对于买卖人脸识别信息,北京市贾云律师事务所律师赵占领表示,根据《民法典》,公民对个人信息享有民事权利,未经本人同意非法收集、买卖他人信息将构成民事侵权。人的面部特征信息是能够直接识别特定自然人真实身份的信息,属于个人信息的范畴。未经用户同意买卖个人信息,涉嫌违法犯罪。
黑货销售中的“与时俱进”。
在微博注册人脸验证时,提示张女士身份证信息已注册,但之前没有下载使用过微博。
张女士咨询微博服务了解到,她在注册微博时表示“身份证已绑定其他账号”或“身份证使用次数超过限制”,因为身份证已绑定其他账号。目前一个身份证号可以绑定两个微博账号。当绑定到身份证号的账号数量达到上限时,当前身份证号不能再用于验证。
“我的信息肯定被泄露了。”张女士说,她平时比较注重个人信息保护,除了上学、办银行卡、办电话卡、住酒店、买机票,其他地方都没用过身份证。
张女士的经历并不独特。很多网友发帖称自己在微博、QQ、微信官方账号等注册。并发现自己的个人身份信息被盗。
随着个人信息被冒用数量的增加,与网络相关的反馈和投诉也在增加,随之而来的是平台各大app的安全验证升级,以动态人脸识别作为安全验证方式。在APP平台安全验证升级的迭代中,这个黑色产业链的从业者也在钻漏洞,在“研究”如何解决这个“困境”。这一伴随互联网实名登记系统发展而兴起的黑色产品利润链,也从最初的售卖姓名、身份证号的集合,升级为售卖手持身份证照片、人脸视频、照片动态处理软件的集合。
某暗网卖个人信息的黑卖家介绍身份证正反面照片、手持身份证照片、面部点头摇头视频、一套100元,量大可以打折;如果一次买100套,价格可以降到10元一套。“如果数量少,真的不便宜,收集这些信息的成本也高。”。
随后,对方发了两个别人录的张嘴、眨眼、点头、摇头的视频,说“这些视频都是真人录的,验证大部分app都没问题,比照片处理的动态视频还高。”。
在一个1700多人的QQ群中,每天都有新人加入购买人脸识别和验证技术。屏幕上显示程序运行的图片
验证视频大多来自"网络兼职"。
很多黑卖家表示,他们开发的应用包括借贷和走路赚钱,他们出售的信息来自用户下载注册这些应用时收集的信息。“这些人中大多数是工厂工人,还有一些人在网络兼职"
但是这些在网上列表的兼职员工,并不知道自己在做一些App认证列表的时候会泄露自己的隐私。
来自山西的白女士告诉新京报记者,她在六个月前开始做一些的事情,比如刷单子。有时候刷单量有限的时候,她会做一些App认证的列表。
白女士说,这些名单需要扫描对方提供的二维码,下载App,然后进行实名认证。大部分实名认证流程将允许在注册成功前上传身份证正反面照片和人脸识别。一张单子大概5元到15元不等,有些认证要求比较复杂,价格会比较高。
在兼职刷单中,有些人只需要上传自己的姓名和身份证号,所以人脸识别每3元的价格可能在十元以上。白女士说,有些应用在做人脸认证的时候,会多一点眨眼和摇头,或者脸离得近一点,会更容易通过。
“没想到有人用这种方式收集个人信息,也没听说过有人收集人脸识别的动态视频。”白女士说,刚开始领取申请报名单的时候,遇到身份和人脸信息的验证,她有些犹豫,但后来觉得群里的人都在接单,没听到什么问题,就开始这么做了。
兼职认证导致的数据泄露应被视为少数。有媒体报道,80%的个人信息数据被泄露,这是内部员工造成的。
很多黑人交易员也认可这种说法。有交易者称,今天市面上流通的手持身份证照片,大部分是在微贷平台和公司野蛮发展过程中泄露的,也有一些是从各个行业收集的。这种信息的交易和使用一般不会被发现。“当时很多人借钱不还,所以平台拿出资料出售。一开始很贵,现在层层倒卖更便宜。”。
另外,如今人们在日常使用App、进出店铺等场合都需要进行人脸信息的识别和采集,也有人以人脸识别技术开发和系统测试的名义进行信息采集。
在网上,新京报记者注意到,有人发布了招聘信息采集员的信息,其工作是在农村采集身份证和人脸信息,并赠送食用油、锅等商品作为礼物。
某黑商出售的人脸识别验证包,包括软件和教程。屏幕上显示程序运行的图片
黑产圈“四件套”。
与现实生活中的视频录制相比,照片中的人脸由软件动态处理形成验证视频,成本更低。
3月31日,新京报记者通过QQ群进行条件搜索,在搜索框中输入了“穿越人脸”、“识别技术”等关键词,出现了很多相关的QQ群。记者随机加入了6个QQ群,发现这些群的成员从100多个到1700多个不等,不时有新成员加入。
在QQ群中,搜索关键词“人脸识别”,会出现多组黑色产品。屏幕上显示程序运行的图片
在QQ群中,不时有人发布卖微信号和换脸软件的信息,也有人在问如何动态处理照片中的人物,通过人脸识别验证。
此外,新京报记者因需要购买人脸认证技术和软件而加入群后,不少黑信息卖家在3小时内添加好友了解其需求。
