换脸软件刷屏后隐私焦虑升温:销号声四起,风险或在远程存照
2019-09-01 14:29

8月30日-31日,打出“仅需一张照片,出演天下好戏”口号的AI换脸App“ZAO”刷屏朋友圈。通过这款App,仅需上传一张照片,就能用你的脸制作网络热门表情包,出演经典电影片段,跟偶像、朋友飙戏。

8月30日正式上线,8月31日下午14时,“ZAO”在苹果应用商店App Store的在免费App的下载排名中已跃居第二。其火爆程度可见一斑。

不过,就在8月31日晚间,已有不少网友聚集在“ZAO”的官方微博,要求注销账号,删除本地面孔。截至9月1日0时,“ZAO”在苹果App store的评分由此前的4.6分降至2.2分。火速蹿红又遭遇极大争议的背后,是网民对于个人隐私安全的担忧。

“‘ZAO’从用户处获得的信息主要是肖像图片,从技术角度而言,它并不比其他上传照片的App有更多风险,但‘ZAO’向用户索取了更多的肖像使用授权,这意味着用户会暴露更多的风险。” 极棒实验室安全研究员宋宇昊这么告诉澎湃新闻(www.thepaper.cn)记者。

色情是DeepFake技术的起源用途

“在Reddit网站发现一批明星的合成情色视频,让大家认识了这项技术。”极棒实验室安全研究员宋宇昊向澎湃新闻记者表示。

所谓AI换脸术,是基于人工智能的人体图像合成技术,生成的假脸(通称DeepFake)。2017年底,这项技术第一次在Reddit网站亮相时,就一石激起千层浪,DeepFake让明星们的头出现在了情色演员身上。虽然Reddit封掉了账号及相关的群组,Google、Twitter等网站也禁止相关搜索,但DeepFake从未真正消失,这项技术的代码开源,让越来越多的人开始制作类似视频。

8月31日,“ZAO”刷屏,让业内人士再次关注这项技术的可控性。宋宇昊向澎湃新闻记者进一步解释,AI换脸有两个关键步骤,脸部提取和脸部转换。脸部提取从照片中勾勒出人脸的轮廓,并且标注出眼睛鼻子等关键部位,这样就明确了图片中需要被替换的对象。脸部转换比较常用的实现方法是名为"自编码器"的深度学习模型,通过学习替换双方人脸的照片,训练出一个"编码器"和两个"解码器"。

“编码器具备一种能力,是从人脸图片中抽象出表情动作特征,而解码器具备的能力,是把这些特征还原成目标人物的人脸图像。比如,利用甲脸部图像的编码器中抽出表情动作,再利用乙的解码器,把这些表情动作还原成脸部图像,就可以成功把甲的脸换成乙的脸。”宋宇昊说。

远程保存用户脸部私照存隐忧

指纹、虹膜、人脸等生物识别信息也许是比身份证号码、手机号更重要的个人隐私。2019年7月,人民银行科技司司长李伟在第四届全球金融科技峰会上表示,人脸是非常敏感的个人信息,一旦泄露会带来非常大的影响。

全国政协委员、上海众人网络安全技术有限公司创始人谈剑锋则在2019年3月表示,自己不用指纹解锁,也不用人脸解锁,手机设置密码保护。“密码丢了可以换,但生物信息是不可再生,一旦泄露,你不可能再有第二张脸了。”谈剑锋说。

如此重要的人脸信息正在被“ZAO”收集,澎湃新闻记者发现, ZAO用户协议内容中的必要授权协议如此描述:用户上传发布内容后,意味着同意授予ZAO及其关联公司以及ZAO用户在“全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”,“包括但不限于可以对用户内容进行全部或部分的修改与编辑(如将短视频中的人脸或者声音换成另一个人的人脸或者声音等)以及对修改前后的用户内容进行信息网络传播以及《著作权法》规定的由著作权人享有的全部著作财产权利及邻接权利”。

