谁在盗用我的脸?一份信息卖2元,有人靠“过人脸”技术月赚上万
文/周享玥 唐煜 牛耕
编辑/赵艳秋
失控的人脸识别
“兄弟萌,救救救。我的信息貌似被盗用,名下突然多出五张电话卡,有没有人知道咋回事,对我有什么影响没?”2020年8月的一天,一位名叫“bit999”的网友在贴吧上发出了这样一条求助帖。
而最让他百思不得其解的,是盗用者到底是用何种手段完成了这波看似并不太可能完成的操作,“现在办卡不得人脸验证么?”
这种情况并非个例。早在2019年10月,就有网友发现自己在没用过某电商平台的情况下,被另一个手机号占用了本属于自己的实名信息,并在该平台上留有4000多元的逾期借款。2020年8月,又有网友发现自己的身份信息被盗用注册了滴滴顺风车,且账号被永久封禁。同月,有网友在微博称,自己的身份信息被人冒用进行网贷,已被连续打了两天的催款电话。
而中国裁判文书网公布的一则判决书显示,早自2018年7月开始,就有一犯罪团伙看中支付宝提供的邀请注册新用户的红包奖励,利用非法获取的公民个人信息,通过使用软件将相关公民头像照片制作成3D头像,“骗”过支付宝人脸识别认证注册账号至少1700个,非法获利超4万元。
另一份判决书显示,男子陈某在2019年下半年,从6名被害人处骗得了相应个人信息及人脸识别,并在被害人不知情的情况下,冒用他们的身份信息进行网络贷款、购物并占为己有,累计侵占财产14.58万元。
此外,发现自己莫名其妙买了车票、个税身份被冒用、银行卡被盗用在美团上借钱、被别人实名注册了支付宝账户、QQ游戏实名被抢先认证等情况也屡见不鲜。甚至有网友发现,自己不知什么时候在陌陌上有了一个账号,不仅照片被盗用,甚至连从事的行业都一模一样。
当2017年9月1日,杭州万象城一家主打绿色健康的肯德基Kpro餐厅,将“刷脸支付”这项黑科技在全球范围内首次商用时,当时有幸体验到“刷脸吃饭”这一新鲜事物的消费者大概只想感叹一句“真方便”。
但仅仅三年后,随着“刷脸”杀入支付、取款、借贷、上下班打卡、课堂听讲、交通违规监控、取件、坐地铁、进小区、入景区、看房、App注册等方方面面,人们的感受也起了微妙的变化。“便捷”依旧毋庸置疑,但方便背后,“担心人脸信息被泄露和滥用”也在与日俱增。
据全国信息安全标准化技术委员会等机构成立的App专项治理工作组10月13日发布的一份《人脸识别应用公众调研报告(2020)》显示,有九成以上的受访者使用过人脸识别,六成认为人脸识别技术有滥用趋势,还有三成表示已因人脸信息泄露、滥用而遭受隐私或财产损失。
行业人士曹林向AI财经社坦承,人脸识别这两年确实存在滥用趋势。
去年,一家给校园做信息化集成方案的公司找到他,要求他帮忙监控那些半夜翻墙出去的学生。“做不了”,曹林很想这样说,在黑暗环境下做人脸识别,准确度根本达不到可用的程度。但对方问,市面上那么多公司能做,为什么你不行?如果说不行,曹林的生意就黄了。
在校园里,曹林还碰到了更夸张的需求。学校希望他建立一套人脸识别系统,目的是识别学生每天的运动量,包括在哪个场馆锻炼了多少分钟,在路上的行进轨迹。“这得是多大的系统工程啊?要布多少个摄像头?”
曹林感叹,在客户眼里,人脸识别就像魔法一样,无所不能。用上了人脸识别,就代表学校的信息化水平高,“能把预算花出去”。
学生缺乏话语权,所以项目上马经常畅通无阻。但一个明显的变化是,从2019年杭州动物园发生的“人脸识别第一案”到近日引起热议的“男子戴头盔看房”事件,部分民众已经开始对人脸识别技术产生警惕性,并思考自己人脸的权益。
还有使用了人脸支付的消费者对于当下各种商业机构肆意在有感和无感情况下收集人脸数据感到担忧,人脸又不能换,真是“一次泄漏,终生受苦”。
那么,围绕人脸到底发生了什么?我们该对自己的脸保持警惕性吗?
