2017网络安全博览会上,观众体验利用人脸识别技术,找到与世界名画中相似的自己。 本报记者 陈静摄
如今,在我国很多城市,吃饭、住店、购物、取款等都可以依靠“刷脸”完成,市民似乎只凭自己的脸就能放心出门。然而,市民在享受便利的同时也心存顾虑,“刷脸”安全吗?本报记者就此展开调查——
在肯德基刷脸吃饭,在酒店入住时刷脸核身,在快递自提柜刷脸取件,甚至刷脸取厕纸……“刷脸时代”已在悄无声息中到来,并开始逐渐改变城市生活。
然而,“刷脸”真的靠谱吗?市民能放心使用吗?
技术突破提供保障
人脸识别技术已经超过了人的识别能力,在识别效率上也远超人类
在杭州万象城肯德基的KPRO餐厅里,记者实际体验了“靠脸吃饭”:在自助点餐机上选好餐,进入支付页面,选择“支付宝刷脸付”,进行人脸识别,再输入与账号绑定的手机号,确认后即可支付。整个支付过程,时间可控制在10秒以内。
其实,早在2年前,阿里巴巴集团董事局主席马云就曾在德国汉诺威电子展上演示过刷脸支付。从演示到商用,中科院自动化所生物识别与安全技术研究中心主任李子青表示,这意味着生物识别技术正在进入一个新的时代。
在人脸识别领域,“认得准”是一切的前提。旷视科技CEO印奇曾表示,旷视科技最早做人脸识别签到机时,使用的是五点识别,用两个瞳孔、鼻尖、两个嘴角来确认身份。但几年过去,他们已经可以通过用户面部的83个特征点来进行身份识别。商汤科技联合创始人杨帆更是在最近透露,在人脸关键点定位方面,实现了从106点到240点的突破。
来自蚂蚁金服的数据显示,人脸识别技术准确率达99.6%,配合眼纹等多因子验证,准确率为99.99%,误识率为十万分之一。北京大学信息科学技术学院智能科学系教授徐超对此表示,考虑到人眼识别的正确率仅有97%左右,因此人脸识别技术已经超过了人的识别能力,在识别效率上也远超人类。
“认得准”不仅仅停留在“认出你是你”,还要能知道摄像头前的你不是照片,不是事先录好的视频,更不是3D软件的模拟或者一副塑胶面具。这就是人脸识别中的“活体检测”问题。旷视科技旗下新型视觉服务平台Face++的安防技术专家张鑫告诉记者:“光打在人脸上和打在其他材质上反射不一样,我们通过分析结构光的反射原理,利用人工智能训练机器,让机器知道什么样的数据应该是正常的数据,什么是异常的数据,目前我们有20多个针对活体检测的算法来保障。”
场景丰富应用广泛
技术应用场景正从“轻”变“重”,金融和安防已成为目前最重要的应用场景
人脸识别的早期场景,更多是为了“好玩”。虚化人像背景、美化人脸或者在人脸正确的位置加上卡通配件。商汤科技与小咖秀、一直播、熊猫直播、花椒直播合作,为面部、手势实现各种好玩的AR特效,旷视则为美图旗下的美图秀秀APP、美颜相机、美颜手机等一系列软硬件产品提供人脸识别技术支持。
记者调查发现,人脸识别技术应用场景正在从“轻”变“重”。市场研究机构脉脉数据研究院的调研报告显示,金融和安防已成为人脸识别技术目前最重要的应用场景。
在金融领域,招行去年在全国106个城市近千台ATM机上实现了“刷脸”取款功能。有了这一神奇功能,用户可不带银行卡、身份证,不用输入银行账户,靠“刷脸”就能取款。最近,中国农业银行也在浙江等地推出具有“刷脸取款”的ATM设备。在线上,目前人脸识别已在整个蚂蚁金服的90多个场景中应用,包括线上登录、大额转账、高风险交易确认等,下一步则要向更多线下场景普及。
在安防领域,各家公司纷纷与公安部门展开合作,商汤科技表示,在广州市公安局刑警部门应用中,图腾系统上线半年来,实际比对800次,比中357人,成功抓捕嫌犯83人。这一系统在重庆、河北等地也有广泛应用。江苏省公安厅则运用依图系统,将当地常住人口和暂住人口与通缉人员照片库进行人脸比对,比对当天就成功找到了17名嫌犯。
蚂蚁金服生物识别技术负责人陈继东告诉记者:“从易到难,人脸识别的应用可以分为5级能力:刷脸解锁的辅助核身、实人验证的刷脸进站、智能核身的刷脸登录、支付核身的刷脸支付以及万物互联的无人超市,目前的技术能力正在从第三级向第四级过渡。”
用户使用尚存“隐忧”
人脸识别技术在系统、存储、传输等方面仍存漏洞,其应用可能泄露用户隐私
采用了“人脸识别”的智能产品,并非无懈可击。
在刚刚结束的2017网络安全博览会上,不少企业展示了黑客如何攻击人脸识别门禁。在腾讯的展台上,极棒实验室总监王海兵先让设备扫描了观众的脸。“现在我扮演‘黑客’开始攻击,你就进不去这扇门了,因为我用自己的人脸信息取代了你。”他在电脑上输入了几行代码,然后站在人脸识别智能门禁前,大门应声打开。
问题并不在于人脸识别技术本身,而在于人脸识别智能门禁使用的Linux系统存在漏洞。“人脸识别技术虽然在不断发展,但在系统、存储、传输等方面仍要面对考验。”志翔科技创始人蒋天仪表示。
这也正是专家们担忧的问题。赛迪网络空间研究所所长刘权表示:“在诸如机场、火车站这样的局域网里,生物识别技术安全性比较高,但作为互联网范围内的身份识别手段依然存在风险,比如它们在传输过程中,有可能被复制和模仿。”上海市信息安全行业协会会长谈剑峰也表示:“生物识别信息唯一且不可再生,一旦储存了大量生物识别信息的数据库被攻击,用户总不能换张脸来应对。”
此外,人脸识别技术也要面对隐私问题。此前谷歌就曾因隐私政策和舆论压力而暂时禁止了谷歌眼镜的开发者开发具有人脸识别功能的应用程序。国家信息中心网络安全部副主任李新友告诉记者,人脸识别意味着会在服务器端留下大量的个人隐私信息,隐私保护会变得更加重要和困难。“因此未来在监管中要明确用户的两项权利,一是知情权,用户要知道厂商收集了哪些信息,储存在哪里,二是控制权,一旦用户不用这项产品,应该能够删除自己的信息。”
不过,在服务提供商们眼里,用户倒不必过分紧张。陈继东表示,从技术上讲,人脸识别上传的数据也要经过加密和脱敏,“只有特征的输出,即使数据被截获,也无法还原成真正的人脸”。