国内首份 | 梆梆安全参编《人脸信息处理合规操作指南》正式发布
作者: 日期:2022年03月15日 阅:1,708

近日,由中国信通院云计算与大数据研究所主导,梆梆安全等参编的国内首份《人脸信息处理合规操作指南》(下称“《操作指南》”)正式发布。

《操作指南》依托“可信人脸应用守护计划”(下称“护脸计划”),开创性提出了人脸信息处理的场景分类,全面梳理了人脸信息处理的全生命周期合规要点及实践案例,系统地构建了一套人脸信息处理合规体系,旨在为合规处理人脸信息提供全面细致的指引,推动人脸识别产业健康发展。

亮点一:首次提出人脸信息合规处理总视图

合规处理人脸信息是一项系统性工作,《操作指南》首次系统地提出了人脸信息合规处理的总体视图,将合法、正当、必要、诚信四大法律基本原则具象化为九项原则性要求,并将其贯穿于人脸信息全生命周期处理环节的合规要求、其他合规要求,以及具体行业应用场景的相关要求。

图 人脸信息合规处理总体视图

亮点二:收集环节区分场景明确合规要求

人脸信息处理环节中的合规痛点主要在于收集环节,不同的收集方式对人脸信息主体的知情权、自主决定权影响不同,不可一概而论。《操作指南》根据人脸信息处理者收集人脸信息时面向对象和采集方式的不同,区分应用场景,能够更加精准、更有针对性的落地人脸信息处理合规要求。

亮点三:深度融合法律规范与实践经验

《操作指南》收录了金杜、中伦、世辉、北源、宁人、阿里巴巴、蚂蚁、商汤、百度、腾讯、招商银行、北京银行等多家律师事务所及企业的实践经验和示例,针对每一个合规要点将法律规范与实践经验相结合,提供了可落地的人脸信息合规实践方案。

亮点四:聚焦重点行业梳理合规要点

《操作指南》在完成合规体系构建的基础上,聚焦金融、安防、教育、交通、民生政务、智能家居等重点行业领域,梳理具有行业特色的人脸信息处理合规要点,从而更为有效地指引不同行业的人脸信息处理者落实合规要求。

近年来,人脸识别技术落地势头迅猛,被广泛应用于公共安全、场所进出、信息处理等领域。然而,随着人脸识别的大规模应用,也暴露出隐私泄露、技术滥用、偏见歧视等问题,屡屡成为社会焦点,行业规范工作刻不容缓。

梆梆安全作为“护脸计划”首批成员单位,在人脸识别等新技术安全发展领域做足功课,提出“从人脸识别绕过看技术与业务双轮驱动”的风控升级,率先实现了对“人脸识别”绕过等安全风险的监测并将其落地。

移动端“护脸”应充分考虑前端数据安全

梆梆安全基于在移动安全领域的实践,结合近年来人脸识别信息泄露等安全事件进行分析发现,以人脸识别绕过为代表的技术化攻击及风控绕过技术成为黑、灰产的通用普适性攻击技术,进一步影响企业的业务安全。截至目前,国内大型金融、运营商、政府等移动应用均遭受过人脸识别绕过攻击,给业务安全带来严重影响。如下图所示,人脸识别绕过攻击发生的根源仍然在于移动应用前端数据造假及业务逻辑劫持绕过。 

图 手机APP人脸认证过程

目前手机APP的人脸认证过程通常都是前端SDK做完活体检测后,截取视频照片,发往服务端,进行人证信息的比对,在这个过程中有多种技术化方式进行人脸攻击,包括传输层抓包、应用函数劫持、系统函数劫持、底层摄像头驱动篡改(定制ROM)等。而企业在数字化转型过程中很容易忽略移动业务形态变化给业务安全带来的影响,导致企业移动业务风控缺失。

传统企业的业务风控重点在于防范灰产,如批量刷单、开卡、薅羊毛、电信诈骗等,但对于黑客及违规风险防范不足,如黑客攻击层面:渗透测试及漏洞挖掘、应用破解和调试攻击等;业务违规层面:违规打卡、违规签到以及违规巡检等。传统业务驱动下的风控基本模型如下图所示,风控系统综合前端采集数据(设备基础信息、网络IP地址信息、地理位置信息、音视频信息)、业务交易数据(手机号、账号、交易类型、交易金额、收获地址)和第三方数据(运营商数据、安全厂商情报数据、互联网厂商数据、公安、人民银行等官方数据),综合评估交易的风险状况,并进行风险决策。

图 传统交易风控流程

而技术化攻击手段对传统风控最大的挑战在于,前端数据造假从而导致风控规则及模型失效。如依赖于GPS坐标信息来判断用户是否在常规交易地点,但这种信息在前端造假后极容易伪造出常规交易地点而欺骗风控。

双轮驱动下的业务风控

近年来,针对APP、SDK、H5等前端应用的技术化攻击方式不断发展,攻击方式及技术路线日渐成熟。传统的业务驱动的风控系统在技术化攻击的背景下,需要在进行风控系统升级时纳入技术风险维度的判断依据。在技术与业务双轮驱动下的业务风控逻辑架构如下图所示:

图 业务风控逻辑架构

技术风险分析引擎通过前端的设备、系统环境、运行时攻击、用户行为、应用及进程风险等多个维度,综合分析当前交易设备的风险等级及风险评分,同时业务风险分析引擎通过用户账户、用户交易等多个维度,综合分析当前交易的业务风险等级及业务风险评分。业务风控系统的交易处置决策引擎综合技术、业务的分析结果,决策当前交易的处置方式。在业务与技术的双轮驱动下,企业的业务安全能力能够走上一个新的台阶。

数字经济时代,恶意攻击人脸识别系统、非法采集以及滥用人脸信息的事件时有发生,当前的人脸识别技术存在明显的安全漏洞,对社会和公众财产安全造成重大隐患,亟须进行系统性的安全排查和堵漏。《中华人民共和国个人信息保护法》等法律的不断落地实施为人脸信息保护提供法律指引,监管治理行动也将驱动行业规范化发展,《人脸信息处理合规操作指南》的发布将有益于推动行业秩序形成。企业需要在人脸识别技术应用和信息安全之间找到平衡,合规处理人脸信息,保障用户人脸信息安全,多方联动推动人脸识别产业健康发展。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章