人脸识别技术真的能证明“你就是你”吗?谁在背后反复炒作?

前两年互联网大咖花式秀了一把人脸识别,伴随着网络银行成立的背景,全国一夜之间冒出了上百家人脸识别技术公司,随后公安、人民银行的谨慎试点态度出台,狂热的人脸识别技术投资热潮被浇了一盆冷水。

上周一篇未来网首发的《公安部推广 网络身份证 应用试点  刷脸 就能看病旅游住酒店》的文章,把已经冷静下来的人脸识别技术话题又炒了起来,而且还打出了公安部的名头。作为一个有十几年信息安全行业经验的从业人员,站在信息安全的角度探讨一下为什么不能在互联网上远程使用人脸识别技术识别身份,欢迎各路神仙拍砖。

第一,网上识别身份是一个严肃的信息安全问题

身份识别作为信息安全问题,本不用解释,要解释的是什么样的信息安全问题。具体来说,身份一词在汉语中有多种解释,抛开职务、学历、职称的属性信息,在信息安全领域,常见的就有账户身份识别和法定身份识别两种,举例来说,就是工作证和身份证的区别,经常有人混淆这两种应用场景。

对账户身份的识别,可以用多种方式,用户名口令就是最常见的技术方式,安全一点的可以用U盾,总而言之,企业和用户愿意用什么技术就可以用什么技术,反正出了问题企业承担责任,除了隐私问题(后面会详细展开),只是企业行为导致局部风险。

对法定身份的识别,则要严肃的多。毕竟应用范围广,影响大,涉及国家行为,要做充分考虑,一个处理不慎,就会导致全局的风险,甚至影响公共安全和国家安全。

2014年10月14日,BBC新闻报道 韩国的身份证系统将推倒重来 。报道称:韩国政府正考虑给17岁以上的公民发放新的身份号码,整个重建过程将耗资几十亿美元、耗时10年以上!重建的原因是自2004年以来,韩国在网上普遍采用基于身份信息比对的身份认证措施,导致韩国大量的公民信息被盗,全国5000万人口中有80%人口的身份证号和个人隐私信息,被黑客从银行和其他网络服务商的服务器中窃取。

现在的问题是,在业务快速整合的互联网环境下,账户管理方和应用方甚至可以不是同一家,比如我们可以用qq号和qq密码登录各类论坛,大型公司(不仅仅是互联网公司)聚集了海量用户,在通过开放平台为这些用户提供和接入更多的互联网服务时,不可避免的要介入一些传统法定身份识别要求的领域,如银行开户,政务民生,由于国内在网上法定身份的识别方面技术和业务的不明确,才导致各类网上账户身份识别技术向网上法定身份识别业务发起挑战。

为了避免无谓的争论(人脸识别技术用于账户身份识别不属于本文讨论的范围),显然,今天我们重点讨论的是互联网上法定身份识别能不能采用人脸识别技术。

第二,人脸识别技术缺乏理论基础

人脸识别技术有硬伤,不客气的说人脸识别技术基于经验而不是科学。目前并没有可靠的理论基础,也没有权威的实验证明是否任意两个人的脸是不同的(互联网上下求索而不得道,欢迎赐教)。

我们经常在单位门禁、考勤设备中看到人脸识别技术的应用,但是一般单位才多少人?放到海量用户的背景下,这个经验还成立吗?

历史上最著名的人脸误判案例可能是1903年在美国堪萨斯州发生的William West-Will West案件。当时一个名为威尔?韦斯特(Will West)的犯人正要被收押进莱文沃思(Leavenworth)监狱。监狱职员看他面熟,问他以前是否来过这里,威尔说没有。接着职员调出了William West的照片给威尔看,威尔说: 这的确是我,可是你们是怎么拿到这张照片的呢?以前我从未到这儿来过。 从此,从美国开始,各国监狱和司法系统开始用指纹进行罪犯身份登记和管理。