科技首頁創(chuàng)事記互聯(lián)網(wǎng) 電信 IT業(yè)界投稿

躲都躲不掉的人臉識別誰在靠你的“臉”賺錢?

2020-12-10 09:17:49 創(chuàng)事記作者：深燃

　　歡迎關注“創(chuàng)事記”的微信訂閱號：sinachuangshiji　

　　文/周繼鳳

　　來源：深燃（ID：shenrancaijing）

　　“不知道到底誰搜集了你的人臉信息，也不知道一般如何保存，更不知道這些信息會被拿來做什么。”

　　家住北京通州區(qū)某小區(qū)的業(yè)主張先生，最近突然被小區(qū)物業(yè)通知“小區(qū)門禁要改成人臉識別”。在業(yè)主們的一片歡呼聲中，他顯得有些“異類”，“我比較擔憂的是，這些搜集的人臉信息會存儲到哪兒？數(shù)據(jù)會不會被泄露？但小區(qū)大部分人不關心人臉識別的隱患，也覺得自己的臉不值錢。”

　　而遠在廣東東莞的市民最近發(fā)現(xiàn)，去公共廁所上廁所需要刷臉取廁紙。市民需要站在機器前的識別區(qū)內，將臉對準機器上人臉識別的顯示屏，間隔3秒鐘，機器緩緩“吐”出長約90厘米的廁紙。

　　前不久，一段“男子戴頭盔看房”的視頻在網(wǎng)絡上瘋傳。原來是一些地產(chǎn)售樓部開始使用人臉識別技術進行客戶比對，以防“飛單”，而頭盔男子是為了保護自己的臉。

　　人臉識別幾乎充斥了我們的生活，躲都躲不掉。

　　相對應的，灰產(chǎn)也隨之猖獗。深燃發(fā)現(xiàn)，在QQ、淘寶、閑魚、百度貼吧、知乎等平臺上，人臉相關信息和“代過人臉識別”的服務正在被堂而皇之地交易著。

　　要命的是，“目前對于采集數(shù)據(jù)的防護，更多的看廠商的自覺”。盡管人臉識別市場巨頭扎堆，長出了不少獨角獸，市場規(guī)模即將突破百億元，但行業(yè)目前的狀態(tài)是缺乏監(jiān)管規(guī)范。

　　不止一位業(yè)內人士指出如果應用開發(fā)公司和云端公司技術能力跟不上，或內部人員泄密，很有可能泄露人臉信息。無論采集、運營、存儲哪一環(huán)出現(xiàn)了問題，你的臉以及身份證等私人信息很容易在大數(shù)據(jù)時代裸奔。有媒體曾曝出幾十萬張戴口罩的人臉照片正以2毛錢一張的價格販賣，這些照片一半是通過網(wǎng)絡爬取，一半來自真實世界。

　　而由于人臉與個人身份信息綁定，一旦丟失人臉信息，個人將面臨難以想象的后果。對于人臉識別安全的擔憂，一時間讓這個日漸普及的新技術站上了風口浪尖，究竟誰在拿我們的臉賺錢？這項技術日趨泛濫，我們究竟該如何保護自己？

　　泛濫的人臉識別

　　不知從何時起，我們已經(jīng)被各式各樣的人臉識別包圍，尤其疫情之后，無接觸的需求更是加速了人臉識別出現(xiàn)在普通人生活中的頻率。現(xiàn)在，進入任何一個公共場所之前，請先刷臉。

　　進入醫(yī)院，先在門口人臉識別測溫；去商場逛街，門口保安攔下你讓你刷臉；出入車站，需要人臉識別認證；很多小區(qū)物業(yè)以安全的名義，先斬后奏引進人臉識別系統(tǒng)；部分演唱會需要人臉識別實名入場，一些人臉識別系統(tǒng)甚至通過攝像頭識別出了有案底的在逃人員……

　　我們每天使用的有支付功能的APP也紛紛上線了活體人臉識別技術，它們都需要實名認證，那都離不開人臉識別。

　　在這些安防、金融風控領域，人臉識別成了身份認證的強制手段，普通人難以拒絕。

　　除此之外，不少場景以方便快捷之名也“刷起了臉”。去便利店購物，可以選擇刷臉支付；去健身房運動可以選擇刷臉出入；刷臉認證已經(jīng)成為手機APP、電子產(chǎn)品密碼解鎖的替代選擇。更為極端的情況是，據(jù)媒體報道，北京某小區(qū)的垃圾桶都用上了人臉識別，垃圾桶蓋在識別出居民身份后才自動打開。

