近期随着利用AI模拟人脸、声音进行诈骗的案例发生,公众对于人脸等个人生物信息的安全性产生了疑问。
就在前几天,央视把报道了一起“10分钟被AI换脸骗走430万元”案件,福建的郭先生是一家科技公司的法人代表。今年4月,他的好友突然通过微信视频联系他,称自己的朋友在外地竞标,需要430万元保证金,想借用郭先生公司的账户走账。
基于对好友的信任,加上已经视频聊天“核实”了身份,郭先生在10分钟内,先后分两笔把430万元转到了对方的银行账户上。事后,郭先生拨打好友电话才得知被骗,原来骗子通过AI换脸和拟声技术,佯装好友对其实施诈骗。新技术不断面世,带给了人们便利,但可能被居心叵测之徒非法利用。日前,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求(征求意见稿)》,正式对外公开征求意见,人脸识别支付的各类使用场景,在个人信息安全方面将迎来更高要求。本实践指南针对室内外区域中的人脸识别支付场景,提出个人信息保护要求。本实践指南不适用于用户在其自有手机或其他自有智能移动终端上进行的人脸识别支付。一、手机人脸支付:个人使用其自有手机或其他智能移动终端开展人脸识别支付的场景,主要相关方包括服务提供方及用户。二、内部人脸支付:面向特定组织内部人员开展人脸识别支付的场景,例如食堂人脸识别支付等,主要相关方包括场所管理方、服务提供方、用户。三、公用人脸支付:面向室内或室外不固定人群开展人脸识别支付的场景,例如自动售货机人脸识别支付等,主要相关方包括场所管理方、服务提供方、用户。 一、在手机人脸支付场景下,主要包括人脸识别数据的强采、偷采、滥采、滥用,以及其他未经授权处理人脸相关数据等问题。二、在内部人脸支付场景下,人脸识别服务接入互联网时,敏感个人信息泄露风险显著。 三、在公用人脸支付场景下,主要个人信息保护风险包括:1) 摄像头在非人脸识别状态下开启,导致超范围、非必要收集个人信息和相关视频数据;2) 使用人脸识别支付过程中,除识别对象外,存在额外收集、使用未授权个人信息的风险; 3) 朝向敏感隐私区域收集数据,例如朝向更衣室、洗手间等区域收集数据,侵犯个人隐私的风险;4) 摄像头朝向重要场所收集数据,例如朝向特定出入口、人流密集区域,导致违法违规处理重要数据或特定身份人员敏感个人信息的风险。基本安全要求包括:人脸识别数据安全应符合 GB/T 41819 的要求;人脸识别支付过程中,出于维护公共安全、金融安全等目的,按照有关管理部门明确要求处理的数据,应仅用于其所规定的目的,不应自行用于与其无关的活动。一、不应收集人脸识别期间之外的数据:应仅在人工做出点击等明确交互动作后开始收集数据;人脸识别完成后或开始收集数据一分钟后,应停止收集数据。二、 人脸识别全部过程数据应在本次人脸识别结果产生后全部删除,以下数据除外: 1) 符合 GB/T 40660 要求的人脸识别注册数据;3) 人脸支付出现重大故障时的调试数据,但不包含未经授权的个人信息。三、人脸识别支付服务获得的人脸相关数据不应用于与本次支付过程无关的目的。 五、人脸识别支付服务应具备检测运行环境安全状态的能力,发现不安全时,应采取充分的安全保护措施或停止运行。一、为单一组织内部提供服务的人脸识别支付宜通过在该单位内部搭建局域网、不接入互联网的形式实现。二、人脸识别支付所使用的摄像头固定朝向某一区域时:1) 应通过在该区域入口设置显著标识等方式,使不愿意被收集人脸识别数据的个人可以提前避开;2) 不应朝向重要敏感区域收集人脸数据,包括政府办公区出入口、军事管理区、人流或车流密集区域等。
