近年来,随着人脸识别技术的广泛运用,有关公民个人信息安全的问题日益引发关注。
界面新闻检索裁判文书网发现,通过人脸识别方式侵犯公民个人信息的相关裁判文书有36起,最早的判例出现在2017年,当年有2起。近年来,相关判例呈递增趋势,2020年截至目前,这类判例已达18起。
这些判例披露的犯罪行为,主要集中在网贷平台通过非法获取公民人脸识别信息开通网贷账号,或将人脸识别信息共享给催收公司,或将这些信息变卖获利。此外,也有电信公司人员在未告知公民的情况下,违法采集公民个人信息开通手机卡。
值得注意的是,有两份判例披露了不法分子制作3D人脸模型骗过支付宝人脸识别系统,进而实施诈骗的情况。这也暴露了日常应用程序在人脸识别技术方面存在的漏洞。
一位网络安全专家告诉界面新闻,制作模拟3D人脸模型的黑色产业链已很成熟,而且许多软件代码已经开源,用身份证照片就可以从技术上模拟张嘴、眨眼等动作,仿真效果很高,可以骗过许多技术等级较低的人脸识别平台。不过,近几年随着技术升级,要骗过大的应用平台并不容易。
这位专家表示,人脸数据一旦被不法分子获得,将给公民信息安全带来极大风险,他建议应该对收集人脸数据的机构加强监管,最好设置资质等级,“什么样的机构可以收集,应该有相应的安全等级要求。”
3D人脸模型骗过支付宝
2019年10月,成都市郫都区人民法院做出的一份判决披露,2018年8月,只有初中文化的重庆合川人唐杰通过他人介绍,先后两次前往山东省菏泽市李瑞安处,学习制作用以破解支付宝人脸识别认证系统的3D人脸动态图,并从被告人李瑞安处购买了相关设备,支付被告人李瑞安人民币2万余元。学成之后,唐杰在网络上发布信息称能够提供破解支付宝人脸识别认证的服务。
2018年9月,唐杰从一个名叫“半边天”的人士处获得唐某的支付宝账户信息,受“半边天”委托破解支付宝对该账号的限制。唐杰采用制作唐某3D人脸动态图的方式,突破了支付宝人脸识别认证系统,解除了支付宝对唐某账号的限制登录。
唐杰将唐某支付宝账户信息提供给被告人张羽,被告人张羽通过伪造唐某手持身份证和承诺函的照片,并拨打支付宝客服电话,解除了支付宝对唐某账户的资金冻结。随后,张羽采用购买话费的形式,将唐某支付宝账户内的人民币2.4万余元转移。
不久,张羽在四川省广汉市被抓获,警方当场在其房间内查获华硕笔记本电脑1台,从该电脑内提取到包含姓名、身份证号码、银行卡号等的公民个人信息2000余万条。遂即,唐杰和李瑞安业相继被抓获。
2019年9月19日,郫都区人民法院做出一审判决,张羽犯非法获取计算机信息系统数据罪和犯侵犯公民个人信息罪,数罪并罚决定合并执行有期徒刑六年六个月,并处罚金人民币六万元。唐杰犯非法获取计算机信息系统数据罪,判处有期徒刑一年十个月,并处罚金人民币一万五千元。其余人员也获相应刑罚。
这并非孤例。从2018年7月份开始,浙江绍兴人张富雇佣姚丽萍,并教授余杭飞使用其购买的公民个人身份信息注册支付宝账号,再使用软件将公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证。张富、姚丽萍等人通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励,每个新注册支付宝至少可以获取28元收益。
案发后,警方从张富处查扣近2000万条公民个人信息,从余杭飞工作室查扣其从张富处非法获取的公民个人信息287773条。从2018年7月份至案发,张富共使用他人个人身份信息注册成功至少547个通过人脸识别认证的实名支付宝账户,从中非法获利15316元。其中姚丽萍涉及注册成功支付宝账户有239个,非法获利6692元,个人非法所得2000元。
2019年11月18日,浙江省江山市人民法院作出一审判决,张富犯侵犯公民个人信息罪和诈骗罪,决定执行有期徒刑四年八个月,并处罚金人民币15000元;其余涉案人员也被判处六个月到三年九个月不等的刑期和罚金;此外,法院还判令张富等人退还支付宝(中国)网络技术有限公司违法所得。
老人被骗拍照收集人脸信息
由于对信息的鉴别能力弱,老年人是人脸识别技术被非法利用的一个特殊被害群体。不法分子往往以“发福利”“发赠品”的名义,诱惑老年人提供照片等个人信息。
2018年10月13日,吉林省农安县长江村陈某接到村干部消息,说上长江村部举行领福利活动,要求55周岁以上的人参加,需拿着本人身份证到场。陈某称,他到场后,有人对他的身份证进行拍照,“又朝着我本人拍了照”。事后,这些人给他发了一瓶豆油。当天,该村还有数十位老人的身份证和个人头像被拍下。
事实上,这些人拿着手机对老人们并非只是拍照,而是进行人脸识别。吉林省农安县人民法院查明,2018年10月至2018年11月11日期间,被告人齐星同宋文珍、于洋、陈曲、徐双凤、邵桂华等人,在农安县部分乡镇,以向老百姓发放福利(面或油)为由头,向公众非法获取个人信息,在众人不知情的情况下使用其个人信息办理开通、实名认证移动通讯卡。实名认证通过后,齐星从移动代理商处领取佣金,共计从中获利人民币141980元。最后,齐星等人获刑1年到3年不等。
2017年12月,安徽省怀远县人民法院作出的一份判决书显示,2016年1月至8月间,韩飞伙同蔡金磊、张军、张毛权先后在江苏省宿迁市和徐州市、安徽省宿州市和怀远县等地的超市内,以顾客购物满一定金额可获赠礼品为名,要求顾客在领取礼品时提供姓名、身份证号码,并采集顾客的肖像信息。
年过六旬的被害人孟某回忆,2016年7月的某天,他在泗洪县半城镇街道好又多超市购物,“当时超市做活动,购物满38元就免费送洗衣液”。领洗衣液时,一男子要其提供身份证,还用手机给其拍摄。孟某表示疑惑,对方谎称“是怕重复领取”。事后,孟某获得了一瓶好太太洗衣液。
被告人韩飞承认,他们在顾客不知情的情况下,通过拍照的方式进行人脸识别,将非法获取的公民个人信息通过手机上传,注册成为人人行科技股份有限公司开发运营的借贷宝APP用户,共计注册成功12000多个账户。最后,法院以韩飞犯侵犯公民个人信息罪,判处其有期徒刑二年十个月,其余犯罪人员均获刑。
伴随着“人脸识别第一案”在浙江宣判,以及近期市民为躲避人脸识别“戴头盔”引发的热议,有关人脸识别的信息安全问题也引起了立法部门的注意。
12月21日,全国人大常委会法工委发言人、立法规划室主任岳仲明对此表示,个人信息保护法草案在民法典有关规定的基础上,细化、充实个人信息保护制度规则,明确个人信息处理活动中个人的权利和处理者的义务,进一步增强法律规范的系统性、针对性和可操作性。
岳仲明强调,草案确立了个人信息处理应遵循的原则,强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的最小范围;除法律规定的情形外,收集、使用个人信息应当向个人告知并取得同意,并要求个人信息处理者采取必要的安全保护措施,保护个人信息安全。