EN

企业动态

当前位置:首页 - 企业动态 - 企业新闻

人脸识别到底安不安全?其背后的技术、法律到底经过多少次革新和完善?

发布日期:2022-11-09


移动金融和移动支付的普及,虽然对扒手这个“传统行业”造成了降维打击,但也催生出了一些新的“事物”。例如,电信诈骗和移动金融信息安全。于是,一场围绕移动金融安全的“战争”悄然打响,在这场“战争”中最出名的“战役”,一定非人脸识别莫属。



手机解锁、移动支付、公共交通……人脸识别已经成为最为广泛的验证身份方式,但如何兼顾人脸识别的效率和安全,更有效地守护我们的“脸”,一直以来都是相关行业必须要面对,且必须要打赢的一场持久“战役”。


2022年8月,一条《收集个人信息提供“代过人脸”被公诉》的新闻登上热搜,犯罪嫌疑人利用网络工具,收集整理了公民信息44万余条,然后通过特定软件破解人脸识别的方法,以远程操作的方式帮助未成年人绕过防沉迷系统,并向游戏代练出售可以“代过人脸”的手机。


如果说上述行为有没有造成严重的社会危害,那么通过类似的手段,盗窃他人银行卡信息的行为,则会造成个人财产损失,降低人们对移动金融的信任。去年6月,某银行一名储户因下载了假冒的诈骗软件和视频会议软件,被套取了银行卡和密码,以及人脸信息等关键内容,在不知情的情况下,被犯罪分子远程操控手机进行6次人脸识别,盗取金额近43万元。


为何人脸识别会被破解?主要原因在于人脸识别技术即为特征码识别,对瞳孔到鼻子、耳朵、眉毛、嘴巴的距离,进行特征点提取,通过算法比较与数据库中储预存的人脸信息进行匹配。


基于此,犯罪分子可通过至少三种方式尝试对人脸识别系统进行攻击。其一,通过播放预录制视频,或利用图像处理或三维建模软件,将静态照片转化为动态视频的方式,使虚假人脸信息与预存信息吻合;其二,通过在设备上植入后门,在通过特定程序劫持摄像头、劫持人脸识别App或者相关应用,绕过人脸识别系统。其三,通过劫持人脸识别系统与服务器之间的报文信息,对人脸识别进行篡改,将真实信息替换为虚假信息,破解人脸识别系统。


因此,在如何确保可用性、易用性、高效性的基础上,有效提升人脸识别的安全性,是相关行业都必须要交出高分答卷的难题。



为解决上述所提到的人脸识别破解问题,国家金融科技测评中心(银行卡检测中心,简称中心)联合产学研机构建成生物识别检测实验室,在已开展人脸识别线下支付有关产品的安全测试的基础上,进一步结合《数据安全法》、《个人信息保护法》、《个人金融信息保护技术规范》等法律法规、行业规范以及金融应用场景特点,制订了“金融场景人脸识别技术应用安全与合规专项测评”服务。


金融场景人脸识别技术应用安全与合规专项测评服务面向在各类金融场景中应用人脸识别技术的相关金融行业从业机构、系统与设备提供商,针对终端设备、APP客户端、SDK、API接口、后台系统等与人脸识别技术相关的软硬件、系统,从技术安全与合规两方面进行综合测评,为人脸识别技术在金融场景的应用提供保障。


o 针对人脸识别技术有关软硬件的测评——人脸识别技术安全测试


呈现攻击测试 通过使用多种假体道具,在距离、角度和灯光等不同条件下,模拟点头、张嘴和眨眼等动作,对评估对象进行攻击试验,以验证其活体检测能力。包括静态纸质图像、静态电子图像、动态电子图像、合成CG视频、纸质面具、三维面具/头模、识别器官替换区域等内容。


注入攻击测试 通过各种方式寻找评估对象的薄弱点,采用非常规的手段向评估对象输入一组精心构造的数据,迫使评估对象做出错误判断,达到欺骗成功的目的。注入攻击用于验证评估对象在运行时的综合防护能力,包括静态分析、动态调试、对运行环境的检测、虚拟摄像头传递数据、对网络环境的识别、对操作系统的识别、通信报文分析、渗透性攻击等内容。


o 提供人脸数据安全合规评估——人脸识别技术应用场景合规评估


评估内容根据GB/T 35273-2020《信息安全技术 个人信息安全规范》、GB/T 40660-2021《信息安全技术 生物特征识别信息保护基本要求》等相关规范,对人脸数据在收集、存储、使用、删除等生命周期中的合规与安全管理进行评估分析,提供应用建议。


对于相关金融行业、支付机构、算法及终端厂商等企业,人脸识别注定是一场持续“战役”,其不仅需要国家不断完善相关法律法规,也需要相关企业在技术方面与时俱进,极大程度提高犯罪分子的破解成本,削减其可能获得的非法收益,使他们难以破解、不敢破解、也不能破解。


上一篇:喜讯丨2022中国银联未来科技大赛银联金卡勇夺佳绩 下一篇:国家金融科技测评中心(银行卡检测中心)提供跨境创新服务终端检测服务