议题背景
本次即时回应的议题,是FaceApp引发的资安疑虑。俄罗斯公司Wireless Lab开发的FaceApp,是使用AI演算法替照片加上特殊效果或变化。自去(2019)年推出「老化功能滤镜」后,今年又推出「变性功能滤镜」,再度成为风潮,大众纷纷使用FaceApp上传自己的照片,想看到自己老态龙锺或性别转换的样子。
但是App收集大量的使用者照片,拥有存取个人相簿甚至手机内其他个人资料的权利,也引发了许多隐私争议。
相关新闻与讨论:
HiNet生活誌:大家都在玩!「变性滤镜」超夯,使用疑虑曝光:要注意 自自由时报:玩「变性」滤镜要小心!FaceApp曾爆发隐私争议、误触订阅究竟使用FaceApp会不会洩漏大量个人资料?使用FaceApp上传照片,要承担哪些资安风险?对此,我们邀请专家回应如下。
徐瑞壕(国立中山大学资讯工程学系助理教授) 2020年7月3日FaceApp以人工智慧的技术提供了照片变脸的功能,让每个人可以上传自己或别人的照片,来看看原本照片中人物变老甚至是变性之后的样貌。使用FaceApp「变脸」之前,使用者须将自己的照片上传至FaceApp的伺服器,或是让它可以存取使用者手机内的照片,并使用这些照片来转换脸部照片。
然而FaceApp由俄国的公司所开发,却也引发了照片外洩给俄罗斯政府的疑虑,甚至FaceApp可能不经使用者的同意而直接存取手机内的照片,并危害使用者隐私。
而洩漏个人照片引发的资安危害,不小于Zoom平台洩漏视讯会议内容所造成的危害。个人照片可被视是独一无二的个人特徵识别资料,也就是所谓的生物特徵。个人生物特徵洩漏可能造成以下两种风险:
个人行蹤暴露:由于人脸辨识技术的普及,有些国家已经建立全国性的监视系统,如个人人脸照片被存入监视系统的资料库当中,可被用来进行各种资料比对,进而可确认每一个人的活动行蹤,也因此造成了严重的隐私危害。 个人识别资讯被盗用及伪造:在使用人脸辨识作为安全识别的系统当中,外洩的个人照片可被用来製造出「可通过人脸识别系统认证的人脸照」,进而产生身份盗用的后果。此外,可透过深伪(深度伪造,Deepfake)技术(注1)来伪造个人照片,藉由将当事人外洩的个人照片与其他人的照片或影片进行结合,假造出不属于当事人的照片或影片场景,藉此产生对当事人的名誉伤害或是达到不法的意图。综观上述而言,个人照片的外洩,影响层面相当的广大,个人在使用各种手机App软体之前,应充分的了解所存在的各种风险,并且事先了解App使用了哪些手机的权限(注2)。避免App使用不必要的权限,例如存取手机的个人档案、通讯录以及录影音等操作。
而上传至云端的个人照片以及档案,会存在多久以及如何的被使用,每个业者需要根据公司以及服务对象的所在国家规定的隐私性保护法规,来管理、保存以及使用档案(注3)。
然而如有以下的情况,如App开发及云端业者较为名不见经传,或是其公司所在国家的隐私性保护法规制定较不完全等情形时,个人手机用户需要谨慎的考虑使用此App以及云端服务的风险,如此才能防範未来可能发生的各种个资盗用风险与活动。
注释 深伪技术:可以用人工智慧生成非常逼真且具有足够解析度的伪造影像,请参考资安趋势部落格〈什么是Deepfake(深伪技术)?〉。 延伸阅读文章:孰真孰假谁能分辨?谈AI伪造影像带来的危机 请参考自由时报〈你手机安装的免费App会外洩个资吗?隐私自保2招撇步学起来〉。 大西洋两岸的公司必须遵守「欧盟-隐私保护盾」的规定,来保护使用者的个人资料。请参考Microsoft〈欧盟和瑞士隐私权护盾架构〉。本文经新兴科技媒体中心授权刊登,原文刊载于此