这些黑人卖家说他们卖照片抠图,
动态化处理等软件,使照片中的人物张嘴、眨眼、左右摇头和上下点头。之后,通过特定手机开“外挂”进行人脸识别,“我们一般用于验证微信、QQ、陌陌多一些,其他软件也都可以人脸验证。”3月31日,一名从事黑产买卖的商户在其QQ空间发布消息称,由于微信安全验证升级,暂时已无法通过人脸识别验证,自己正在研究办法。4月3日,这名商户表示已经攻克新的安全验证,可以接单。
此外,这些商户还售卖身份证正反照片、手持身份证照片以及带有人脸的照片,在黑产圈俗称为“四件套”,每套价格在0.5元至3元不等。
当被问起这些证件照片的来源,商户在聊天过程中便开始谨慎起来。最后新京报记者表示对四件套信息有大量需求的情况下,一名卖家表示有人专门负责收集,自己也是从别人那里买来再卖的。
△黑产卖家售卖的个人信息,包括身份证号及照片等。截图
开“外挂”软件进行人脸识别
无论是真人录制视频还是照片动态化处理,在完成App人脸动态验证的重要工具就是手机和外挂软件。
新京报记者通过向黑产卖家询问得知,从二手交易平台上花费200余元就可以买来某品牌二手R9手机,然后将刷机包植入到手机中。
部分App平台在人脸识别验证过程中,屏幕会变成红、黄、蓝三种颜色,以此验证脸部的亮光,但使用相关外挂软件,也可以完成验证。
“给手机刷机的目的就是获得手机操作的更多权限。”对于照片动态处理后通过人脸识别验证的原理,有两名黑产卖家表示,当App需要通过摄像头进行人脸验证时,用手遮挡摄像头,手机“外挂”就会启动,通过修改相关数据和设置,将提前做好的动态人脸视频导入到App中,便完成认证。
“真人录的视频通过率肯定高,照片处理的话要看天赋,不能保证你每一次验证都能通过,要看你制作的人脸动态视频是否细致。如果第一次验证失败,就多验证几次,后面可能就会通过。”一名黑产卖家表示,盗用他人信息进行App账号注册和验证属于违法行为,且国家打击力度较大,所以自己只卖软件和教学,并不会直接操作。
按照这名黑产卖家的提示,新京报记者花费500余元购买了一部安卓手机和一套动态处理软件及教学,黑产卖家附送30套身份证正反面照片和手持身份证照片。
在实际体验过程,按照黑产卖家的说法,使用刷过机的某品牌R9手机,将处理后的人脸动态视频保存在这部手机上,并打开App进行用物品遮挡摄像头,使摄像头处于黑屏状态,便可顺利通过安全验证。
新京报记者使用该方法,在探探及智联招聘等平台上,都通过了人脸识别。
探探客服工作人员向新京报记者表示,如果发现个人身份信息被盗用认证,只能用户发现后向平台反映,之后用户需要向平台提供本人的身份信息进行审核,审核通过后平台会对已经认证账号进行封禁处理。对于探探平台人脸识别认证漏洞问题,他们将会把情况向上进行反馈。
智联招聘、陌陌等平台的客服人员均表示,对虚假的人脸识别目前没有很好的应对措施,之后会对该情况反馈处理。
△一名黑产商贩售卖真人人脸识别视频,喊价150元一套。截图
律师:私自贩卖人脸信息属于违法行为
个人信息贩卖后被非法使用的案例并不少。
在中国裁判文书网上,一起关于人脸识别验证的刑事判决书显示,从2018年7月份开始,被告人张某、余某等人以牟利为目的,使用其购买的公民个人身份信息注册支付宝账号,并使用软件将公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证。
通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励(包括邀请新人红包、通用消费红包、花呗红包等),而每个新注册支付宝至少可以获取28元收益。截至案发,该团伙非法收集近2000万条公民身份信息,共使用他人公民个人身份信息注册成功至少547个通过人脸识别认证的实名支付宝账户,获利4万元。
北京云嘉律师事务所律师赵占领表示,人的脸部特征信息是能够直接识别特定自然人的真实身份的信息,属于个人信息范畴,如果未经用户同意买卖个人信息是违法行为甚至是犯罪行为。
据《民法典》规定,公民对个人信息享有民事权利,未经本人同意非法收集买卖他人信息会构成民事侵权。另外《刑法修正案(九)》规定了侵犯公民个人信息罪。买卖高度敏感的个人信息达到一定数量,符合司法两高的司法解释中所规定的立案标准的行为就涉嫌刑事犯罪。在这个过程中,无论买方还是卖方都涉嫌构成侵犯公民个人信息罪。
自然人的个人信息被他人非法买卖之后,用于一些违法甚至犯罪行为,那么他对此并不承担法律责任。但需要举证去证明个人信息是被他人非法获取并盗用的。个人信息方面的刑事案件比较多,公安机关每年都会抓获大量侵犯公民个人信息的犯罪嫌疑人。
如何保护我们的脸?