隐秘的人脸黑产江湖
带着上述问题,AI财经社潜入了一个围绕人脸识别产生的黑产江湖。
据称,黑产圈存在着一种神奇的“过人脸”技术,只需一张照片,即可通过技术手段制作出会眨眼、点头等验证动作的人脸视频,帮助买家顺利通过各大App的人脸识别认证。
不过,或许是媒体此前的曝光让从业者们感受到了危机,这个本就不能见光的江湖开始变得愈发隐秘。
如今,在转转、淘宝、闲鱼等曾被报道能搜索到人脸照片、“照片活化”工具等“过人脸”相关“商品”的网络平台上,早已无法探寻到这个江湖的踪影。但若在QQ搜索“人脸”等关键词,依然能见到各种被冠以“人脸识别”、“人脸技术”、“人脸认证”、“刷脸”等字眼的QQ群,其中甚至有个别群为付费群。百度贴吧上则更为隐秘,从业者们潜藏在一个个分散的贴吧群中,低调地发着“代过XXX人脸”、“接XX刷脸”等小广告,又或是直接在各种“人脸识别”的求助帖下面留言拉客。
11月29日,AI财经社曾尝试加入其中的十余个QQ群,但仅有约一半给予放行,另一些群则以“满了”为由拒绝了入群申请,而后者有些在2000人左右。
在这些通过的群中,大部分是“全员禁言”,只能与管理员私聊相关事宜。而未被禁言的群里则充斥着“VX解封”、“代过珍爱、伊对、BOSS人脸”、“出高清正反+手持”、“出人脸识别技术”等由各种字母缩写、缩句以及谐音组成的广告。
陈远是其中一个全员禁言群的管理员。11月29日晚八点,在加入这个名叫“人脸识别”的群后不到两小时,陈远主动向AI财经社发来好友申请,“要过人脸吗?”
作为一个入行已经两年多的“老人”,陈远在帮人“过人脸”这门生意上已经做得颇为娴熟。日常养上几个QQ小号,建上一些人脸识别的群,再去贴吧等平台上做些推广,客户自己就找上门来了,赚钱不是问题。
“说白了,咱们这个行业毕竟是违规操作,你要是一个月1万块钱都赚不到,那你还不如不搞了,现在进工厂一个月也能赚个七八千块钱呢。”陈远称。
他介绍说,微信、支付宝、百度、58同城等App的人脸识别认证目前都是其“可以通过的范围内”。其中,仅微信、支付宝平台的“过人脸”服务收费标准就在150到200元左右一单,且“一天两三单是很正常的事情”。
陈远感叹,自己2018年下半年刚在朋友的介绍下入行时,“这门生意才刚刚开始好起来”,两年后这方面的需求量已经比较大,“现在很多游戏平台、网银支付平台都需要人脸,特别是想用别人的资料信息去操作网贷的人非常多”。
他透露,因为风险偏高,他们对贷款平台的收费一般会比普通App高一些,“基本上都是200元一单,也有同行出三四百一单的”。但更多提供“过人脸”服务的人则对网贷这一话题讳莫如深,只称“风险太大,最好别碰”。
在群中,一位试图通过某贷款平台人脸认证的买家对AI财经社称,他曾和一位“过人脸”服务卖家沟通很久,双方都已经谈到了具体价格,但当对方得知他是要做贷款后就直接拒绝了,导致其“不得不自己开始入群尝试钻研这门技术”。
