羊城晚报记者刘东
前段时间,“男子掀开熟睡前女友眼皮,刷脸走15万”的新闻冲上热搜,引起了人们对人脸识别技术安全性的关注。
“折眼皮、翻眼皮是不可能‘骗’人脸识别系统的!”12月27日,全国人大宪法和法律委员会副主任委员、中国法学会犯罪学研究会副会长、清华大学法学院教授、博士生导师周光权表示,但是,目前的人脸识别系统确实存在“易破解”的安全隐患。制作模拟人脸模型破解人脸识别验证的黑色产业链已经相当成熟,很多软件代码已经开源。你可以用ID照片在技术上模拟张嘴眨眼,模拟效果很高,可以骗过很多人脸识别。
作为一项新技术,人脸识别技术的隐患在哪里?与人脸识别相关的犯罪类型有哪些?从事刑法研究的周光权接受了羊城晚报的专访。
技术滥用
滥用人脸识别技术的相关犯罪层出不穷。
羊城晚报:目前人脸识别犯罪主要集中在哪些领域?
周光权:目前人脸识别技术在很多领域都有广泛的应用,比如交通(比如地铁安检,火车检票等。)、小区门禁、考勤、网银、移动支付。人脸识别主要是根据人的面部特征信息,在图片和视频中识别个人的身份。其具体应用是通过视频采集设备扫描获取被识别人的面部图像信息,通过人脸识别算法计算获取面部特征信息,与人脸识别系统中的人脸样本数据库进行比对,最终确定用户的真实身份。
人脸识别的广泛应用给个人数据保护带来了新的挑战。人脸识别信息被大数据公司或各种金融平台app过度采集和自由分享的现象普遍存在;人脸识别技术的应用存在诸多安全漏洞和“易破解”弱点,相关技术和数据被滥用的情况屡见不鲜。人脸识别相关的数据和信息一旦被不法分子获取,会给个人带来各种风险。
司法实践中,人脸识别技术容易被滥用,导致非法获取、提供、破解人脸识别数据及相关电信网络诈骗、非法发放贷款、催收贷款等刑事案件层出不穷,部分案件性质存在争议。全面保护敏感个人信息,民法典和个人信息保护法的作用不可低估,但刑法也不能缺位。特别是研究人脸识别案件的定罪和争议,对于统一刑事裁判标准具有重要的实践价值。
羊城晚报:定罪争议有哪些方面?
周光权:突出表现是个人真实同意引起的定罪争议。为了平衡数据利用与个人权益保护的关系,我国法律只禁止违反国家规定,未经个人同意,非法获取、出售、提供公民个人信息,只要从事与个人信息相关的业务,就不涉嫌犯罪。也就是说,在获得特定信息主体的同意后,对其人脸识别信息进行验证是否违反国家相关规定,即个人的知情同意是否是涉及罪与非罪的重要判断规则。然而,在大数据时代,海量的数据采集、多样化的数据利用和复杂的同意条款,使得基于信息主体完全知情的明示同意更加难以实现。因此,在利用人脸识别技术侵犯个人信息时,控辩双方的争议在于被告是否取得了真实有效的同意。
信息披露
在针对老年人的营销活动中非法获取人脸识别数据
羊城晚报:一些热门游戏app使用人脸识别技术。有人身伤害的危险吗
周光权:这涉及到面部识别数据的滥用,违反了知情同意的规则。司法实践中,行为人虽未在秘密场所安装摄像头非法采集人脸识别数据,但未告知被害人获取、处理敏感个人信息的真实目的,或者被害人同意存在明显瑕疵,且APP过度读取、采集人脸识别信息,因此不存在真实有效的个人同意,行为人存在实施侵犯公民个人信息罪的空间。
羊城晚报:能举些例子吗?
