“要的話(huà)五毛一張打包帶走�����,總共兩萬(wàn)套����,不議價(jià)�������!币晃毁u(mài)家用微信語(yǔ)音對記者說(shuō)����。他還發(fā)來(lái)兩套手持身份證的人臉照片截圖����。
“新華視點(diǎn)”記者近日調查發(fā)現���,一些網(wǎng)絡(luò )黑產(chǎn)從業(yè)者利用電商平臺���,批量倒賣(mài)非法獲取的人臉等身份信息和“照片活化”網(wǎng)絡(luò )工具及教程�����。專(zhuān)家提醒��,這些人臉信息有可能被用于虛假注冊��、電信網(wǎng)絡(luò )詐騙等違法犯罪活動(dòng)�����。
人臉數據0.5元一份修改軟件35元一套
“新華視點(diǎn)”記者調查發(fā)現�,在淘寶���、閑魚(yú)等網(wǎng)絡(luò )交易平臺上�����,通過(guò)搜索特定關(guān)鍵詞��,就能找到專(zhuān)門(mén)出售人臉數據和“照片活化”工具的店鋪����。
在淘寶上���,部分賣(mài)家以“人臉全國各地區行業(yè)可做����,信譽(yù)第一”“出售人臉四件套��,懂的來(lái)”等暗語(yǔ)招徠買(mǎi)家�����。記者隨機點(diǎn)進(jìn)一家出售“××同城及各大平臺人臉”商品的店鋪�,旋即跳轉到閑魚(yú)界面����。在該賣(mài)家的閑魚(yú)主頁(yè)中����,售賣(mài)的商品為部分平臺包含用戶(hù)人臉的信息數據����。
在閑魚(yú)平臺�,不少賣(mài)家公開(kāi)兜售人臉數據��。為了保證店鋪的“正常運營(yíng)”�����,賣(mài)家常慫恿買(mǎi)家通過(guò)微信或QQ溝通議價(jià)�����。記者近日隨機咨詢(xún)其中一位賣(mài)家����,對方用語(yǔ)音答復道“加微信聊吧����,這個(gè)說(shuō)多了會(huì )被封”�,并向記者發(fā)來(lái)了微信號�。
除售賣(mài)人臉數據外�����,一些“膽大”的閑魚(yú)賣(mài)家還出售“照片活化”工具���,利用這種工具�����,可將人臉照片修改為執行“眨眨眼����、張張嘴�����、點(diǎn)點(diǎn)頭”等操作的人臉驗證視頻�。
“一套(‘照片活化’)軟件加教程35元���,你直接付款��,確認收貨后我把鏈接發(fā)你���������!币晃婚e魚(yú)賣(mài)家在閑魚(yú)對話(huà)框內使用語(yǔ)音與記者議價(jià)��。在記者完成支付并確認收貨后��,賣(mài)家通過(guò)百度網(wǎng)盤(pán)給記者發(fā)來(lái)一個(gè)文件大小約20GB的“工具箱”�,“工具箱”里有虛擬視頻刷機包����、虛擬視頻模擬器和人臉視頻修改軟件等工具�,還有相關(guān)工具的操作教程文件����。
還有一位賣(mài)家在添加記者QQ好友后����,先發(fā)來(lái)了一些單人手持身份證的樣本照片���,隨后向記者展示了其利用工具修改上述照片后欺騙某網(wǎng)絡(luò )社交平臺人臉識別機制的效果視頻��。
目前���,記者已將調查中發(fā)現的一些線(xiàn)索移交有關(guān)公安機關(guān)����。
倒賣(mài)的人臉數據拿來(lái)做什么
“如果只是采集個(gè)人的人臉信息�����,比如在馬路上你被人拍了照���,但是沒(méi)有獲得你的其他身份信息��,隱私泄露風(fēng)險并不大���������!敝袊娮蛹夹g(shù)標準化研究院信安中心測評實(shí)驗室副主任何延哲說(shuō)��,問(wèn)題在于��,當前網(wǎng)絡(luò )黑市中售賣(mài)的人臉信息并非單純的“人臉照片”���,而是包含公民個(gè)人身份信息(包括身份證號�、銀行卡號�、手機號等)的一系列敏感數據����。
一位倒賣(mài)“人臉視頻工具箱”并聲稱(chēng)可以“包教會(huì )”的賣(mài)家告訴記者�,只要學(xué)會(huì )熟練使用“工具箱”�,不僅可以利用這些人臉數據幫他人解封微信和支付寶的凍結賬號���,還能繞過(guò)知名婚戀交友平臺及手機卡實(shí)名認證的人臉識別機制��。這位賣(mài)家還給記者傳來(lái)了幫一些“客戶(hù)”成功解封凍結賬號的截圖��。
