一张身份证照片就能“被法人”,人脸认证也需要安全补丁
(资料图片仅供参考)
只要一张身份证照片,就能让他人成为一家公司法人?据报道,“登记注册身份验证”“河南掌上登记”和“湖南企业登记”等多个政务APP的人脸识别,可被轻易破解。破解后,不法人员可利用他人身份信息注册公司,或对已成立公司的股东进行撤换。媒体调查发现,不法中介通过网络黑产非法获取身份信息和人脸照片后,利用AI换脸技术,破解相关政务APP。中介称,他们可以破解多省企业登记APP。
只需要提供一张身份证照片,在不需要本人操作的情况下,就能成功注册一家企业。这从积极的方面来看,意味着方便。然而,在硬币的另一面,这也意味着每个人都可能“被法人”,背后的风险可想而知。在运用人脸识别程序之前,关于个人丢失身份证遭遇“被法人”的情况,仅公开报道的就有不少。在很大程度上说,企业注册环节所增设的人脸验证程序,就是为了杜绝过去个人身份信息被泄露就可能“被法人”的情况。但现在来看,这种方式同样存在安全漏洞,同样需要打好安全补丁。
实际上,从技术角度看,人脸识别被破解并不是什么神秘的事。专业人士就指出,人脸识别是基于算法进行的,识别系统需要什么数值,图像反馈出相应的数值,就能“骗”过人脸识别的系统。也就是说,通过AI换脸达到系统设定的参数值,自然就容易通过识别,哪怕有需要点头、眨眼等动态图像,只要参数符合要求,也都不是问题。这一现实,显然表明人脸识别在确保“人、证一致”的问题上,也不是绝对安全,它也有“软肋”。意识到这一点,一些商事服务就应该在程序上作出相应的完善。有专家就建议,使用人脸识别技术,应加入其他的验证手段进行辅助,像常见的短信验证、电话验证或大数据验证,这样相对更安全。
此外,不能仅看到AI换脸技术的滥用。要知道,企业注册需要提供一系列个人信息,并不是一张身份证照片就能够解决。媒体调查发现,在网络黑产中,有人收费“查档”,只要提供姓名、身份证号,就可以买到当事人的户籍信息,其中包含当事人的证件照、性别、民族,以及户籍所在的区县。也就是说,“被法人”现象背后的另一源头,还是个人信息的非法泄露。那么,需要追问的是,收费“查档”到底是如何实现的?到底是有“内鬼”,还是系统容易被技术攻破?这些问题对防范“被法人”风险同样非常关键。
因此,针对门槛似乎越来越低的“被法人”现象,一方面要重新检视现有商事服务乃至所有政务服务中“人脸识别”系统的安全性,提高抗干扰、防破解的难度,绝不能将之当成是一劳永逸。事实上,前不久国家网信办发布的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》已明确,人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
另一方面,要继续加大对侵犯个人信息安全的网络黑产的打击、治理力度。应该看到,人脸识别被用来作为认证手段后,相应的致力于破解这一手段的黑产也在快速繁殖。包括对人脸信息的保护,对于传统个人信息的保护,都需要加强。否则,随着技术的进步,个人信息泄露的风险有可能被进一步放大。这也提醒社会,在人脸识别技术的运用上,也需要有科学精神,既要看到它的长处,也要正视它的局限性。尤其是政务系统,更要为此做好积极示范。(朱昌俊)