“‘ZAO’从用户处获得的信息主要是肖像图片,从技术角度而言,它并不比其他上传照片的App有更多风险,但‘ZAO’向用户索取了更多的肖像使用授权,这意味着用户会暴露更多的风险。” 宋宇昊告诉澎湃新闻记者。

同时,另一位不愿具名的安全专家也向澎湃新闻记者指出,“风险不是换脸,而是App是否远程保存用户的个人脸部私照,因为谁也不知道他们保存这些个人肖像照之后的用途。如果平台储存或利用不当,很有可能被恶意分子利用,比如欺骗注册等,给用户造成损失。”

2018年5月1日,《个人信息安全规范》正式实施,《规范》提出,个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等个人生物识别信息属于个人敏感信息,对于这些敏感信息,《规范》必须经过个人信息主体的明示同意方可收集,而在保存方面,要求做到去标识化处理,同时保存时间要遵循所需时间的最短要求,在信息的传输过程中也必须做到高度的安全防范措施。

即便有相关规范,但在澎湃新闻的记者采访中不难发现,企业对安全的重视程度更多的是靠“自觉”。“对数据的保护力度有多大,取决于愿意在安全上投入多少成本。大企业有自己的安全底线,小公司可想而知。”上述安全专家表示。

支付宝回应,不会威胁刷脸支付

AI换脸是否会让刷脸支付变得不安全?8月31日,蚂蚁金服方面回应澎湃新闻记者,这不是互联网上的第一款换脸App,也一定不是最后一款,但不管怎么换,你都不用担心支付宝刷脸支付的安全性。

据了解,刷脸支付采用的是3D人脸识别技术,在进行人脸识别前,会通过软硬件结合的方式进行检测,来判断采集到的人脸是否由照片、视频或者软件模拟生成的,能有效地避免各种人脸伪造带来的身份冒用情况。支付宝还会通过各种安全风控策略确保账户安全,比如刷脸支付功能需要用户进行开通操作,开通之后才能进行支付,用户也可以随时关闭,且只有在输入过密码的支付宝App上才能开通刷脸支付。

在支付宝App上,人脸识别并不是唯一的校验方式,支付宝的智能风控引擎会通过设备、环境等多个因素辅助校验。部分用户还需要输入与账号绑定的手机号以及验证码进行校验,进一步提高了安全性。即便出现账户被冒用的极小概率事件,支付宝也会通过保险公司进行全额赔付。

此外,蚂蚁金服相关人士表示,支付宝一直在呼吁生物识别领域的行业自律,并在8月23日发起了《生物识别用户隐私与安全保护倡议》,呼吁从事该行业的科技企业加入进来,一起来规范和保护用户信息。

在这份《生物识别用户隐私与安全保护倡议》中,支付宝呼吁企业在采集用户生物信息时应遵循“最小、够用”的原则,防止被滥用。企业应对采集到的信息进行加密存储来提高安全强度,也应明确和规范用户信息使用的目的及范围,避免信息被过度使用。

另外,在具体使用中也应建立保险机制来确保用户资金不受损失。8月31日晚,“ZAO”修改了此前的用户协议,“免费用用户肖像权”内容被删。在协议开始,增加“特别提示”称,用户上传的短视频及人脸等相关的内容将严格按相关法律法规的规定保留在“ZAO”上。“ZAO”表示,除非为了改善“ZAO”提供的服务或另行取得用户的再次同意,否则“ZAO”不会以任何其他形式或目的使用上述内容。吴雨欣

来源:澎湃新闻  编辑:李燕

| 微矩阵

地址:南京市建邺区江东中路369号新华报业传媒广场 邮编:210092 联系我们:025-96096(24小时)

 

互联网新闻信息服务许可证32120170004 视听节目许可证1008318号 广播电视节目制作经营许可证苏字第394号

版权所有 江苏扬子晚报有限公司

 苏ICP备13020714号 | 电信增值业务经营许可证 苏B2-20140001