“從技術(shù)角度看��,將人臉信息和身份信息相關(guān)聯(lián)后����,利用系統漏洞‘騙過(guò)’部分平臺的人臉識別機制是有可能的���!比四樧R別技術(shù)專(zhuān)家��、廈門(mén)瑞為信息技術(shù)有限公司研究中心總監賈寶芝認為����,盡管一些金融平臺在大額轉賬時(shí)需要多重身份認證�,但“道高一尺魔高一丈”����,網(wǎng)絡(luò )黑產(chǎn)技術(shù)手段也在不斷更新�,絕不能因此忽視賬戶(hù)安全��。
何延哲向記者舉例:如果人臉信息和其他身份信息相匹配��,可能會(huì )被不法分子用以盜取網(wǎng)絡(luò )社交平臺賬號或竊取金融賬戶(hù)內財產(chǎn)����;如果人臉信息和行蹤信息相匹配�,可能會(huì )被不法分子用于精準詐騙�����、敲詐勒索等違法犯罪活動(dòng)��。
這些包含人臉信息和其他身份信息的數據從何而來(lái)�?有賣(mài)家向記者透露����,自己所售賣(mài)的人臉信息來(lái)自一些網(wǎng)貸和招聘平臺�����;至于如何從這些平臺中獲取此類(lèi)信息�,對方?jīng)]有作答���。
需警惕利用人臉信息進(jìn)行的違法犯罪活動(dòng)
近年來(lái)���,人臉識別技術(shù)被用于金融支付�、小區安防��、政務(wù)服務(wù)等諸多場(chǎng)景����,既提高了便利性��,也通過(guò)數據交互在一定程度上增強了安全性��。
但是��,人臉數據如果發(fā)生泄露或被不法分子非法獲取����,就有可能被用于違法犯罪活動(dòng)���,對此應保持警惕����。
2019年8月�����,深圳龍崗警方發(fā)現有轄區居民的身份信息被人冒用�����,其駕駛證被不法分子通過(guò)網(wǎng)絡(luò )服務(wù)平臺冒用扣分�����。
在開(kāi)展“凈網(wǎng)2020”行動(dòng)中����,龍崗警方經(jīng)多方偵查發(fā)現�����,有不法分子使用AI換臉技術(shù)�����,繞開(kāi)多個(gè)社交服務(wù)平臺或系統的人臉認證機制�,為違法犯罪團伙提供虛假注冊���、刷臉支付等黑產(chǎn)服務(wù)�。截至目前�,龍崗警方在廣東���、河南����、山東等地已抓獲涉案犯罪嫌疑人13名����。
據警方介紹�,在上述案件中����,犯罪嫌疑人利用非法獲取的公民照片進(jìn)行一定預處理����,而后通過(guò)“照片活化”軟件生成動(dòng)態(tài)視頻�,騙過(guò)人臉核驗機制��。隨后��,通過(guò)網(wǎng)上批量購買(mǎi)的私人社交平臺賬號登錄各網(wǎng)絡(luò )服務(wù)平臺注冊會(huì )員或進(jìn)行實(shí)名認證��。
人臉信息關(guān)系到每個(gè)人的生命財產(chǎn)安全���。業(yè)內專(zhuān)家認為���,對倒賣(mài)人臉信息的黑色產(chǎn)業(yè)鏈必須予以嚴厲打擊�,立法機關(guān)需統籌考慮技術(shù)發(fā)展與信息安全����,劃定人臉識別技術(shù)的使用紅線(xiàn)�;監管部門(mén)也應對惡意泄露他人人臉和身份信息的違法行為予以堅決制止����。
明年將施行的民法典���,對自然人個(gè)人信息的范疇進(jìn)行了專(zhuān)門(mén)說(shuō)明��,生物識別信息被納入其中����。中國信息安全研究院副院長(cháng)左曉棟認為��,除民法典外����,正在制定的個(gè)人信息保護法和數據安全法也應對人臉等生物特征信息的保護作出安排�����;立法要充分考慮人臉這一特殊身份信息的可獲得性����,不能讓制定出來(lái)的法律因執行難而流于形式�。
北京師范大學(xué)網(wǎng)絡(luò )法治國際中心執行主任吳沈括認為����,網(wǎng)絡(luò )平臺對平臺上的交易行為負有監管義務(wù)�����,應嚴謹審核賣(mài)家資質(zhì)�,對平臺內經(jīng)營(yíng)者的合規情況進(jìn)行監控���、記錄����,不應允許發(fā)布任何侵犯他人人身財產(chǎn)權利或法律法規禁止的物項�����。
賈寶芝建議�,相關(guān)平臺在制定人臉識別安全規范的過(guò)程中��,要強調“人臉數據等生物特征信息”與“其他身份信息”實(shí)行完全隔離存儲���,避免將人臉數據與身份信息相關(guān)聯(lián)后發(fā)生批量化泄露���。
對于曾經(jīng)上傳過(guò)清晰手持身份證照片或同時(shí)上傳人臉照片并填寫(xiě)身份證��、銀行卡信息的用戶(hù)�����,專(zhuān)家建議�,應在開(kāi)啟人臉驗證的同時(shí)���,盡可能選擇多重驗證方式����,減輕單重人臉驗證風(fēng)險�。
商務(wù)地帶