　　2019年發(fā)布的《中國刷臉支付技術應用社會價值專題研究報告》顯示，這一年將成為中國刷臉支付的元年，用戶數(shù)將達到1.18億，2022年國內刷臉支付的用戶將超過7.6億人。

　　人臉識別技術還進入了部分高校和中小學校。有學校開始用人臉識別記錄分析學生在課堂上的表情，目的是為了“方便”老師教學。

　　更可怕的是，越來越多的場景在當事人沒有感知的情況下，悄無聲息獲取人臉信息，成了商家“熟客識別”、營銷定位的數(shù)據(jù)來源。比如為了精準營銷，不少地區(qū)上線了人臉識別廣告屏，這些廣告屏通常設置在電梯間旁，路過電梯間的人們會被攝像頭捕捉人臉信息。比如，“看房戴頭盔”事件背后是幾乎所有的房地產(chǎn)售樓部都安裝了人臉識別系統(tǒng)，通過對客戶進行人臉比對，防止“飛單”。

　　總的來說，“安防是人臉識別落地最早和最廣的應用場景，其次是金融行業(yè)的風控、營銷等。”愛分析分析師黃勇總結道。

　　但細思極恐的是，大部分人臉信息的收集未經(jīng)當事人同意，沒人知道自己的人臉信息存儲在何處，更不知道自己的“臉”是否會被私下販賣、交易甚至用于違法勾當。

　　因為人臉信息涉及到身份ID認證，一張臉對應一個身份信息，如果一個人的人臉信息、身份證信息同時被不法分子獲取，相當于實現(xiàn)了個人信息匹配，就有極大的可能性被冒用身份辦理網(wǎng)貸、注冊軟件或網(wǎng)站、甚至解鎖支付軟件、精準詐騙等等。

　　“不同于一般的賬號、手機號，人就一張臉，人臉信息被盜取只能去整容換臉了，否則被盜取了經(jīng)匹配的人臉信息后，你每天出門就相當于腦門上頂著信用卡在走路，是很危險的。”日本二維碼聚合支付平臺NETSTARS CTO陳斌曾對深燃指出。

　　猖獗的灰黑產(chǎn)

　　泛濫的人臉識別背后，則是規(guī)模龐大、亂象叢生的人臉識別市場，有水面之上光鮮的一面，就有隱藏在水面之下的灰黑產(chǎn)業(yè)鏈。

　　深燃觀察發(fā)現(xiàn)，因為需求旺盛，靠人臉信息賺錢的灰產(chǎn)遍布百度貼吧、淘寶、知乎、QQ等我們常用的社交平臺。

　　深燃在QQ上搜索“人臉識別”相關關鍵詞，就跳出了數(shù)個QQ群，進群后發(fā)現(xiàn)，不斷有買方賣方發(fā)布需求和可承接的業(yè)務，一分鐘就有十幾條消息滾動，不難看出生意熱火朝天。

　　“微信支付限制誰可以解”、“登錄閑魚人臉有沒有人能做”、“拼多多人臉能搞來，第一次合作先搞后費，后期大量單”，底下立馬有人回應：“我加你”。

　　群里還有人是“收料的”（也就是購買身份證信息、人臉信息），“真人現(xiàn)拍也行，價格到位。”一位群友在群里說道。

　　據(jù)深燃觀察，群里最多的業(yè)務當屬針對微信和支付寶等支付類產(chǎn)品的人臉識別破解技術。有人不停地吆喝售賣，“接微信人臉解封，本人凍結、收款限制，接別人過不去的采集，成功率99%”。

　　其次是互聯(lián)網(wǎng)產(chǎn)品的代過人臉識別的需求，社交類平臺如陌陌、探探，電商類如拼多多，以及愛迎彼、58同城的公司注冊。

　　應灰黑產(chǎn)的需求，滋生出了諸多提供身份證、人臉信息以及“代過人臉識別”技術的中間商。

　　提供“代過人臉識別”服務的商家能將照片“活化”，生成動態(tài)視頻，從而騙過人臉核驗機制。

　　有些黑產(chǎn)買家非法獲取支付寶賬號的相關信息后，如登陸郵箱賬號、登陸密碼、支付密碼、注冊人姓名、身份證號碼等，還需要借助“代過人臉識別”技術將倒賣來的賬號實名認證，再將賬號賣出。

