60公分的厕纸我出卖了自己的脸……是的,我知道我的脸正在被滥用,但是我有什么办法?
很多人脸识别是强制使用的,如果拒绝刷脸,我可能上不了班、回不了家,因为门禁系统都升级为人脸识别,且没有门禁卡等替代方案。一旦我坐在教室里上课,举了多少次手、趴了多少次桌子、打了多少次瞌睡都会被记录。
有网友调侃说,“我这张老脸使用从未如此频繁”。如果没有这张脸,寸步难行。
很多人脸识别是无感的,我看了一眼电子广告屏,脸就被保存了。逛了一次商场,我就会被精准推荐广告。
那么,如果我的脸“丢”了,被“偷”了,最坏的后果是什么?
一
上万台人脸识别厕纸机进驻上海,为了60公分的纸出卖我的脸。
去年12月底,在上海世博公园2号口的公厕里,记者偶遇了一部人脸识别厕纸机,将自己的脸靠近摄像头,机器立马吐出约60公分的厕纸。再次刷脸时,设备语音告知,需要再过9分钟才能取。
设备屏幕显示,这台厕纸机已吐纸12295次。
图源/IT时报
而这个机器的设备商生产商,跟近日上热搜的东莞公厕人脸识别厕纸机是同一家——天津首联科技有限公司(下简称“天津首联”)。
“上海已经安装了上万台人脸识别厕纸机。”天津首联科技上海分公司一位销售人员向《IT时报》记者透露。这些人脸识别厕纸机售价9500元/部,10台以上采购单价为7000元/部,后续每年运维费用899元/年。
根据其首联智能小程序的搜索结果,在上海,这种人脸识别厕纸机已经遍布世博公园2号口、威海路陕西北路路口、延安中路、大融城等十几处的公厕。
一份天津首联销售人员发来的产品介绍上,天坛公园卫生间减少用纸高达85%,哈尔滨高铁减少用纸75%,上海延安中路公厕减少用纸80%等成为其节约用纸的成功案例。这些只是他们在全国1000多家渠道中的一部分。
图源/首联智能
12月9日,天津首联发布声明称,首联智能人脸识别供纸机不存储、泄露人脸信息,设备的工作原理是通过离线的人脸识别模块进行识别,公众可在无联网状态下使用,并且在设定时间内(一般少于10分钟)在本机内自动消除。同时,首联智能人脸识别供纸机已经通过公安部安全与警用电子产品质量检测中心的检测,人脸识别信息自动删除功能检验结果是“符合要求”,判定的级别“p”。
图源/首联智能
但在其产品介绍上,产品规格参数内显示“联网:4G”,该公司客服人员也曾向《IT时报》记者表示,设备里存有4G流量卡,能把采集到的人脸信息等数据传输到云服务器上,但云服务器每隔9分钟就会自动覆盖数据。
图源/首联智能
质疑:人脸识别的应用边界在哪里?
网友质疑,为了取60公分的厕纸,丢了自己的脸,简直就是捡了芝麻,丢了西瓜。人脸识别的过度使用已经成为普遍现象,人脸识别厕纸机尚没有将人脸与姓名、电话、住址等信息挂钩。
而在上海宝山区某一所高校的快递代收点,来取快递的学生、老师们被强制要求刷脸取快递,为的是防止偷窃和误拿。
在这一拍照设备的功能介绍中写明“底单照片和人脸照片合二为一,自动上传快递超市云端并存储”,这意味着人脸和姓名、电话、住址等敏感信息绑定后被留档。
联系起最近圆通快递“内鬼”泄露40万条用户信息,以及此前小学生用照片就打开丰巢快递柜的消息,网友们议论纷纷,原来我手撕快递单成了徒劳。
二
无感抓拍:商场、售楼处、电梯“偷偷”拍你。
戴着头盔去看房为何能在全国掀起人脸识别的大讨论?因为此前国内较少发生人脸信息大规模泄露的案件,售楼处也是首例人脸识别牵扯到用户端经济利益的场景,被人脸识别抓到是自然到访客户,客户就无法享受中介带看的返佣,可能相差几十万元。
图源/网络
那么,售楼处为什么要装人脸识别?如果中介在门口截胡自然到访客户,成交后也可以向开发商收取一笔佣金,装人脸识别主要是为了防止中介“飞单”。有房产中介表示,80%的售楼处都装了人脸识别系统。
