據 Buzzfeed 報道,近日,美國海關與邊境保護局(CBP)發佈公告,在未經聯邦機構授權的情況下,其分包商私自轉移了識別旅客及車牌圖像的邊境巡邏數據庫。在此過程中,分包商的網絡遭到黑客的“惡意網絡攻擊”,導致數據庫內出入境旅客的照片泄露,具體涉及近一個半月以來通過入境口岸特定車道的車輛圖像。CBP補充,其自身系統並未遭受影響。據瞭解,此次事件是2019年國土安全部(DHS)的第二次重大隱私泄露事件。第一次則發生在今年3月,美國聯邦緊急事務管理局(FEMA)曾因程序錯誤泄露了230萬名災難倖存者的個人地址和銀行信息。
涉事分包商暫未公開
公告中,CBP聲稱,在暗網及互聯網均未識別出任何圖像數據。也就是說,並未發現所泄露的數據在網絡上傳播。此外,CBP未明確提及分包商名稱、受影響人數以及受影響羣體構成(美國公民或非公民)等情況。但據消息人士指出,CBP在向《華盛頓郵報》提交的文件上提及了製造商 Perceptics 的名字。
這家總部位於田納西州的車牌識別器製造商是在美國、加拿大以及墨西哥主要車道上爲所有陸地邊境過境車道安裝固定式車牌閱讀器的唯一供應商,主要爲邊境控制、商用車輛執法、電子收費和安全行業提供服務。據The Register報道,今年5月,Perceptics的內部文件曾被黑客竊取,一些數據被上傳至暗網,並可免費下載。如果Perceptics爲CBP分包商的說法得到證實,這不免令人擔憂已泄露的海關數據庫是否也將面臨同樣的處境。
此前,Perceptics宣佈,與Unisys Federal Systems已達成協議,簽署了與美國海關和邊境保護局的一項重要合同。該協議計劃更新現有的LPR技術,在德克薩斯州、新墨西哥州、亞利桑那州和加利福尼亞州的43個美國邊境巡邏檢查站車道安裝新一代車牌閱讀器。
這一合作在很大程度上與美國總統特朗普於2017年3月發佈的行政令有關。該行政令規定,到2021年,包括美國公民在內,美國20大機場“100%的國際旅客”都必須接受面部識別身份驗證,並要求加快對所有過境旅客身份進行生物識別驗證。CBP正爲該項計劃的順利實施採取行動。
數據安全亟待加強
對於此次數據泄露事件,雲從科技相關負責人在接受InfoQ採訪時分析稱,此次數據泄露事件的主要原因在於缺乏制度與標準上的規範。原則上,此類數據無法流入外包公司內部,因爲目前所有服務以私有云方式部署在使用方內網,訓練算法也只能通過脫敏數據進行,無法追溯敏感信息。
此外他還表示:人臉識別技術數據的獲取、處理和應用具有極強的隱私性與領域擴展性,關乎公民個人信息安全甚至國家信息安全,需要額外重視。前CBP顧問特里薩·布朗也強調:“執法和涉及隱私的數據庫應完全由政府管理,不應受承包商或分包商的約束”。
而CBP所進行的數據收集正屬於政府行爲,對安全性的要求極高,與日常場景下使用的人臉識別不同。《華盛頓郵報》專欄作者Geoffrey A. Fowler用解鎖iPhone與進行經過電子門的檢測做類比,他說:“你的面部掃描永遠不會傳送到蘋果公司,甚至不會離開你的手機……但是在機場安檢門,你的臉被航空公司獲取,然後與美國海關和邊境保護局運營的人臉數據庫進行比較,該數據庫會報告你是否被允許登機。”因此,一旦數據泄露,將造成不可估量的影響。
其實即使刪除數據庫,人臉識別的信息還是會存在於全世界的硬盤上。這讓記者聯想到最近微軟低調刪除其最大的公開人臉識別數據庫MS Celeb的新聞。這樣看來,爲防止侵犯公衆隱私權,從而避免產生法律風險,不同的機構也在採取不同的應對辦法。
據《環球科學》援引美國全國廣播公司(NBC)和卡託研究所的數據顯示,美國在“面部生物識別”的市場規模預計將從2018年的1.369億美元增長至2025年的3.75億美元。市場規模的擴大勢必意味着機會的增加,與此同時,對隱私保護也勢必帶來更大的挑戰,這將是另一種博弈。