你的“臉”正在被交易

　　文/楊潔

　　來源/ 燃財經(ID:chaintruth)

　　我們的“臉”正亟需保護。

　　10月26日，《杭州市物業(yè)管理條例(修訂草案)》被提請至杭州第十三屆人大常委會審議。該草案中擬規(guī)定，物業(yè)服務人不得強制業(yè)主通過指紋或人臉識別等生物信息方式，使用共用設施、設備。

　　人臉信息作為人體的生物特征之一，和指紋、虹膜等一樣，已經成為證明自己身份的手段。根據人體臉部特征進行身份驗證的人臉識別技術，已經得到了廣泛應用，例如手機解鎖、各類App的注冊驗證、借貸等方面。

　　但是，在個人信息裸奔的時代，你的“臉”也可以成為被買賣的商品，而且，并不值錢。日前，根據央視報道，大量的照片等人臉信息正在被私下交易。在網上，只要花上2元，就可以買到上千張照片人臉信息。

　　單獨的人臉照片泄露，或許對個人而言，并不構成什么威脅。但是，當通過“照片活化”等技術工具，人臉照片也可以實現眨眼、點頭等簡單動作。大量被竊取的人臉信息，配合上其他泄露的身份證號、手機號等個人信息，帶來了更大的信息安全風險。

　　近日，由全國信息安全標準化技術委員會等成立的App專項治理工作組發(fā)布了一份《人臉識別應用公眾調查報告2020》稱，有九成受訪者都使用過人臉識別，六成認為人臉識別有濫用趨勢，三成表示個人隱私或財產安全已經因此遭遇損失。

　　但這，也只是個人信息數據黑產地下鏈條里的冰山一角。更多的人，也許完全不知道自己已經有多少信息被竊取，以及它們被用去做了什么。

2元上千張的“人臉”從哪里來

　　一個人的“臉”值多少錢?

　　根據央視報道，在網絡交易平臺上，只要花上2元，就可以買到上千張人臉照片，5000張人臉照片的價格還不到10元。在這些所謂“商家”的照片庫里，都是真人的自拍照、生活照等隱私照片。而當央視記者詢問客服這些圖片是否涉及版權時，客服矢口否認，但卻提供不了任何可以證明照片版權的材料。

圖 / 央視報道 燃財經截圖

　　在今年7月，燃財經也曾加入一個名為“人臉技術組團學習群”的QQ群，里面充斥著各種“微信解封、代過人臉”、“出售三色人臉技術”、“代注冊”等廣告。在和群里的一位網友添加好友后，對方聲稱一份信息售價3元，包括人臉和身份信息，并隨后發(fā)來一位女士的身份證信息作為驗證。

　　根據新華社在之前的報道，在淘寶、閑魚等網絡交易平臺上，通過搜索特定關鍵詞，就能找到專門出售人臉數據和“照片活化”工具的店鋪。

　　所謂照片活化，即利用軟件工具，將人臉照片修改為可執(zhí)行“眨眨眼、張張嘴、點點頭”等操作的人臉驗證視頻。

　　“大多數互聯網用戶，在某些人面前，沒有任何隱私可言?！币晃弧鞍卓汀痹谥跎先缡钦f。

　　這些身份認證信息，究竟是從哪里流出?“來源渠道非常多?！币患野踩珡S商內部人員告訴燃財經。他舉例稱，比如曾經在微信上很火的算命小游戲，上傳照片后免費算命，其實有一些就是黑灰產做的，目的就是獲取人臉數據。

　　同時，目前一些App存在過度獲取用戶信息的現象。例如利用授權信息，獲得了用戶的攝像頭和相冊權限。這樣，就會有一部分人臉信息數據被獲取。在社交媒體上，用戶上傳的生活照、自拍照等，也成為黑灰產瞄準的對象，通過人工或爬蟲的手段，進行獲取。

　　一位安全行業(yè)從業(yè)人員透露，在三四線城市的老家，見到有些社區(qū)或超市里，有推銷人員在發(fā)放雞蛋、食油等商品?！爸灰怯浵率謾C號碼，表示是自愿領取就可以了”。有些禁不住免費商品誘惑的路人，在領取時故意用模糊掉的手機號碼登記，認為這樣就萬無一失了。但他們不知道的是，為了應對不同的應用平臺上的“刷臉”以及活體檢測，一項新生的“過臉產業(yè)”已經出現。很大程度上，這些消費者已經成為其中的利用對象?！坝脩粼诘怯洉r，他們的照片和動態(tài)視頻，就已經被隱藏的攝像設備收集完畢?！彼f，而黑灰產獲得這些人臉信息，付出的成本不過是幾個雞蛋而已。