　　還有些活躍在社交、電商APP上的黑產(chǎn)從業(yè)者，也是借助人臉信息以及代過技術繞過平臺上的人臉識別認證，實施精準詐騙。據(jù)媒體報道，繞過58同城人臉識別的騙子就能發(fā)布招聘信息實施詐騙，在陌陌等社交平臺有騙子借助“代過人臉識別技術”繞過實名認證，進行情感詐騙等勾當。

深燃與人臉技術提供方的QQ對話

　　深燃以手中掌握大量支付寶賬號的買家身份，加了一位可以“代過人臉識別”的商家，對方表示提供支付寶賬號就可以幫忙搞定動態(tài)人臉識別認證，一張臉25元，另外，還可針對社交平臺上的活體動態(tài)人臉識別認證提供“代過服務”。

深燃與代過人臉技術提供方的QQ對話

　　群內另一位售賣人臉信息的賣家對深燃介紹，一張大頭照是25元，一張身份證信息是30元。并且隨手發(fā)來了兩張清晰的大頭照和身份證照片，但又迅速撤回。

　　對于這個定價，對方解釋道，以前那些便宜的5毛錢一張的，都被人臉識別過多次了，根本過不了，而他提供的是“最新的”，價格貴一些。

　　曾有媒體曝光，有黑產(chǎn)從業(yè)者在淘寶、閑魚上以人臉數(shù)據(jù)0.5元一份、“照片活化”網(wǎng)絡工具及教程35元一套在售賣。

　　北京青年報也曾報道，有商家在網(wǎng)絡商城兜售“人臉數(shù)據(jù)”，涵蓋2000人的肖像，共計17萬條，照片的主人公不僅有明星，還有不同職業(yè)、不同年齡的普通人。此外，每張照片搭配一份數(shù)據(jù)文件。

　　盡管近來人臉識別灰產(chǎn)被頻繁關注，但并不妨礙從業(yè)者們賺錢。深燃在淘寶、閑魚、百度貼吧、知乎上也發(fā)現(xiàn)了“代過人臉識別”交易，據(jù)了解，提供的服務和前文所述大同小異。

淘寶、閑魚、知乎、百度貼吧上的“代過人臉識別”交易

　　靠“臉”吃飯的企業(yè)們

　　灰黑產(chǎn)叢生，但必須要承認，人臉識別本是一門正當?shù)暮蒙狻?/p>

　　首先，技術本身是相對成熟的。“相比體態(tài)識別、行為軌跡識別等更為復雜場景的識別技術來說，人臉識別相對比較簡單，主要是靜態(tài)場景，而且數(shù)據(jù)也比較豐富。”黃勇指出。

　　技術門檻沒那么高，就意味著好進入。而作為個人生物特征的人臉，實際上已經(jīng)成為對一個人進行身份認證的重要手段，一張臉只對應一個人，這種唯一性，滿足了大量需要身份認證的場景的需求，也使得人臉識別的應用場景非常廣泛，落地場景、商用變現(xiàn)都變得容易。比如人稱”AI四小龍”的商湯科技、曠視科技、云從科技、依圖科技都是從人臉識別起家。

　　技術成熟，還能立馬落地商用，沒有哪家公司愿意放棄這塊蛋糕。事實上，“無論是傳統(tǒng)廠商、互聯(lián)網(wǎng)巨頭，還是中小創(chuàng)新型廠商，只要是場景解決方案里需要用到人臉識別，其業(yè)務或多或少都會涉及到這一技術”黃勇指出。

　　聞到錢的味道，上游的人工智能芯片、算法技術和數(shù)據(jù)集公司，中游提供解決方案的技術公司，以及下游人臉識別相關具體場景的應用公司，各種看似與人臉識別八竿子打不著的機構紛紛跑步入場，推動著整個賽道駛入快車線。

