为什么ZAO是生物特征信息安全的灾难?
文/谷溪
来源:古老湿(ID:gulaoshi_ops)
AI换脸应用ZAO已经火爆了几天了,我迟迟没有写自己的意见。在各类热火朝天的讨论中,大家关注的焦点多是ZAO霸道的用户协议、滥用用户肖像权及隐私的风险。确实,目前各类App中,能达到ZAO的蛮横水平的,确实不多。
在协议中,用户一旦使用了ZAO,将在全球范围内完全免费、不可撤销地将包括人脸照片在内的肖像资料授权给ZAO及其关联公司,ZAO却未对“关联公司”做出任何定义。用户得到了一小段可以发朋友圈的有趣视频,而ZAO却得到了用户照片的永久使用权和面部识别信息。
然而在法律风险以外,还有一个更为重要的问题——生物特征信息的泄露(如指纹、面部特征等)。
当你的网络账户密码遭到泄露,马上更换密码就是一个标准操作。然而想一想,如果你的每天用来登录手机的指纹、刷脸支付的面部特征遭到泄露,你应该怎么做?
生物特征信息的泄露是永久、不可逆的,你就是密码本身。由于用户几乎不可能修改自己的指纹、样貌、声纹乃至DNA,也就意味着对信息滥用者来说,存在着“一次窃取,永久有效”的“超便捷性”和“超高性价比”。这无疑是“匹夫无罪,怀璧其罪”。每个人的生物特征信息,都是让黑客大快朵颐的活体钱包。
什么是生物特征信息
今天,我们已经把个人的信息和数据寄存在网络的各个角落,到底哪些数据,算是生物特征信息呢?
欧盟的GDPR(通用数据保护法规EU2016/679)曾对生物特征信息作出如下定义:
生物特征信息,是“通过对自然人的身体、生理或行为特征有关的特定技术处理产生的能够识别该自然人的唯一特征的个人数据,例如面部图像或指纹(指纹)数据”。
我以此为标准,列举一些常用的生物特征信息。
首先,就是面部特征。一般用于安全识别、执法等领域,目前也常用于手机和电脑的解锁、支付等。
第二,是虹膜。一般用于非消费级领域的安全识别。最近几年,微软、谷歌等大企业也在推进虹膜识别的应用,甚至有些手机上已经配备了虹膜识别传感器。
第三,指纹。我们最常见的场景就是手机和笔记本电脑的指纹解锁及支付。
第四,声纹。声纹常用于安全识别场景(例如微信的声波解锁),以及智能音箱等设备的语音识别、输入法的语音输入等。虽然人类可以模拟不同的声音,但其声纹特征却无法在计算机面前伪装。
第五,手型。通过记录手部的宽、厚、长、表面纹路等数据,进行安全识别。这种识别方式效率高、原理简单,我们在科幻及谍战类电影中经常见到。
第六,DNA。执法机关经常通过研究人体DNA分子的结构,从而判断DNA所有者的身份。
第七,行为特征。行为特征包括步态、笔迹等。这些特征虽然可以伪装,但极难彻底改变,也是法庭上经常出现的证据。
为什么生物特征信息的泄露,比密码泄露更严重?
不夸张的说,ZAO在涉嫌“生物特征信息泄露”这一问题上的严重性,远远超过其对用户“肖像权”或“隐私权”的侵犯。甚至可以说,ZAO类产品带来的问题,已经超过了法律所能解决的范围,触及了所有当代人最深刻的身份识别危机——如果某人拥有你的一切生物特征信息,那么他将可以窃取你的身份、财产、地位,甚至在法律上取代你。面对这些生物型信息的泄露,法律也显得力不从心!
2019年始,生物特征信息泄露事件频发,各国开始为此类信息安全立法。
2019年3月15日,美国参议院通过了《商业面部识别隐私法案(Commercial Facial Recognition Privacy Act)》,这是第一个涉及面部识别技术的隐私保护法案。该法案禁止那些使用面部识别技术的商业公司,在未经照片主人明确同意下共享他们的照片数据;同时,还要求这些公司通过第三方测试后才能进入市场,以确保不会伤害消费者的信息安全。
2019年8月3日,生物科技公司Suprema数据库遭泄露,其中包含100多万人的指纹和面部识别数据,涉及英国大都会警察局、当地小型企业和各大政府机构收集的面部和指纹识别信息。这些数据的泄露,意味着这100万人的生物信息,从此再也不可能回到原初的“安全状态”。即便这些用户们通过法律途径向Suprema进行索赔,也将永久的暴露在巨大的个人信息安全隐患之中。
生物特征信息有着“生命不能承受之重”,这就是“生物特征信息安全”尤其重要的原因。
如何保护生物特征信息?
我为大家列出几个可以有效保护个人生物特征信息安全的方法:
1.使用强密码来存储生物特征信息。
存储生物特征信息的外围,往往还有一层密码进行保护。由于生物特征信息的极端重要性,请务必使用强密码、而非自己的常用密码进行加密。
2.只在少数几个场景中保存自己的有限种类生物信息。
出于便捷性和政策性的要求,我们不可能完全不使用自己的生物特征信息。那么,就需要在便捷性与安全性之间做出适当的妥协。如果要使用,请尽量挑选规模较大、无信息泄露历史、商誉良好的企业,同时严格限定信息种类,仅存储必要的信息。
3.拒绝或减少使用手机、电脑等设备上的生物识别工具
如果非必要,则减少使用诸如扫码支付、刷脸登录等功能,尤其是对于陌生或不常用的App,不要轻易使用其自带的生物识别功能。
4.永远记得,你没有第二张脸、第二套指纹、第二对虹膜、第二个DNA
鉴于生物特征信息的珍贵与稀缺性,未来将不可避免的有无数商业机构、黑产人士对这些信息虎视眈眈,还会有无穷的场景诱惑用户泄露自己的生物信息。都要时刻记住,你没有第二张脸、第二套指纹、第二对虹膜、第二个DNA,生物特征信息的泄露意味着你将永久的暴露在他人视野范围内,永远承受生物信息泄露带来了的风险。
结语
百度创始人李彦宏曾经说,中国的消费者很多时候是愿意以牺牲部分个人信息为代价,去换取更加便捷的服务。这显然是扯淡,当个人信息泄露导致的风险远远大于所获取的利益时,没人会去做这种不公平的交易。
真相是,很多企业在消费者或不知情、或被误导的情况下,索要过多权限、并强行攫取用户信息,然后冠之以“用户同意”的名号,再对信息进行滥用。我们能做的,就是提高警惕,珍惜自己的信息安全,把那些不干净的App,一个不落、挨个卸载!