　　中國電子技術標準化研究院信安中心測評實驗室副主任何延哲曾在采訪中表示，如果僅僅只是采集個人的人臉信息，而沒有獲得其他身份信息，隱私泄露風險還并不算大。但在目前銷售的個人數據中，不僅包括照片等人臉數據，而是包括個人手機號、社交媒體賬號甚至身份證號碼、銀行卡號等一系列隱私數據。

　　“在近幾年，源于企業(yè)‘內鬼’的數據泄露比例，正在逐漸增多?！币晃粯I(yè)內人士表示?！敦斀洝吩鴪蟮婪Q，有80%的數據泄露，都是企業(yè)內部員工所為。幾乎所有用戶資金和核心隱私數據比較集中的領域，無論是金融保險、工商、文娛、電信運營，還是醫(yī)療、外賣、酒店等生活消費行業(yè)，在數據最下層的生產環(huán)節(jié)，黑產的數據“搬運工”，無處不在。

　　今年5月，江蘇省淮安市警方破獲了一起建設銀行某員工販賣用戶信息數據的案件。該員工將相關銀行卡使用人的身份信息、余額甚至交易記錄等售賣給了黑產下家，一年時間內個人獲利收入超過30萬元。而該案件涉及的數據販賣產業(yè)鏈中，涉及公民個人信息數據5萬多條，涉案金額達2000多萬元。而關于該案，警方早在2019年6月，就注意到有人通過QQ等通訊工具出售銀行卡相關信息，并聲稱只需要提供銀行卡號或身份證號，就可以查詢到該銀行卡使用人的全部身份信息和交易記錄等。

　　早在2017年初，央視也曾曝光了一起數據泄露事件，包含了50億條公民數據信息，其中有不少是來自于京東。而據警方通報，嫌犯是京東網絡安全部的內部網絡工程師，和盜賣個人信息的數據商販勾結“監(jiān)守自盜”。

　　根據中國裁判文書網上各類相關案件信息可見，這些倒賣信息的案犯，每條信息貴的也不過幾元錢。2018年，天津的一起販賣信息案件中，有38萬條公民個人信息被出售，獲利不過7200元。計算起來，每條信息也不過幾分錢。

　　360網絡安全響應中心高級安全分析師韓昊晟曾透露，多數用戶為了方便，往往使用“一套密碼走天下”，但這也為黑灰產提供了極大的便利。黑客利用大量已經泄露的用戶社交軟件和郵箱的賬號等，建立起字典表，使用軟件將其在不同的網站上不停地批量嘗試登錄，這就是“撞庫”。

　　這意味著，只要黑客拿到一個平臺上泄露的信息，在其他網站上進行嘗試，就可以“撞”出更多目標網站上的賬號信息。

　　通過各種渠道，這些泄露的數據，除了被銷售之外，也積累成為黑客們的結構化數據庫，也就是“社工庫”。人臉信息，再加上各種泄露的其他個人身份信息，這些包羅萬象的全面的社工庫數據，就為各種涉及虛假信息交易的黑灰產，提供了數據基礎。

“臉”被用來做什么?

　　在售賣“AI換臉”軟件的商家手中，往往能提供一串明星視頻名單，囊括了國內知名的一二線女星，任客戶選擇。當然，這些并不是真正的明星視頻，而是經過“換臉”處理后的結果。

某AI換臉“商家”發(fā)布的女星視頻列表 　　燃財經截圖

　　AI換臉技術自出現后就一直伴隨著爭議，它固然為影視行業(yè)提供了便利，但也給部分人提供了“商機”：對一些情色視頻進行人臉替換后打包售賣，而換臉對象自然是知名女星才更受歡迎。

　　一年前，換臉軟件“ZAO”一度爆火。用戶只需在App中上傳一張照片，就能將之替換到各種人物身上，無論是“小李子”、夢露還是周潤發(fā)，都惟妙惟肖。但它讓大眾感知到的，不僅是“AI換臉”的神奇，還有可怕之處：這些上傳的照片信息，將會被如何處理?一旦有人利用這項技術，生成幾可亂真的視頻，發(fā)布虛假信息，又會給個人的合法權益和社會公共安全造成多大的隱患?于是，ZAO在上線三天后，即經歷了從App Store的排名第二到被相關部門約談、繼而下架的命運。

　　但實際上，一套關于人臉識別數據的AI黑產鏈條早已存在并成型，AI換臉只是其中的一個分支。

　　在不同的網絡平臺或App應用上注冊認證時需要的身份證照片，可通過各種方式被大量收集。而隨著人臉識別技術的日漸成熟，活體檢測正在成為金融、電信等互聯網領域注冊登錄的主要驗證方式。于是，為了應對不同的應用平臺上的“刷臉”，一種名為“過臉”的業(yè)務已然誕生。