如何让个人信息在发挥价值的同时又不被非法获取或利用,如何明晰人脸识别技术的应用边界,如何通过立法和监管更有效地保护我们的脸,让我们不再为“颜面何存”而忧……这些都是亟须关注和解决的问题。
《民法典》提出合法、正当、必要三原则
大数据时代,个人信息被誉为“新时代的石油”。而人脸信息是高度敏感的个人信息,人脸识别技术就是基于人的脸部特征信息及其不可更改的特性进行身份核验的一种生物识别技术。这一技术还具有无接触、交互性强、高效迅速、符合人类识别习惯等优势。
当前,人脸识别技术愈加成熟,应用场景逐渐广泛,成本也在不断降低,一个个本具生命体征的人便转化成了一串串代码,面临着被替代、被冒用的风险。
中国社科院大学互联网法治研究中心执行主任刘晓春指出,个人信息泄露的风险是不容忽视的。人脸识别技术在现阶段并不算成熟,很多人脸采集的主体没有严格的安全措施要求和技术测试,有时使用照片或者一段视频就可以被识别,存在密码泄露、账户盗用的风险。
今年3月,清华大学教授劳东燕就在园区门禁问题上绷紧了谨慎的弦,因她所居住的小区实施安装人脸识别门禁计划,她特地写了法律函寄到物业公司和居委会以引起他们对“人脸识别潜在风险”的注意。最终,小区在“刷脸”进出方式之外,增加了刷门禁卡、手机等方式。
此前,关于保护个人信息的专门立法一直未出台,以至于“强制刷脸是否合规合法”的问题步入到相对尴尬的境地之中,于今年实现落地的《民法典》在一定程度上填补了这一领域的空白。
一方面,它规定了个人信息的处理原则和条件。要求处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。另一方面,它也明确了个人信息主体的权利,即自然人可以向信息处理者查阅或者复制其个人信息,有权提出异议并请求及时采取更正等必要措施,发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
但《民法典》中的相应规定在适用过程中仍存诸多难题。劳东燕认为,保护个人信息不只是“同意”的问题,除了得到个人授权外,个人信息在保管和使用方面都应该得到明确,“《民法典》只能做比较概括性的规定,未来还需要有一些细节性的规范。”
中国信息安全研究院副院长左晓栋表示,由于人脸识别技术应用场景很多,所以还需要专门的文件予以规范,“例如,什么叫人脸识别技术应用的‘合法正当必要’?这需要专门作出规定。”
中国电子技术标准化研究院网安中心测评实验室副主任何延哲也指出,人脸识别特殊的场景需要在法律法规中得到细化,“合法、正当、必要”三原则虽然能把所有的个人信息保护的事情涵盖,但这样的原则通常比较笼统,所以有一些企业在应用人脸识别的时候,可能会钻一些空人脸识别黑产子,变得更倾向于商业利益,而不是倾向于个人消费者的权益。
仍需对人脸识别不同场景进行规范
2020年10月13日第十三届全国人大常委会第二十二次会议对《个人信息保护法(草案)》进行了初次审议。九天之后,中国人大网公布《中华人民共和国个人信息保护法(草案)》并对其公开征求意见。
相较于《民法典》而言,《个人信息保护法(草案)》深入总结了《民法典》《网络安全法》等法律法规和《个人信息安全规范》等国家标准的实施经验,更加具体地规定了个人信息保护的原则,将个人信息保护实践中行之有效的做法和措施上升为法律规范。同时,后者还做好了与前者的衔接工作,也就实践中出现的个人信息保护新问题、新场景进行了必要的规制和留下弹性的空间。
但部分条文仍有待进一步探讨和调整。对此,刘晓春表示,目前而言,《民法典》、《网络安全法》、《消费者权益保护法》和即将出台的《个人信息保护法》所构建的法律体系已经相对完备,但需要针对具体的领域,比如金融、生物信息识别、人脸识别等不同场景进行整治,从而清晰地指引具体实践操作。
