“要的話五毛一張打包帶走，總共兩萬套，不議價。”一位賣家用微信語音對記者說。他還發(fā)來兩套手持身份證的人臉照片截圖。

記者近日調(diào)查發(fā)現(xiàn)，一些網(wǎng)絡(luò)黑產(chǎn)從業(yè)者利用電商平臺，批量倒賣非法獲取的人臉等身份信息和“照片活化”網(wǎng)絡(luò)工具及教程。專家提醒，這些人臉信息有可能被用于虛假注冊、電信網(wǎng)絡(luò)詐騙等違法犯罪活動。

倒賣的人臉數(shù)據(jù)拿來做什么

在淘寶、閑魚等網(wǎng)絡(luò)交易平臺上，通過搜索特定關(guān)鍵詞，就能找到專門出售人臉數(shù)據(jù)和“照片活化”工具的店鋪。

“如果只是采集個人的人臉信息，比如在馬路上你被人拍了照，但是沒有獲得你的其他身份信息，隱私泄露風險并不大。”中國電子技術(shù)標準化研究院信安中心測評實驗室副主任何延哲說，問題在于，當前網(wǎng)絡(luò)黑市中售賣的人臉信息并非單純的“人臉照片”，而是包含公民個人身份信息(包括身份證號、銀行卡號、手機號等)的一系列敏感數(shù)據(jù)。

一位倒賣“人臉視頻工具箱”并聲稱可以“包教會”的賣家告訴記者，只要學會熟練使用“工具箱”，不僅可以利用這些人臉數(shù)據(jù)幫他人解封微信和支付寶的凍結(jié)賬號，還能繞過知名婚戀交友平臺及手機卡實名認證的人臉識別機制。這位賣家還給記者傳來了幫一些“客戶”成功解封凍結(jié)賬號的截圖。

“從技術(shù)角度看，將人臉信息和身份信息相關(guān)聯(lián)后，利用系統(tǒng)漏洞‘騙過’部分平臺的人臉識別機制是有可能的。”人臉識別技術(shù)專家、廈門瑞為信息技術(shù)有限公司研究中心總監(jiān)賈寶芝博士認為，盡管一些金融平臺在大額轉(zhuǎn)賬時需要多重身份認證，但“道高一尺魔高一丈”，網(wǎng)絡(luò)黑產(chǎn)技術(shù)手段也在不斷更新，絕不能因此忽視賬戶安全。

何延哲向記者舉例：如果人臉信息和其他身份信息相匹配，可能會被不法分子用以盜取網(wǎng)絡(luò)社交平臺賬號或竊取金融賬戶內(nèi)財產(chǎn);如果人臉信息和行蹤信息相匹配，可能會被不法分子用于精準詐騙、敲詐勒索等違法犯罪活動。

這些包含人臉信息和其他身份信息的數(shù)據(jù)從何而來?有賣家向記者透露，自己所售賣的人臉信息來自一些網(wǎng)貸和招聘平臺;至于如何從這些平臺中獲取此類信息，對方?jīng)]有作答。

劃定人臉識別技術(shù)使用紅線

近年來，人臉識別技術(shù)被用于金融支付、小區(qū)安防、政務(wù)服務(wù)等諸多場景，既提高了便利性，也通過數(shù)據(jù)交互在一定程度上增強了安全性。

但是，人臉數(shù)據(jù)如果發(fā)生泄露或被不法分子非法獲取，就有可能被用于違法犯罪活動，對此應(yīng)保持警惕。

去年8月，深圳龍崗警方發(fā)現(xiàn)有轄區(qū)居民的身份信息被人冒用，其駕駛證被不法分子通過網(wǎng)絡(luò)服務(wù)平臺冒用扣分。

在開展“凈網(wǎng)2020”行動中，龍崗警方經(jīng)多方偵查發(fā)現(xiàn)，有不法分子使用AI換臉技術(shù)，繞開多個社交服務(wù)平臺或系統(tǒng)的人臉認證機制，為違法犯罪團伙提供虛假注冊、刷臉支付等黑產(chǎn)服務(wù)。截至目前，龍崗警方在廣東、河南、山東等地已抓獲涉案犯罪嫌疑人13名。

據(jù)警方介紹，在上述案件中，犯罪嫌疑人利用非法獲取的公民照片進行一定預處理，而后通過“照片活化”軟件生成動態(tài)視頻，騙過人臉核驗機制。隨后，通過網(wǎng)上批量購買的私人社交平臺賬號登錄各網(wǎng)絡(luò)服務(wù)平臺注冊會員或進行實名認證。

人臉信息關(guān)系到每個人的生命財產(chǎn)安全。業(yè)內(nèi)專家認為，對倒賣人臉信息的黑色產(chǎn)業(yè)鏈必須予以嚴厲打擊，立法機關(guān)需統(tǒng)籌考慮技術(shù)發(fā)展與信息安全，劃定人臉識別技術(shù)的使用紅線;監(jiān)管部門也應(yīng)對惡意泄露他人人臉和身份信息的違法行為予以堅決制止。

明年將施行的民法典，對自然人個人信息的范疇進行了專門說明，生物識別信息被納入其中。中國信息安全研究院副院長左曉棟認為，除民法典外，正在制定的個人信息保護法和數(shù)據(jù)安全法也應(yīng)對人臉等生物特征信息的保護作出安排;立法要充分考慮人臉這一特殊身份信息的可獲得性，不能讓制定出來的法律因執(zhí)行難而流于形式。

北京師范大學網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括認為，網(wǎng)絡(luò)平臺對平臺上的交易行為負有監(jiān)管義務(wù)，應(yīng)嚴謹審核賣家資質(zhì)，對平臺內(nèi)經(jīng)營者的合規(guī)情況進行監(jiān)控、記錄，不應(yīng)允許發(fā)布任何侵犯他人人身財產(chǎn)權(quán)利或法律法規(guī)禁止的物項。

賈寶芝建議，相關(guān)平臺在制定人臉識別安全規(guī)范的過程中，要強調(diào)“人臉數(shù)據(jù)等生物特征信息”與“其他身份信息”實行完全隔離存儲，避免將人臉數(shù)據(jù)與身份信息相關(guān)聯(lián)后發(fā)生批量化泄露。

對于曾經(jīng)上傳過清晰手持身份證照片或同時上傳人臉照片并填寫身份證、銀行卡信息的用戶，專家建議，應(yīng)在開啟人臉驗證的同時，盡可能選擇多重驗證方式，減輕單重人臉驗證風險。