　　幾位安全行業(yè)人士都透露，利用PS等工具，就可以制作出一張帶背景的人臉圖，再通過動態(tài)視頻軟件，完成簡單的眨眼等動作的視頻即可生成。

　　燃財經在貼吧等網絡平臺上通過搜索發(fā)現，目前仍然有兜售“AI換臉教程”和“過臉技術軟件”的帖子存在。在賣方的QQ號里也提供了相關“業(yè)務”的介紹，可以“過臉”注冊的對象包括58同城、智聯招聘等各類平臺;或者可提供照片為被凍結的微信、支付寶賬號解封等。

某平臺上出售過臉軟件的發(fā)貼 燃財經截圖

　　前不久，新華社也曾報道，一些網絡黑產從業(yè)者利用電商平臺，批量倒賣非法獲取的人臉等身份信息和“照片活化”網絡工具及教程。在淘寶、閑魚等網絡交易平臺上，通過搜索特定關鍵詞，就能找到專門出售人臉數據和“照片活化”工具的店鋪。“一套(‘照片活化’)軟件加教程35元，你直接付款，確認收貨后我把鏈接發(fā)你?！币晃婚e魚賣家在閑魚對話框內使用語音議價時表示。

　　更早前，《法治周末》曾披露了破解某支付App人臉識別的操作流程。只要持有“高質量料子”(一手高清靜態(tài)正面人像大頭照、身份證正反面照)，以及過人臉技術刷機包和一部普通的小米手機，刷機、下載工具，就可以制作出活體動態(tài)人臉視頻;同時后臺系統(tǒng)抓取腳本、讀取文件，匹配App的動態(tài)人臉識別即可成功。

　　在央視的報道中，一款面具就可以代替人臉進行解鎖?？蒲腥藛T在手機對面放上一款面具之后，他們對其進行光線、色溫以及角度的調節(jié)，通過幾次比對，手機就成功解鎖。專家表示，該面具的制作成本并不高，3D打印技術就可以制作出精度尚可的人臉面具或頭套，只要不是在極暗或極亮的背景下，通過面具或頭套進行人臉識別的成功率高達30%。

　　在人臉識別黑產的鏈條上，提供各種個人數據信息的只是下游，在它的基礎上，是提供技術服務的個體或者小型工作室，它們提供銷售人臉活化、過臉等軟件和服務。而在最上游的，是利用這類信息和技術進行“變現”的人群，包括營銷推廣、薅羊毛，甚至金融和電信欺詐等。這類帶有人臉信息的數據，甚至可以被用于洗錢、涉黑而給照片主人帶來訴訟。

　　根據央視報道，在今年8月13日，杭州錢塘新區(qū)公安部門抓獲兩名盜取個人信息的犯罪嫌疑人，他們就是通過技術手段騙過平臺人臉識別，在多個網絡平臺共盜取數千條平臺賬號個人信息，準備以每單80-100元的價格倒賣，但還沒來得及成交就被警方抓獲。

　　今年年初，浙江衢州中級人民法院的一份刑事裁定書披露，張某、余某等人運用技術手段騙過支付寶人臉識別認證，并使用公民個人信息注冊支付寶賬戶，非法獲利數萬元，最終因侵犯公民個人信息罪而獲刑。

　　據警方介紹，在上述兩起案件中，犯罪嫌疑人均是利用AI換臉技術非法獲取公民照片，進行了一定的預處理后，通過照片活化軟件生成動態(tài)視頻，騙過了人臉核驗機制。隨后，通過網上批量購買的私人社交平臺賬號登錄各網絡服務平臺，注冊會員或進行實名認證。

　　2019年11月，浙江省江山市人民法院對一起侵犯公民個人信息案件作出判決，案件緣由是，支付寶推廣政策中有一條是當老用戶介紹新用戶來注冊支付寶，老用戶可以獲得28元推廣獎金，有一個詐騙團隊搜集了數千人的照片信息，利用這些照片制作可以動的3D視頻注冊支付寶賬號賺錢，共注冊成功數千個賬號，非法獲利共計30324元。

　　對此，支付寶回應媒體稱，2018年，支付寶安全系統(tǒng)監(jiān)測到部分用人臉識別進行身份認證開通賬戶行為異常，及時上報警方，并且升級人臉識別身份認證的防攻擊技術。