同时,她还认为,人们对人脸信息被收集之后因保护不周而被泄露的担忧在当前更多的是一种猜测,到目前为止没有证据显示人脸的滥用和泄露形成了一种明显的趋势。因此在风险可控的情况之下,信息采集、处理、保护得当,人脸识别作为一种身份验证的手段,不能被当作“洪水猛兽”。
在她看来,个人信息售卖的黑色产业链才是对个人信息威胁最大的部分,以黑客的犯罪活动为代表的个人信息买卖,已经成为一种产业链。暗网中出售个人信息的行为被称做黑产灰产,犯罪分子会在侵害个人信息的基础上进行诈骗或者传播违法内容。
2019年以来,人脸识别技术在不断更新迭代的同时,人脸信息泄露并被违法售卖的事情也有增无已。近期,上海检方公诉的一起涉案金额超5亿元的虚开发票案就牵出了非法人脸识别案。
在此案中,犯罪嫌疑人先从他处以30元每个的价格购买他人的高清头像和身份证信息,之后利用“活照片”App对高清头像进行处理,让照片“动起来”,形成包括点头、摇头、眨眼、张嘴等动作视频然后利用特殊处理的手机“劫持”摄像头,在人脸认证环节时,手机摄像头不会启动,系统获取的是之前做好的视频。系统会认为是本人在摄像头前,最后通过认证,完成“皮包公司”注册,用于为他人开具增值税普通发票。据犯罪嫌疑人交代,其破解的App类别非常广泛,涉及政务、安防、金融、支付、生活消费等用户量巨大的App。每单的破解价格从25元到300元不等。
由此来看,人们在App的使用中同样面临着个人信息泄露的风险。何延哲指出,App的应用中一是存在保护意识薄弱的问题,安全措施不到位,该加密的没有加密,该做访问设置的没有做访问设置;另一方面就是App本身存在的过度收集个人信息的问题。
因此,从摄像头、手机等硬件设备到所配备的收集管理软件都需要依法进行把关,从而防范信息泄露、财产损失、身份冒用等问题。
何延哲称,在App治理方面,需要通过检测、评估和整改这一系列的措施来弥补“规则尚不明晰”的缺陷,“但这是全球范围内进行数据治理的共同挑战,考验的是监管部门的智慧。”
国外案例是否适应中国国情还需探讨
2020
“人脸识别破解术”黑产 “人脸识别破解术”成黑产
“人脸识别与破解”已经成为一个黑色产业,没有必要为了保护“脸”而去查缺补漏。
上海检方起诉一起涉案金额超过5亿元的虚开发票案,由此引发一起非法人脸识别案。
来源:《新华每日电讯》年3月30日。
记者:新华每日电讯兰。
有人能模仿我的脸吗?不信!这副“眼镜”可以在15分钟内解锁19个手机人脸识别系统。
视频号
人脸识别作为一种易用的生物识别验证技术,广泛应用于政务、安防、金融、生活消费等行业。但据《新华每日电讯》记者调查,人脸识别技术存在明显的安全漏洞,对社会和财产安全存在较大隐患,亟需系统的安全排查和封堵。
一起发票案导致了一起非法人脸识别案。
记者从上海市检察院获悉,近日上海市虹口区人民检察院起诉的一起虚开增值税普通发票案中,被告人注册了一家“皮包公司”,利用破解人脸识别技术虚开增值税普通发票。据悉,多名被告为他人开具增值税普通票款税款共计5亿余元。
案件中,犯罪嫌疑人首先通过相关政务平台,完成了“皮包公司”的注册,注册人在平台的人脸识别是注册成功的关键环节。
为达到目的,专门从事人脸识别破解的犯罪嫌疑人成员表示,他们通常会以每张30元的价格从外地购买别人的高清头像和身份证,然后使用“Live Photo”App对高清头像进行处理,让照片“动”起来,形成包括点头、摇头、眨眼、张嘴等动作视频。
“获取视频后,我们用经过特殊处理的手机‘劫持’了摄像头。人脸认证时,手机摄像头不会启动,系统获取之前制作的视频。系统会认为我在镜头前,最后通过了认证。”嫌疑人说。
从犯罪嫌疑人的账号来看,其破解的app种类繁多,涉及政务、安全、金融、支付、日常消费等用户庞大的app。每份订单的破解价格从25元到300元不等。
网友评论
当前共有4条评论