《IT时报》记者在走访售楼处时了解到,人脸识别应用在楼盘销售已有2年光景,许多大型开发商都深谙此道。至于是否告知客户有人脸识别摄像头,每个售楼处都有各自的做法。
在万科上海某售楼处,20多平方米的售楼处内,安装了10多个大大小小的摄像头。万科方面也向记者证实,万科许多项目安装了人脸识别摄像头,不过仅记录用户的到访时间。
图源/IT时报
和售楼处如出一辙的是商场、品牌门店,也早已成为人脸识别技术的使用者和受益者,商家借此进行出入口客流、业态客流、楼层客流、商户客流的智能分析。消费者逛一次商场就可能被“人脸抓拍”,行动轨迹可能被记录。下一次再来,这家店就“认识”你了。
《IT时报》记者在上海爱琴海购物公园发现,每个进入商场的大门和电梯口,均安装了球体摄像头,这栋6层楼的商场内有200多个人脸识别球体摄像头,且没有任何提示,消费者根本无法发现自己已被人脸识别。
图源/IT时报
甚至,进入商场电梯,也有可能被抓拍人脸。在浦东八佰伴直达电梯内的电子广告屏上,《IT时报》记者就发现广告屏下方有一个不起眼摄像头,只要看向这个广告屏,后台就可以记录电梯内的人是否看向广告屏幕、看了多久等数据,广告商会得到相应的数据。
有类似功能的电子广告屏也有可能出现在你家的电梯里。
质疑:商家不罢手,难道以后只能戴头盔出行吗?
虽然部分城市已经对人脸识别“开刀”,11月29日,有媒体报道,南京多家售楼处接到南京市住房保障和房产局紧急通知,要求楼盘未经消费者同意,不得拍摄人脸信息。这是全国属于首例。杭州、天津等城市都开始颁布部分场景禁用人脸识别的条例。
隐藏在背后的一个问题是消费者的知情权,根据《规范》,收集个人生物识别信息前,应单独向个人信息主题告知收集、使用个人生物识别信息的目的、方式、范围和存储时间等。
众人科技创始人谈剑峰告诉《IT时报》记者,一个人刚从商场出来,就会接到一条手机短信,说“某某某,你刚刚在商场消费多少金额,如果是你本人消费请点这个链接,如果不是你本人消费请点那个链接”。这种情况下,当事人一旦点击链接,金融卡号、密码就等于交给了黑客。
正是因为“无感抓拍”,让消费者一无所知,难道只有戴上头盔才安全吗?难道我们的脸,只能取决于商家的良心吗?
三
强制:不刷脸,不能回家、不能上班、不能上课
在上海越来越多的小区和楼宇,“脸”成了主要通行证,别无选择。
一位在普陀某商务楼办公的白领曾告诉《IT时报》记者,今年4月中旬,物业要求大楼里的员工去录入人脸,而大堂内8个人脸识别闸机已经安装好,就等大家的人脸了。“闸机没有开启刷卡功能,要进大楼就只有刷脸。”无奈之下,这位白领只能录入了自己的脸。
图源/IT时报
虽然刷脸过闸机方便了很多,但当人脸信息被保存到并不靠谱的系统上,风险将被无限放大。有安全人士曾告诉《IT时报》记者,很多企业喜欢把数据放在本地,在系统的设计和实现过程中,可能发生代码失误等问题造成数据库被攻破,数据泄露,甚至有的信息是明文保存。
遗憾的是,在个人生物信息领域,很少有企业会进行安全等级认证,如何防护、投入多少都由企业自己决定,你的人脸信息,也许就保存在小区大妈手里。
2019年9月2日,全国开学第一天,一张图片在网上刷屏,课堂上,趴桌子几次、玩手机几次、睡觉几次、举手几次、阅读几次、听讲几次,都被摄像头捕捉,因为印有旷视的logo,这被认定为是它的视觉AI系统。
旷视因此备受大众质疑,回应称这张图片只是一个概念演示,公司在教育领域的产品专注于还在校园的安全,但其实类似的AI课堂分析系统已经开始进入课堂。南京中国药科大学教室里装人脸识别,防止学生逃课。
2018年的安博会上,可提供场景解决方案的安防厂商中,有一半都表示可以做AI+教育为基础的人脸识别监控。
未来花朵们在课堂上的一举一动都会被监控,老师和学生们都没有其他选择。
质疑:我的脸一旦丢失不能再生,为何强制刷脸?