　　數據泄露的背后，也埋伏著更多的安全隱患。

　　業(yè)界對網約車業(yè)務安全問題的討論已經持續(xù)了數年，而在某些社交平臺上，至今仍然有賬號在詢問如何在滴滴平臺上“過臉”。

　　在2018年初，廣東警方就曾公布注冊虛假滴滴賬戶的黑產案件，其中涉案賬戶幾十萬個，繳獲被非法獲取的公民個人信息20余萬條。2019年1月，一起“黑產代叫”詐騙案在廣東告破。提供“代叫車”業(yè)務的黑產中介注冊了平臺賬號，并用購買到的身份證、手機號和支付寶賬號進行綁定。隨后，利用這些賬號，中介以優(yōu)惠價格招攬客戶進行約車，在交易后拒付平臺和司機車費，并在交易一兩次后隨即廢棄原有賬號。據警方通報，其中平臺查證的損失達400萬元。

　　事實上，包括人臉數據在內的個人身份數據泄露的黑產生意，已經成為了一條相當“精細化”的產業(yè)鏈。從黑客攻擊、撞庫、爬蟲等渠道匯聚來的龐大的公民信息，匯聚之后，有各類中間商會進行詳細分離、去重、篩選、整理，也就是“洗庫”。這類經過打標簽和分類整理的數據，用戶在更多平臺上的注冊信息也被精準關聯。這時的數據價格，就不同于早期環(huán)節(jié)的幾分錢一條的“批發(fā)價”，開始水漲船高。據業(yè)內人士透露，普通的數據大概1萬條可以賣上幾百元，而經過處理的信息更詳細的數據，售價可以漲上幾十甚至上百倍。

　　這類數據之后幾乎是以“定制化”的方式銷售給各類“買家”，電信詐騙是此類數據最主要的買家之一。2016年曾轟動全國的徐玉玉詐騙案中，詐騙犯就是通過QQ群，購買了1800條高中畢業(yè)生資料。普通的消費類數據，則可以銷售給不同的零售行業(yè)去做精準推銷。

　　金融類的身份和賬號信息，包括銀行卡、網銀、股票等信息，以及虛擬貨幣和游戲可變現賬號等，可以直接變現或銷售給金融欺詐者。帶有用戶更詳細的身份信息、個人資產等相關的數據，可以銷售給網貸中介，辦理網貸或實施精準詐騙。

　　一位網友表示，其朋友就是遇到了信用欺詐，有不法中介表示其大學室友借用了她的身份借了網貸，并提供了相關的身份信息資料取信于她，從而騙走了10萬元左右。

　　《人臉識別應用公眾調研報告(2020)》為了了解人臉識別的使用情況和公眾的安全感受，列舉了十類人臉識別場景，包括支付轉賬、開戶銷戶、實名登記、解鎖解密、換臉娛樂、政府辦事、交通安檢、門禁考勤、校園/在線教育和公共安全監(jiān)管等，在回收了2萬余份匿名問卷后發(fā)現，人臉識別帶來的管理效率提升，是各行業(yè)推進技術落地的主要動因，但在安全性感受方面，受訪者給出的分數則明顯偏低。六成受訪者認為人臉識別技術有濫用趨勢，三成受訪者表示已因人臉信息泄露、濫用而遭受隱私或財產損失。

誰來治理人臉識別

　　國內的“人臉識別第一案”在今年6月開庭。去年10月，浙江理工大學副教授郭兵因不接受杭州野生動物園規(guī)定的需要人臉識別才能入園的方式，從而提起訴訟。他認為，這是對目前“人臉識別技術濫用”的一種斗爭。

　　今年3月，清華大學法學院教授勞東燕發(fā)現，她居住的小區(qū)貼出了安裝人臉識別門禁系統(tǒng)公告，要求業(yè)主提供房產證、身份證、人臉識別等信息。她將有關人臉識別風險的報道和法律依據，發(fā)到兩個各有數百名業(yè)主的微信群，但沒有得到預期回應。勞東燕又將一封法律函分別寄給居委會和物業(yè)，其后有了她作為業(yè)主和街道、業(yè)委會與物業(yè)的四方“談判”。街道最終同意，業(yè)主出入小區(qū)可以自愿選擇門禁卡、手機或人臉識別的方式。

　　“我也只是稍微掙扎了一下?！痹诮衲?月一場關于“人體生物信息采集的濫用及其法律規(guī)則”的研討會上，勞東燕說。她認為，人臉識別的推廣運用，本身就會給公眾的人身財產安全帶來“無法估量的風險”，“其間的問題在于，我們可能既不再享有任何隱私，也因此喪失絕大部分的安全?！?/FONT>