人脸识别有隐患
发布时间:2021-08-01 14:28:50 作者: 来源:中国银行保险报网
中国银行保险报网讯【记者 袁婉君】
现在的银行服务真是越来越方便了,客户可以通过刷脸完成开户、转账等一系列交易,笔者对此深有体会。笔者的某银行账号是动态密码加账户密码“双录”才能完成转账,而另外一家银行则是刷脸就可以,不需要录入动态密码,觉得后者更为先进和方便,每次只需要按照提示,张张嘴,眨眨眼就可以。在一般人看来,人就一张脸,而且是要求你做一些诸如张口、眨眼的动作,这样刷脸就是安全系数较高的身份识别技术了。
其实不然,人脸识别也未必如想象的那样绝对靠谱。某银行采用人脸识别技术之后,仍然发现有客户被别人冒领一张银行卡,而且还发生了银行贷款,这又是怎么回事呢?目前,银行App服务器端大数据平台组件往往独立设计、开发,并根据不同的业务需求进行组合搭建, 若是对平台组件的安全管控不当,极易造成非法访问、敏感数据泄露等安全风险。全国政协委员、上海众人网络安全技术有限公司创始人谈剑锋连续三年在政协提案中提出刷脸“不安全”的问题,在他看来,大数据在特定领域的应用是存在严重风险的,如将人脸识别、生物特征识别等应用在互联网身份认证就非常不安全。“密码丢了可以换,但生物信息是不可再生的,一旦泄露,你不可能再有第二张脸。”
在生活中,人脸数据库泄漏事件也屡见不鲜。更为可怕的是,由于生物识别信息是唯一的,是不可再生的,因此,一旦丢失或者泄露,则是永久泄露,将贻害无穷。自2017 年以来,深度伪造技术开始活跃在网络中,随着这一技术算法的日趋成熟,无论是人像还是声音、视频都可以被伪造或合成,并可达到几乎不能辨别真伪的程度,身份欺骗成功率高达 99.5%,甚至成为许多人脸识别系统的克星。
“人脸识别”是当前的发展趋势,但应避免滥用,也不应将其作为唯一的认证手段。上海财经大学法学院副院长胡凌博士说,2020年2月中国人民银行发布实施的《个人金融信息保护技术规范》,新增了“不得强迫收集个人信息的要求”、“个性化展示及退出”、“基于不同业务所收集的个人信息的汇聚融合”、“第三方接入点管理”等内容,让标准更加完善,以解决银行APP存在的“强制索权、捆绑授权、过度索权、超范围收集”的问题。同时,针对当前APP运营管理的一些不合理现象,如告知目的不明确、注销账户难、滥用用户画像、无法关闭个性化推送信息、第三方接入缺乏有效管理、内部管理职责不明等问题,进一步梳理完善条款。
《个人金融信息保护技术规范》规定,银行不得强迫收集个人信息,用户具有自主选择权利,并对“个人信息”和“个人敏感信息”做出明确的定义。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容等。
查询工行、建行、交行和招行的隐私政策,对于生物识别信息如面容和指纹登录、支付均为“选择开通”项目,的确满足了“不得强迫要求”的《个人金融信息保护技术规范》。从技术角度来看,光线条件、天气(雨、雪、雾)、用户整容等仍然会影响人脸识别结果。在转账支付、即时开卡等高安全级别业务中不能单纯依靠人脸识别技术来解决用户身份核查的问题,还需要采用双因素甚至多因素认证来提升身份核查在金融领域的安全性。
因而对银行来说,采用人脸识别是大势所趋,但有两点要特别注意,一是将人脸识别作为选择开通项目,而不是强制开通项目;二是在转账支付、即时开卡等高安全级别业务中还需要采用其他身份核实技术以进一步减少银行APP人脸识别的风险,提升金融安全水准。
中国银行保险报网讯【记者 袁婉君】
现在的银行服务真是越来越方便了,客户可以通过刷脸完成开户、转账等一系列交易,笔者对此深有体会。笔者的某银行账号是动态密码加账户密码“双录”才能完成转账,而另外一家银行则是刷脸就可以,不需要录入动态密码,觉得后者更为先进和方便,每次只需要按照提示,张张嘴,眨眨眼就可以。在一般人看来,人就一张脸,而且是要求你做一些诸如张口、眨眼的动作,这样刷脸就是安全系数较高的身份识别技术了。
其实不然,人脸识别也未必如想象的那样绝对靠谱。某银行采用人脸识别技术之后,仍然发现有客户被别人冒领一张银行卡,而且还发生了银行贷款,这又是怎么回事呢?目前,银行App服务器端大数据平台组件往往独立设计、开发,并根据不同的业务需求进行组合搭建, 若是对平台组件的安全管控不当,极易造成非法访问、敏感数据泄露等安全风险。全国政协委员、上海众人网络安全技术有限公司创始人谈剑锋连续三年在政协提案中提出刷脸“不安全”的问题,在他看来,大数据在特定领域的应用是存在严重风险的,如将人脸识别、生物特征识别等应用在互联网身份认证就非常不安全。“密码丢了可以换,但生物信息是不可再生的,一旦泄露,你不可能再有第二张脸。”
在生活中,人脸数据库泄漏事件也屡见不鲜。更为可怕的是,由于生物识别信息是唯一的,是不可再生的,因此,一旦丢失或者泄露,则是永久泄露,将贻害无穷。自2017 年以来,深度伪造技术开始活跃在网络中,随着这一技术算法的日趋成熟,无论是人像还是声音、视频都可以被伪造或合成,并可达到几乎不能辨别真伪的程度,身份欺骗成功率高达 99.5%,甚至成为许多人脸识别系统的克星。
“人脸识别”是当前的发展趋势,但应避免滥用,也不应将其作为唯一的认证手段。上海财经大学法学院副院长胡凌博士说,2020年2月中国人民银行发布实施的《个人金融信息保护技术规范》,新增了“不得强迫收集个人信息的要求”、“个性化展示及退出”、“基于不同业务所收集的个人信息的汇聚融合”、“第三方接入点管理”等内容,让标准更加完善,以解决银行APP存在的“强制索权、捆绑授权、过度索权、超范围收集”的问题。同时,针对当前APP运营管理的一些不合理现象,如告知目的不明确、注销账户难、滥用用户画像、无法关闭个性化推送信息、第三方接入缺乏有效管理、内部管理职责不明等问题,进一步梳理完善条款。
《个人金融信息保护技术规范》规定,银行不得强迫收集个人信息,用户具有自主选择权利,并对“个人信息”和“个人敏感信息”做出明确的定义。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容等。
查询工行、建行、交行和招行的隐私政策,对于生物识别信息如面容和指纹登录、支付均为“选择开通”项目,的确满足了“不得强迫要求”的《个人金融信息保护技术规范》。从技术角度来看,光线条件、天气(雨、雪、雾)、用户整容等仍然会影响人脸识别结果。在转账支付、即时开卡等高安全级别业务中不能单纯依靠人脸识别技术来解决用户身份核查的问题,还需要采用双因素甚至多因素认证来提升身份核查在金融领域的安全性。
因而对银行来说,采用人脸识别是大势所趋,但有两点要特别注意,一是将人脸识别作为选择开通项目,而不是强制开通项目;二是在转账支付、即时开卡等高安全级别业务中还需要采用其他身份核实技术以进一步减少银行APP人脸识别的风险,提升金融安全水准。