相比起风险过高的网贷,微信解封、零钱代取、解除支付限制,以及代过58同城、陌陌、伊对、探探、QQ、微博、地方税务等各大App的人脸实名认证则是群里这些人宣称的更为“常见的服务”。在这里,有人想要利用App账户引流;有人想要获得支付类App账户的高等级,提升额度;也有人想要通过注册多个账号薅羊毛;甚至于有人想要拥有他人的人脸认证,只是为了玩个游戏……
不管目的如何,由代过人脸识别串连起的黑产供需链已经“十分繁荣”。除了QQ群,有人还会在QQ空间中频繁晒出已成交的“订单”和成功通过各大App人脸认证的视频。
除了代过人脸业务,“卖教程”也是群里不少贩卖者的一门“副业”。
AI财经社以“求学”为由与一名“过人脸”技术卖家洪峰接触。他称,靠提供“过人脸”服务,多数人能实现月赚1万至2万元的不错收入,但因其所在“公司”并不禁止员工向外“教学”,所以他平常也会以600元的售价做卖“过人脸”软件和教程的“副业”。
他承诺,一旦购买了教程,自己一般会远程传授一次,之后则需买家自己看教程自学。但当AI财经社两天后再向其询问“教学”事宜时,其却表示,“要过年了,单多,买了也只能等有时间再远程教学”。
此后,AI财经社又联系到了一些技术贩卖者,多数表示仅提供软件和教程,“有不会的再问”,并发来了演示视频及相关资源包的截图,也有卖家称“教会为止”、“包过”,但价格却是从400到5000元差距甚大。
据多位卖家介绍,所谓的“过人脸技术”,是由多个软硬件方案组合而成,通过操作相应的软硬件完成“照片活化处理”和“虚拟视频劫持”,即通过技术手段将一张照片进行“活化”,做出可以眨眼、点头、摇头、张嘴等的人脸验证视频,再通过“劫持”摄像头,将做好的视频伪装成照片中的真人在终端镜头实时拍摄下做出活体检测动作的影像,交由App人脸识别系统,进而达到“骗过”系统的目的。
这些技术方案又可以分为电脑版和手机版,卖家称,手机版需多配备一台小米4或者华为6a、vivo X7、OPPO R9s等特定机型手机,外加对应用来“劫持”摄像头的刷机包。
而想要“过人脸”,除了要学“过人脸”技术外,还得要准备一个靠谱的“料库”。毕竟,并非随便一张人脸都能通过App们的人脸识别关卡。
真正“有用”的人脸,必须要能与姓名、身份证号或者手机号、银行卡号等关联起来。其中,又以没有重复使用过的“高清正面大头照+手持身份证半身照+身份证正反照+银行卡号/手机号”等组合为最好。因为被反复使用过的人脸,在识别时会被人脸认证系统拦截,通过动态人脸识别的成功几率极低,高清一手大头的成功率则较高。
也因此,除去“过人脸”服务的供需双方,手持大量一手人脸信息的“料商”同样是各个人脸识别群的必要组成部分,他们多以“料子”、“sfz(身份证)”等隐晦叫法叫卖着手中的人脸信息,单价多在1-3元一个,非一手的料子价格则更低,常常可以低至几毛一个。甚至于如果实在没有可用的“料子”,还可以找专门的人去“查大头”,即通过姓名、身份证号、手机号等查到对应的人脸头像,但价格也更贵,有的为800元一张。
悄无声息中,希望拿他人信息通过“过人脸”实名认证的需求方、专门以贩卖“过人脸”服务和技术的供应方,以及出售带有身份信息的人脸料商,已经形成了一条完整的黑产链条。
我的脸是怎么丢失的?
