黃奇帆:指紋、人臉、虹膜等特征識別技術公司應“先證后照”

發表時間:2019-11-12 06:08

  與生俱來、獨一無二的人臉、虹膜等生物特征,因其特性,在識別認證領域具有無可替代的優勢;而一旦這些生物特征數據泄露,再加上互聯網數據可無限復制、難以消滅的特征,危害性難以預測和估量。

如今,基于生物特征的認證識別技術應用廣泛,甚至,有地方的垃圾桶都帶有人臉識別功能。日前,中國國際經濟交流中心副理事長黃奇帆建議所有互聯網識別技術必須提高進入門檻。

現如今,市場上帶有生物特征識別認證功能的產品的現狀如何?開發有統一的安全標準嗎?

黃奇帆:認證識別系統屬于重大國家安全范疇

近幾年,指紋、人臉等生物識別技術廣泛應用,比如,各大品牌的手機設置指紋、人臉解鎖及支付功能,上班打卡變成了刷指紋、掃臉等,甚至,有小區的垃圾桶也具有人臉識別功能。

令人擔憂的是,時常有企業被曝安全漏洞和數據泄露。

近日,京津冀消費者協會聯合發布智能門鎖比較試驗結果。據了解,此次智能門鎖比較試驗涉及28個品牌的38把樣品,購買價格從790元到3700元不等,結果顯示32把樣品可用制作的假指紋解鎖,占比超八成。

“網上安全認證技術,比如生物、二維碼、虹膜、指紋、刷臉、聲音等辨別認證技術公司必須"先證后照",必須有較高的進入門檻。”在8月10日的第三屆中國金融四十人伊春論壇上,黃奇帆做出如上表述。

黃奇帆在第三屆中國金融四十人伊春論壇發言。

黃奇帆認為,認證識別系統屬于重大國家安全范疇,但在未經長時間安全檢驗的情況下就在互聯網金融業務上大量運用,這明顯違背了金融行業安全必須無限趨近100%的要求。所以,目前互聯網金融公司的支付、資金劃轉必須堅持小額原則,同時各類互聯網認證識別技術,只能允許線下使用,而經過長時間的技術積累和試錯之后,才能在國家技術管理部門授權之下,上線試點,逐步成熟,逐步推開。

黃奇帆說,“現在,互聯網金融業務經常受到黑客攻擊,這些攻擊實際都是突破了網絡認證系統。所以,如果網上傳遞識別信息,而沒有較高的技術門檻做保障,任由誰都可以開發,而且以廉價和便捷為出發點而忽視安全水準,偽造就不可避免,網絡黑客也將大行其道。

現狀:智能家電等領域無安全標準可依

除了黃奇帆擔憂的,以廉價和便捷為出發點而忽視安全水準,基于生物特征的身份認證技術或還存在濫用情況,比如某些城市推出掃臉領廁紙應用、某城市的垃圾桶也帶有人臉識別功能。

目前,開發生物特征識別認證產品并沒有較高的進入門檻。對此,眼神科技產品技術總監彭程認為,提高門檻挺好的。

彭程解釋說,企業的技術現狀參差不齊,雖然看起來功能差不多,但實際結果千差萬別。如果有一定的準入門檻,“不是說為了把誰攔在門外”,而是真正從技術、安全、客戶的應用需求上設定一些門檻,這樣客戶選擇產品時更加清晰,也有利于保護客戶生物特征數據的安全和這項技術的長久發展。

彭程還表示,開發基于生物特征的身份識別認證產品,全國信息技術標準化技術委員會制定了很多基礎標準,屬于國家制定的通用標準;在此之下還有很多行業標準,比如公安的行業標準、金融類的行業標準等。

企業開發完產品后,可送到公安部、信標委等權威部門做產品檢測,既可以基于現有的國家/行業標準條款進行測試,也可以根據企業的要求進行性能參數和功能驗證性測試,比如,甲方企業項目招標時,其會根據自身項目需求特點設立要求,競標企業則通過在權威檢測機構獲得測試報告,證明產品是否達到對應要求。

威凱檢測技術有限公司智能安防產品技術負責人、副部長廖亮表示,公共安防和金融等安全要求較高的領域,一般要求經過國家權威機構檢測合格后,才能上市。而像智能家電、門鎖等應用到民用領域的產品,現今行業沒有相對應的生物識別標準,行業不知道具體怎么檢測才合適,也就無法做到監管。因此現有產品只要消費者、供應商認可,就可以上市售賣。另外,在相應國家或行業標準正式出臺之前,企業或團體組織可制定企業或團體標準,并按照執行,確保產品能夠保證消費者的人身及財產安全。

據了解,6月25日,國家標準《信息安全技術 智能家居安全通用技術要求》對外發布并公開征求意見。

生物支付行業標準:人臉、指紋信息不上傳服務器,但仍有例外

據了解,關于生物特征身份識別認證技術,在標準制定方面比較領先的領域,包括移動互聯網生物支付和安防。

比如,在安防領域,全國安全防范報警系統標準化技術委員會人體生物特征識別應用分技術委員會成立于2007年,主要負責基于指紋、人臉、靜脈、虹膜、聲紋識別等人體生物特征識別技術的基礎標準、應用產品標準、評測標準和管理標準等制修訂工作,已發布國家標準7項,行業標準33項。

在生物支付領域,2009年,美國的paypal公司等國外市場參與者提出在線認證概念,并在2013年最終落地fido(fast identity online 在線快速身份認證聯盟)。其進入中國后,國內市場先后迅速崛起ifaa(互聯網金融身份認證聯盟,由中國信息通信研究院、螞蟻金服、阿里巴巴、華為、中心、三星等單位共同發起)和SOTER(騰訊生物認證開放平臺)等聯盟和平臺。這些中國本土的聯盟和平臺在一定程度上受到fido的影響。

中國金融認證中心(CFCA)移動安全專家介磊說,個人的敏感數據如指紋、人臉信息等有可信計算的需求,所以現在設計的手機,內部都會有一個可信計算區域,指紋識別和人臉識別的功能會在可信區域內完成。識別完成后,它們只會上傳識別是否成功的信息,并且,這一信息在上述標準或方案中通過密碼學相關的設計保證其可信度和安全性,并不會將人臉、指紋等生物特征信息上傳到后臺服務器中。

不過,他強調,如果企業不遵守類似標準設計App,或者手機不支持在安全區域中進行識別,亦或者在一些具體的業務要求下,App也都會把人臉信息傳回服務器。

文/南都個人信息保護研究中心研究員 尤一煒

責任編輯:

电子游艺行业