在众人科技创始人谈剑峰看来,生物特征的唯一性意味着,一旦“丢失”就不可再生。关键点就在于储存人脸数据的“数据库”,它正是隐私的最后一道防线,“数据库”真的安全吗?谁对“数据库”有使用权?又是谁来管理“数据库”?一旦被盗,我们只能眼睁睁地看着自己的脸、指纹等被滥用,“脸权”自由没了。
更重要的是,明明有其它方式可以达到同样的目的,比如可以用刷卡过门禁,为什么无法非要强制刷脸,提高隐私泄露风险?这等同于“强买强卖”。
四
后果:我的脸“丢”不起!
2019年2月13日,一位GDI基金会荷兰安全研究员爆料,中国深网视界科技有限公司(SenseNets)发生大规模泄露事件,包括超256万人的身份证号、性别、国家、住址和24小时内的位置等大约668万条记录,自2018年7月开始,任何人都能访问。
2月14日,该数据库才建起了防火墙。据天眼查信息,深网视界自从2017年7月融了A+轮后,就再也没有公布过融资信息。2020年6月,该公司出现一条股权出质信息。
这是国内迄今发生的较大规模的人脸泄露事件。今年2月,美国Clearview AI被黑,虽然这家企业只是初创企业,但却拥有超30亿人脸数据。
据《IT时报》记者不完全统计,美国公开表示禁止人脸识别技术的城市已经达到8个。
虽然国内多个城市已经在部分场景禁用人脸识别,但是已经收集的人脸会删除吗?没有明确答案。
人脸被卖,最坏的结果是什么?
此前有媒体报道,在闲鱼等平台上,人脸识别信息以0.5元一张廉价打包出售,这种人脸信息往往没有跟身份信息绑定,并不是最坏的结果。
在QQ群里,更多的人脸生意是定制AI换脸视频,150元就能定制素人的AI色情视频,所需的素材就是几张照片和几条视频。
图源/IT时报
最令人担忧的是,人脸识别并不是一项完美的技术,帮小学生人脸解锁《王者荣耀》游戏的青少年模式,人脸解封社交账号等已是成熟的生财之道。
在顶级黑客眼中,人脸识别更显稚嫩。在历届的GeekPwn国际安全极客大赛上,《IT时报》记者曾目睹极客用照片、口罩等方式骗过AI。比如在今年的GeekPwn上,主持人蒋昌建、特斯拉CEO马斯克等名人的脸被复制,极客们戴上特制口罩,让自动售货机和ATM吐出了商品和美金。
图源/GeekPwn 2020
这意味着,黑客只需拿到你的多张照片,就能骗过人脸识别支付。
政协委员拒用人脸识别
作为全国政协委员,谈剑峰多次就此递交提案,呼吁做好人脸等生物数据的隐私保护,他的观点始终如一:“我反对用唯一的生物特征信息用作身份认证。”
“健康码”也让谈剑锋担心:“每个公民都在‘刷脸’,这个人脸信息数据存在哪里?谁能使用?保存时限是多少?法律监管是否到位?”在他看来,目前还没有足够安全的方式来保证生物特征数据不被滥用,如果将各类生物特征数据集中保管在数据库中,再被采集到不安全的网络上,一旦数据库遭受攻击,可能造成社会风险。
清华大学苏世民书院院长、国家新一代人工智能治理专业委员会主任薛澜曾在今年的世界人工智能大会上表示,现有的人工智能治理体系中缺乏对数据权属和使用的清晰规定,数据和隐私保护问题突出;算法监督能力薄弱,引发算法歧视的原因通常难以跟踪;互联网平台中个性精准化的服务实际上将市场分割成了一个个独立的个体,隔断了消费者的搜寻行为,而平台是唯一的“知情者”。
虽然人脸识别对于个体来说存在着较大风险,但在一些特定领域却可以发挥出较好的作用。“从安全角度来看,目前生物识别认证不应在老百姓普遍使用的互联网大面积推广,但可以在特定的金融领域作为辅助应用。”谈剑峰告诉《IT时报》记者,每一个个体要尽量地少用生物数据,或仅将生物数据用在不太敏感的场合,不建议用于关键场合的身份认证、转账交易等,这也是保护自己的方式。
人脸识别技术并不完美,并不代表它是个无用的技术,当下,比起一刀切式地全城禁用人脸识别技术,更恰当的应是为其划定边界,并给予使用者知情权和选择权。人脸识别企业在寻求场景活下来之前,要先为用户信息筑起防火墙。
本文来自微信公众号:IT时报(ID:vittimes),作者:潘少颖、孙妍(李玉洋、钱奕昀对此文亦有贡献)