深耕社区场景的唐军,感受到了互联网大公司对数据的渴求。某互联网巨头曾找到他,希望收集社区住户数据,人脸识别只是其中一小部分。有了这些数据,再结合这些住户的日常消费活动,互联网公司就知道有多少住户喜欢健身,多少住户可能尝试生鲜电商,然后发展社区商业生态。
最初,互联网公司打算绕过物业去做,但物业很反感,觉得没带来实际利益,反而要遭受业主抗议的风险,因此用安全名义将互联网公司挡在门外。“但软磨硬泡之后,互联网公司学乖了,先提供车辆识别这种物业需要的业务,把场景打下来,再慢慢补充人脸识别模块。”
唐军发现,最初确实有业主担心自己人脸泄露,但经过几次没带门禁卡的经历之后,也感受到人脸识别的好处,就不再抗议了。
比起唐军这种要布摄像头和软件平台、逐个社区攻城略地的“苦生意”,互联网App的线上人脸收集方式简直“手到擒来”,让用户自己勾选“已阅读并同意用户协议”,主动奉上自己的数据。
2019年8月30日,陌陌旗下的一款换脸应用“ZAO-逢脸造戏”刷爆朋友圈,一夜之间登上苹果应用商店免费娱乐榜第2名。用户上传自拍或本地图片后,便能体验一把在电视剧中当主角的瘾,在这里,你可以是周润发、陈冠希,也可以是小燕子赵薇或野蛮女友全智贤。
但很快有用户发现,默认勾选的《用户协议》暗藏玄机:用户授予ZAO及其关联公司在全球范围内,对包括但不限于人脸照片、视频资料等肖像资料中的肖像权,以及利用技术对肖像权利人的肖像进行的改动,“完全免费、不可撤销、永久、可转授权和可再许可的权利”,甚至权利还能转移给任何第三方公司。群情激愤下,ZAO很快认怂,修改了用户协议。
对于ZAO的问题,网络安全专家谭晓生对AI财经社分析:ZAO没有明确说明采集的人脸信息会用于何种用途,存储于何地,存储多久,以及转移给的第三方是谁,因何要转移给第三方。这些深究下来是有问题的。
AI财经社查证,推荐性国家标准GB/T 37036.3-2019 《信息技术移动设备生物特征识别 第3部分:人脸》指出:无论本地识别还是远程识别人脸样本,“应向用户明确告知所提供的产品或服务收集、使用用户人脸数据的规则,并获得用户的授权同意”。
但ZAO事件还揭示了一个通常的现象,App对数据的收集通晓人性,处于一个相对灰色的地带。“(App)可能出一个好几十页的用户条款,用户不会仔细去看。它利用的就是消费者的冲动,在游戏时想要尽快开始,把这些全部跳过去。”谭晓生说,而经过用户同意,App也确实获得了许可。
但相比线下刷脸和互联网应用这些能被消费者感知到的“刷脸”,大数据行业从业者吴伟表示,黑客攻击和内鬼作案,是黑产获得人脸识别数据的最普遍的方式。一旦发生,少则数百万,动辄数亿的个人信息将流入非法者手中。
2019年2月,视频监控公司深网视界泄露了超过250万条个人信息,包括人脸识别图像,采集地点,以及对应的姓名、身份证号码地址和生日。更早的2018年7月,上市公司数据堂多名高管被抓获,涉嫌贩卖涉及1.3亿人、容量4000GB的数据给境外企业。
在堵住黑产滥采数据的漏洞上,中国还有很长的路要走。吴伟告诉AI财经社:“其实相关部门机构内鬼是最猖獗的,有的省自建人脸识别图库时,信息出现泄露。”他透露,很多在黑产链条上流通的40K大小的人脸图片,就来自这种渠道。即使机构内部严查,合作的第三方企业也没有很高的安全意识,以致类似案件屡禁不止。
“光拿到你的人脸图像没有太大价值,值钱的是匹配的身份信息,甚至还有银行卡号等。”吴伟进一步说明。按照安全规范,企业存储人脸信息应当脱敏,将图像与身份信息分开存放。但实际上目前法律上还没有这方面的硬性规定,业务部门为了提升效率,有些会无视脱敏要求。因此一旦数据库被攻破,或者内鬼拿着U盘将信息拷走贩卖,造成的影响都非常恶劣。
不同于黑客攻击和内鬼作案是人脸所有者“被迫”交出人脸,也不乏有“自愿”献出人脸信息的情况。