周光权:在某些情况下,违反知情同意规则的人脸识别数据滥用行为大致有以下几种类型:
第一种是欺骗他人获取人脸识别信息。比如很多流行的“AI变脸游戏”app,就是利用了用户愿意参与游戏而毫无准备的心理,在不知情的情况下非法采集人脸识别信息。
此类案件突出表现为犯罪分子针对中老年人信息识别能力较弱的情况,通过拍照等手段收集人脸识别信息,使中老年人成为非法获取人脸识别信息的特殊受害群体。
比如在超市,一些不法分子以顾客购买一定金额后可以领取洗衣液等礼品为名,要求顾客在领取礼品时提供姓名和身份证号,并通过用手机拍照、录像等方式收集受害者的肖像信息。
比如,不法分子挨家挨户举办各种名义的活动,要求达到一定年龄的老人凭身份证参加,给参加者发价值不高的副食,然后对领取者的身份证和个人进行拍照,获取人脸识别数据。
犯罪分子从受害者处获取的个人信息很可能被用于办理移动通信卡、银行卡或实名认证的注册网络账户,以及注册一些公司开发运营的借贷APP用户。实名认证通过并成功办理相关申请后,不法分子会从移动代理商和电信网络诈骗团伙成员处收取佣金。
第二类是非法抓取通讯录和人脸识别信息。近年来高发的是网贷平台APP在放贷前通过技术手段非法获取公民人脸识别信息,将人脸识别信息分享给催收公司,甚至出售信息牟利。我个人认为,行为人通过网络APP进行贷款时,在贷款前,要求贷款申请人提供其亲友的手机号码和通讯地址,并抓取面部识别信息,便于后期追债。是对个人信息的过度读取,是侵犯公民个人信息的犯罪行为。因此,APP开发者要想在业务活动中(非日常生活联系人)获取大量存储在他人通讯录中的手机号码,仅仅获取贷款申请人的授权是不够的。他们应该获得地址簿中每个移动电话号码所有者的个人同意。个人人脸识别信息属于生物特征信息,比一般的个人信息更重要、更敏感。未经本人同意而捕捉,违反知情同意规则,提供给第三方,显然是违法的。
第三类是行为人将自己控制的照片处理成人脸验证视频。如某案中,张某雇佣姚某平,指使余用大量公民个人身份信息注册某宝账号,然后用软件将公民头像照片制作成公民3D头像,从而通过某宝(第三方支付平台)人脸识别认证。这样,张某、姚某平等人因邀请用户注册某宝而获得某宝提供的相应红包奖励(每注册一个新宝,该演员至少可获得28元收入)。案发后,警方从张某处查获公民个人信息近2000万条。从2018年7月到案发,张成功注册了至少547个实名宝账号
羊城晚报:前不久,有媒体根据广西南宁市兴宁区法院的一起盗窃案判决书报道,黄漫人牟辉“开了前女友的眼皮”,盗走15万余元。“翻脸”的做法能“骗”过人脸识别系统吗?
周光权:可以说,不可能通过打破和转动眼睑来“欺骗”人脸识别系统。
羊城晚报:会不会是被告利用真实人脸识别数据通过非法手段赚钱?
周光权:广西南宁市兴宁区法院在黄某辉案的一审判决中,只提到黄某辉“利用支付宝的人脸识别功能进入支付宝”,但具体如何操作不得而知。因此,我无法判断被告是利用真实人脸识别数据通过非法手段赚钱,还是通过制作模拟人脸模型破解人脸识别验证赚钱。
目前非法利用真实人脸识别数据赚钱的情况有两类,分别是强迫他人“刷脸”和欺骗他人“刷脸”后假装赚钱。但强迫他人“刷脸”取钱的发生率相对较低,司法实践中对抢劫罪争议不大;欺骗他人“刷脸”,冒名顶替取钱的行为是诈骗罪还是盗窃罪,存在争议。
羊城晚报:那么,人脸识别技术或者系统不容易被破解?
周光权:不,相反,它很容易被破解。目前制作模拟人脸模型破解人脸识别验证的黑色产业链已经相当“成熟”,很多软件代码已经开源。可以用身份证照片技术模拟张嘴眨眼等动作,模拟效果很高,可以骗过很多人脸识别平台。
今年2月,清华大学Real AI研究团队利用反样本干扰技术,仅用15分钟就成功破解了19款国产主流手机的人脸识别系统。人脸识别验证的反破解能力弱,不仅暴露了日常应用的人脸识别技术的漏洞,也给准确定罪带来了一定的争议。
羊城晚报:那么,按照现行刑法,如何准确认定破解人脸识别罪?
周光权:在我看来,如果行为人获取了他人的通讯录和存储在其中的大量照片,并抓取了个人的人脸识别数据,可能构成侵犯公民个人信息罪,因为这违反了知情同意规则。人对人脸识别数据进行处理,破解人脸识别安全验证的行为(不是入侵他人计算机信息系统后获取或下载数据,而是进行个人肖像替换,加载处理后的人脸识别视频)不构成破坏计算机信息系统罪,也不应认定为非法获取计算机信息系统数据罪,而属于非法控制计算机信息系统的行为。欺骗受害人“刷脸”,然后冒用其名义贷款或转移其账户资金,构成盗窃罪而非诈骗罪。原则上,一个人非法控制计算机信息系统,转移账户资金,获取个人信息,应当数罪并罚。
总的来说,人们应该意识到个人信息保护,但不必过于担心。毕竟人脸识别技术本身是有一定技术基础的,也是在不断发展完善的。再加上我国法律体系的监管约束,只要人们合法合理使用,人脸识别技术在很大程度上还是值得信赖的。
来源:羊城晚报
暂无讨论,说说你的看法吧