1月18日,國家工業(yè)信息安全發(fā)展研究中心AI國檢中心發(fā)布《人臉識別系統(tǒng)安全評測研究報告》?!秷蟾妗凤@示,騰訊云、京東科技、商湯科技、曠視科技、??低暋⒌谋R深視成為首批通過人臉識別系統(tǒng)安全測評的企業(yè)。
近年來,作為人工智能領(lǐng)域最具商業(yè)價值的技術(shù)方向,人臉識別在安防、金融、交通、教育等領(lǐng)域?qū)崿F(xiàn)廣泛應(yīng)用,但在技術(shù)和應(yīng)用層面仍存在安全挑戰(zhàn),漏洞攻擊、數(shù)據(jù)泄露、技術(shù)濫用等問題屢屢成為社會焦點。因此,作為人工智能領(lǐng)域國家級檢測機構(gòu),AI國檢中心就人臉識別系統(tǒng)安全啟動測評工作,對市場主流人臉識別產(chǎn)品實施監(jiān)督檢驗,規(guī)范人臉識別產(chǎn)業(yè)健康發(fā)展。
據(jù)悉,這是首個人臉識別系統(tǒng)安全能力的國家檢測與評估,依據(jù)《信息技術(shù)生物特征識別人臉識別系統(tǒng)技術(shù)要求》《信息安全技術(shù)人臉比對模型安全技術(shù)規(guī)范》等現(xiàn)行和在研的有關(guān)國家和行業(yè)標(biāo)準(zhǔn),通過呈現(xiàn)攻擊、注入攻擊等技術(shù)手段對人臉識別產(chǎn)品和服務(wù)進(jìn)行全方位的測試,有效評估人臉識別安全風(fēng)險。
“人臉識別系統(tǒng)安全風(fēng)險主要涵蓋算法安全、數(shù)據(jù)安全和應(yīng)用軟件安全等維度?!眹夜ば虐踩行娜斯ぶ悄芩彼L劉永東介紹,本次測評對人臉識別系統(tǒng)的安全風(fēng)險提供明確測試方法,包括算法層面的抗惡意攻擊檢測,軟件層面的靜態(tài)代碼安全測試、注入攻擊測試和程序數(shù)據(jù)掃描等。
“測試過程中我們發(fā)現(xiàn)諸多問題。首先,對人臉識別身份認(rèn)證系統(tǒng)的安全評估,不能采用同一尺度衡量。不同場景對技術(shù)安全性判定規(guī)則應(yīng)加以區(qū)分。”國家工業(yè)信息安全發(fā)展研究中心人工智能所圖像檢測室負(fù)責(zé)人朱倩倩說,以
門禁通行和金融支付為例,門禁閘機注重通行效率,對安全性要求相對較低,金融支付則非常高。從應(yīng)用角度而言,沒有百分之百安全的技術(shù),所以高風(fēng)險場景應(yīng)采用多重身份認(rèn)證方式。此外,由于人臉識別技術(shù)采用深度學(xué)習(xí)結(jié)合大數(shù)據(jù)訓(xùn)練模式,受呈現(xiàn)攻擊測試樣本量數(shù)據(jù)限制,檢測不能完全覆蓋各種不安全情況,建議采用與人臉識別相匹配的數(shù)據(jù)庫規(guī)模測試,結(jié)合呈現(xiàn)攻擊測試的方式,綜合判定人臉識別系統(tǒng)安全性。
朱倩倩介紹,針對上述問題,AI國檢中心將研究應(yīng)用場景安全等級,按照不同場景、不同功能、不同應(yīng)用階段劃分人臉識別安全等級,研制技術(shù)和應(yīng)用安全測評標(biāo)準(zhǔn)。持續(xù)提高檢測水平,研究測試樣本差異,為企業(yè)提供高水準(zhǔn)測試服務(wù),幫助企業(yè)找到安全問題,提出改進(jìn)及優(yōu)化建議。
目前,對人臉識別技術(shù)的規(guī)范和管理早已成為全球關(guān)注的重點。美國、歐盟相繼推出《人臉識別和生物特征識別技術(shù)禁令法案》《通用數(shù)據(jù)保護(hù)條例》等監(jiān)管政策,同時主導(dǎo)多項人臉識別國際標(biāo)準(zhǔn)。我國則提出發(fā)展與安全并重的理念,多措并舉推進(jìn)人臉安全應(yīng)用,逐步牽頭引領(lǐng)部分標(biāo)準(zhǔn)制訂,在公安和金融等領(lǐng)域先行構(gòu)建規(guī)范。本次測評工作為進(jìn)一步完善人臉識別標(biāo)準(zhǔn)體系、推動產(chǎn)業(yè)規(guī)范發(fā)展提供有力支撐,通過測評的企業(yè)也將參與后續(xù)的標(biāo)準(zhǔn)編制工作。
人臉識別具有高度的社會屬性,應(yīng)在法治框架下開展協(xié)同治理。如何貫徹落實政策法規(guī)要求?北京瑞萊智慧科技有限公司高級副總裁朱萌認(rèn)為,技術(shù)廠商可聯(lián)手律師事務(wù)所,針對數(shù)字經(jīng)濟時代新場景下監(jiān)管機構(gòu)的合規(guī)要求,對內(nèi)健全技術(shù)合規(guī)體系建設(shè),對外輸出應(yīng)用合規(guī)咨詢服務(wù),比如培育數(shù)據(jù)安全咨詢、數(shù)據(jù)保護(hù)設(shè)計與數(shù)據(jù)安全管理等服務(wù),從技術(shù)和業(yè)務(wù)流程角度提供完整安全保障解決方案。