已经转行成为给“过人脸”服务商们提供身份信息的“料商”孟强对这一点深有体会,甚至可以说是真真切切从中获得了利益的人。据他介绍,他曾做过一段时间的平台引流,专门负责帮人收一些微信号。
在这个过程中,他会通过给予报酬的方式吸引一批人前来,利用他们的身份信息及自己提前准备的一批手机号实名注册微信号。而为了避免出现问题,前来“卖号”的人必须首先把身份证号码、银行卡号、身份证正反面以及自己手持身份证的照片发给孟强。
正是靠着这种“自愿”方式,孟强攒下了一大批身份信息,并在目前转行做起为“过人脸”服务商提供人脸“料子”的料商。
据他介绍,自己手中目前总共有5000多套“高质量料子”,买断(其不再转卖他人)2元一套可验货,不买断5000套则只需200块,还可外送13万个“姓名+身份证号”信息,且除微信实名不能再用,其他App的通过率可以达到95%。
就是通过这种小恩小惠,很多人把自己的信息资源外泄。“如果有需要,我还可以有新的方式随时收。”孟强补充说。
至于风险,孟强他们并不以为然。
“当你玩一个软件,实名时发现(身份信息)已经被别人绑定了,你会怎么办?最多问问客服,然后解绑换绑,你也不会在意,谁会因为一个App注册不上报警呀!”“同行很多,没有任何一个出现问题,只要不弄贷款就没有任何问题。”
而据北京市致知律师事务所律师张伟介绍,一般情况下,如果未达到法律规定的犯罪金额或侵害个人信息的数量,也没有给受害人造成较大经济损失或是影响社会安定,应该不涉及刑事问题,而是民事侵权。但民事问题属于私权领域,需要受害人提出请求才能引起司法救济程序。而受害人要想提请司法保护,首先需要找到侵权人,有一个明确的被告。
“侵权人显然不是App服务商。”张伟分析称,“因为服务商可以说以自己现有的技术手段,已经尽到了验证你身份信息的责任,只是因为侵权人故意提供了一些虚假信息使其无法分辨出是不是你本人。在这种情况下,受害人很难向服务商主张侵权责任,顶多要求服务商停止侵权人的使用,归还自己的身份信息。”
而真正的侵权人,很可能因为网络的隐匿性,根本无法寻其踪影。“受害人找不到侵权人,该怎么办?说实话,法律上也没有有效的办法。你现在都不知道被告是谁,而法律规定民事起诉应该具有明确的被告,你怎么上法院起诉?法院不会给你立案。”
风险成本低、所获收益高,再加上使用人脸识别的App越来越多,“过人脸”的需求自然丰富了起来,相关的黑产业链也愈发繁荣。
以其中一个名叫“三色人脸识别技术交流”的QQ群为例,11月11日建群,到12月1日,群人数增加到了119人,12月6日再度翻倍,增长到了215人。
捍卫人脸的战争
像房地产商这种偷偷识别人脸的情况,过去两三年,TalkingData数据合规官葛梦莹在银行、4S店、快消品店等见过很多例子。
很多人不知道的是,一些银行也通过摄像头来进行人脸识别,不用调取数据库里的信息,仅凭一张脸就能测算出客户的一些基本情况,类似风控打分。如果是VIP客户进门,银行能及时为他提供相应服务。
由于TalkingData在业内参与了一些法规的起草和试点,很多银行在使用人脸识别技术的时候也很担心合规问题,都来跟葛梦莹他们请教。葛梦莹给出的意见是,因为这属于无感拍摄,在视频采集区一定要立一块牌子,明确告知客户这里有摄像头,“履行告知的义务是数据收集的一个合法依据”。
图/视觉中国
过去,我国个人信息保护一直是以“知情-同意”作为收集和使用的基本条件,但这一条款比较宽泛,今年10月推出的《个人信息保护法(草案)》,将收集和使用的合法性更细化。比如,在公共场所安装图像采集、个人身份识别设备,应当出自维护公共安全目的,并设置显著的提示标识等。
“如果房产中介安装人脸识别系统是用来区别客户来源,并不是出于公共安全防控,这肯定是违规使用的。”葛梦莹说。