　　就目前來看，如今的賽道已經(jīng)被這幾類玩家瓜分。

　　最令人矚目的當屬“AI四小龍”在內的AI初創(chuàng)企業(yè)，它們以核心識別算法為主打優(yōu)勢，最早將目光瞄準了人臉識別技術，且商業(yè)模式以2B、2G為主。比如曠視科技在2014年選擇與支付寶合作，找到了第一個商業(yè)化落地場景；云從科技最早布局的是金融、安防領域，先后拿下了公安部、四大銀行等標桿單位，最近還成為了“海關總署2020年動態(tài)人臉識別綜合應用系統(tǒng)”的解決方案提供商。

　　老牌的安防企業(yè)如海康威視、大華股份、川大智勝、歐比特等也在虎視眈眈。掌握用戶數(shù)據(jù)的運營商如移動、聯(lián)通等，以及集成商(如中移建設、東華軟件)、各省廣電公司等都試圖分食蛋糕。

　　值得注意的是，互聯(lián)網(wǎng)巨頭們已經(jīng)成為一股不可小覷的勢力，早已開始投資或自研相關的人臉識別技術。比如，螞蟻金服開始獨立研發(fā)人臉識別技術；百度最近發(fā)布了四款度目硬件：人臉應用套件H1、AI鏡頭模組C1、視頻分析盒子B1、人臉抓拍機VH-01；騰訊推出騰訊優(yōu)圖，積累研發(fā)有關人臉識別的技術與應用，于今年年初研發(fā)出了口罩佩戴識別專用AI，戴著口罩也能人臉識別。

　　“人臉識別相當于人工智能時代的一個基礎技術能力，而巨頭本身就有大量的可應用場景，同時，這些巨頭不缺資金和技術，目前也在對外輸出，轉而做to B業(yè)務。”黃勇稱。

　　誰在泄露你的臉

　　2019年，一位杭州大學教授將杭州野生動物園告上了法庭，引發(fā)了全國關于人臉識別技術安全隱患的討論。人們這才發(fā)現(xiàn)，便捷、無處不在的人臉識別背后，實際上存在著想象不到的安全隱患。

　　水面之上，人臉識別市場巨頭叢生、前景廣闊，便捷了生產(chǎn)和生活，但水面之下，大量泄露的人臉信息被販賣交易，作價只有幾毛錢。人們刷一下臉，個人信息就有可能裸奔在互聯(lián)網(wǎng)上。

　　問題和漏洞究竟出在哪？

　　多位業(yè)內人士表示，如今的人臉識別技術應用廣泛，這些收集上來的人臉信息，依據(jù)部署方式不同、數(shù)據(jù)存儲的地方也不盡相同，有些是上傳到云端，有些則是上傳到本地化的后端服務器上。

　　“而數(shù)據(jù)的泄露大概率出現(xiàn)在兩個環(huán)節(jié)，應用開發(fā)公司和云服務廠商。”一位業(yè)內人士向深燃表示，這兩個環(huán)節(jié)可能由于技術能力不足而遭黑客攻擊、或因對內部員工的權限管理不嚴，而數(shù)據(jù)外泄，成了灰黑產(chǎn)的盤中餐，不過大公司在安全防護上相對好一些。

　　360城市智能集團執(zhí)行總裁、360視覺總經(jīng)理邱召強曾對媒體證實，“360視覺曾對市面上的人臉識別設備測試，發(fā)現(xiàn)70-80%沒有任何安全防護，基本處于裸奔狀態(tài)。攻擊它們甚至不需要黑客，一個網(wǎng)絡工程師就能通過wifi、藍牙或者網(wǎng)線等方式遠程接入端口，除了‘竊取’數(shù)據(jù)，還能植入定向傳輸?shù)哪抉R程序，讓設備自動傳輸數(shù)據(jù)到指定IP。”

　　但這不單是技術的問題，一位長期關注AI行業(yè)的投資人表示，“針對數(shù)據(jù)泄露，最有可能解決的是區(qū)塊鏈技術，但實際上在現(xiàn)有的框架下，數(shù)據(jù)很難做到100%安全。所以只能通過法律法規(guī)強制性規(guī)定的方式。技術永遠是道高一尺魔高一丈，只要有技術存在，就一定有漏洞。”

　　一位分析師也告訴深燃，“因為缺乏具體的法律法規(guī)，目前對于采集數(shù)據(jù)的防護，更多的看廠商的自覺。”