近期,浙江杭州警方侦破一起利用“AI换脸”突破相关互联网平台人脸识别认证机制侵犯公民个人信息案件,抓获犯罪嫌疑人4名,查获一批被非法强制登录的网络账号。
涉案人员利用生成式人工智能深度合成技术伪造“AI人脸”,突破平台人脸识别认证机制,非法窃取公民个人隐私数据。
该案中,犯罪团伙利用某即时通讯平台招揽生意,宣称可以承接互联网平台特定用户数据的“查细”业务。
接单后,团伙成员伪造受害者人脸验证视频,突破相关头部平台登录认证,强制登录受害者账号窃取信息。
该案中,犯罪团伙、互联网平台、个人信息买家均需根据具体行为承担刑事、行政及民事责任。
一是实施犯罪的团伙利用“AI换脸”突破互联网平台认证机制,非法获取公民个人信息并出售的行为,涉嫌非法获取计算机信息系统数据罪、侵犯公民个人信息罪,情节特别严重的,可处三年以上七年以下有期徒刑,并处罚金;
二是互联网平台未采取有效措施保护注册用户个人信息,导致用户个人信息泄露,可能面临连带的行政处罚和民事赔偿;
三是买家出于各种目的非法购买他人信息的行为,可能涉嫌非法获取公民个人信息、侵犯公民个人隐私的违法行为。
当前,互联网平台的登录认证方式主要有账号密码登录、手机验证码登录、第三方平台授权登录三种。
此外,为保证用户体验,平台还会开通了人脸登录方式,其应用场景主要为当用户忘记账号密码,且手机遗失、收不到验证码,或无法使用前三种登录方式时启用。此时,用户可以通过输入账号绑定的姓名、身份证件号码及人脸校验来完成平台的身份核验,登录平台中的个人账号。
那么,互联网平台现有的认证方式存在哪些风险呢?
一是公民个人信息的泄漏。过往公民个人信息的泄露导致基于“姓名+身份证件号码+人脸”的认证机制更易被犯罪团伙突破,同时,互联网平台为开展身份认证大量收集公民个人信息的行为也进一步增加了个人信息泄露的风险。
二是深度伪造技术的冲击。随着生成式人工智能的快速发展,深度伪造技术的更新迭代远超安全防护升级节奏,视频生成工具制作出的动态人脸视频的生物特征不断接近真人,导致人脸识别认证的安全性降低,被技术破解绕过认证的风险极大提升。
三是第三方授权登录平台的潜在风险。互联网黑灰产团伙已形成完整的犯罪生态链,一旦头部互联网平台出现认证漏洞,即可通过第三方授权登录其他平台,短时间内即会造成大量无法挽回的损失,严重危害公民的个人信息安全。
综上所述,随着互联网技术的发展,现有互联网平台身份认证体系在技术对抗、隐私保护、系统防护等方面均存在结构性风险,平台鉴权、身份认证机制遭到反复突破,给网络犯罪及黑灰产团伙提供了可乘之机,对国家经济、社会发展构成重大威胁,各互联网平台应当深刻认识个人信息保护工作的重大意义,主动采取更加有效的技术措施防范网络犯罪及黑灰产团伙的持续性攻击,实现企业健康发展和社会效益共建双丰收。
来源: “公安部网安局”微信公众号