据报道,在南京市住房保障和房产局要求下,南京多家售楼处都拆除了人脸识别系统。
除了售楼处事件,其实,最近几年,居民被要求刷脸进小区、企业员工刷脸打卡越来越多。而这些人脸数据流向何方,也引发担忧。相关人士对AI财经社介绍,地产商一般很谨慎,人脸数据基本存储在本地服务器,不上云,但存储方案一般由人脸识别厂商配套提供,每家企业的安全能力参差不齐。
在企业,考勤使用的人脸数据通常有三种存储方案:企业自己的服务器、考勤机或云端,后者涉及钉钉等第三方考勤公司。“如果监管趋严,第三方的方案可能受到更多规范。”
当然在这些场景下,在法律法规越来越完备的情况下,个人需要有知情权和选择权。
针对人脸数据有可能被滥用的趋势,多地政府已开始采取行动。12月1日《天津市社会信用条例》表决通过,其中第16条规定,市场信用信息提供单位采集自然人信息的,应当经本人同意并约定用途,法律、行政法规另有规定的除外。杭州也拟立法,不得强制业主“刷脸”。
近年来,在相关法律法规中,广泛引起行业人士关注的,是《个人信息保护法》草案大大提高了对违规企业的罚款力度。情节严重的,相关部门将没收违法所得,并处以5000万元以下或上一年度营业额5%以下罚款。这一力度堪比史上最严数据保护条例、欧洲于2019年实施的GDPR(通用数据保护条例),当时GDPR的最高罚款额度是企业全球4%营业额或者是2000万欧元,这震惊了业界。
目前,业内人士还在等待《个人信息保护法》的具体实施细则。葛梦莹了解到,由于《个人信息保护法》草案还在征求意见阶段,企业多半还没有采取具体应对措施。
实际上,早在2016年出台的《网络安全法》已经明确将包括人脸在内的个人生物识别信息纳入“个人信息”范围。当时,很多企业也按照要求做了一定工作,包括研发加密,匿名化处理、数据分级分类存储、设置企业内部管理制度、制定个人信息安全预案等。比如蚂蚁金服等有涉及人脸识别的企业,设立了隐私保护办公室。
但是《网安法》的最高罚款金额只在100万元。“相比起来,《个保法》对企业会有更强的威慑力。”一位法律人士说。
除了《网络安全法》,2017年正式颁布的《信息安全技术个人信息安全规范》是目前网信办或工信部披露违规App服务所依据的法律法规。但从近些年层出不穷的App违规通报来看,这份规范并没有足够的约束力。
在葛梦莹看来,由于缺乏统一的法律标准,通报的监管部门不统一,测评机构和标准也参差不齐,甚至也对一些企业造成误伤。随着《个人信息保护法》立法脚步的加快,不少企业越来越有数据保护意识。
一位网络安全人士对AI财经社说,他曾和一家即将上市的医疗大数据公司创始人有过交流,这家公司内部已有一个10人的安全团队,但对方非常担心如果用户信息被窃取将产生巨大影响,正在考虑扩大安全团队的规模。
葛梦莹也了解到,今年以来,一些金融、医疗企业都在内部做数据分级,像个人信息、病例情况等敏感数据分开储存,只有少数人可以接触到,权限设置和审批流程会更复杂。
同时,谭晓生观察到,把数据留在企业内部已经成为行业原则。以往一些金融公司会把数据交给第三方来计算用户的信用值,减少恶意贷款的风险,但现在企业都会非常顾虑,比如腾讯,宁可考虑用联邦学习等更复杂的计算方法,在数据不出企业的情况下获得相关结果。
但人脸数据的滥用和保护将是一场长久的博弈。“在目前的商业环境下,个人要保护自己的隐私还是比较有挑战的。平台处于相对强势的位置,尤其是此前大平台形成垄断之后,使用条款里面就会约定采集你的什么信息。而你以一己之力去博弈整个平台,还是比较困难。”
但《个人信息保护法》出台之后,会有一些更顶层的约定,对个人是一个保护。最近,张明发现,自己所在的小区取消了人脸识别门禁系统,这让他松了一口气。当越来越完善的法律落地应用,人们将有更强的自我保护意识、更多知情权和选择权,也会更加心安。
来源:新浪科技、AI财经社