鏡頭無處不在 個人私隱沒私隱

評論版 2021/03/18

分享:

美國矽谷初創保安公司Verkada日前遭黑客入侵其系統,竊取了該公司15萬部閉路電視的數據資料。該公司的客戶達20,000多個,閉路電視安裝地點包括學校、醫院、監獄、機場、警察局、電動汽車生產商特斯拉的工場,以至Verkada自家的辦公室等各個場合也不能倖免,其中一些鏡頭能拍攝到高清片段,而且具備人臉識別功能。據外電報道,有黑客成員向外表示,「這些攻擊旨在表明Verkada的閉路電視有多麼普及,安全性在黑客面前又是多麼不堪一擊」。很顯然,在物聯網大趨勢下,個人私隱的保安問題,很值得討論。

在各種場合安裝視像鏡頭或探測器(sensor)之類的裝置,如今十分普遍。視像鏡頭可以測視人臉或個體的動態活動,探測器則可以探測個人的身體狀況,如血壓、心跳、溫度、聲音等。這些探測器裝置在物聯網上的應用,範圍愈來愈廣泛。

物聯網保安被忽略 黑客方便之門

在物聯網的世界,數以萬計的儀器設備都可以連結到互聯網上,尤其在5G技術世界,其主要功用和目的,就是令大家的互聯網透過流動網絡,可以接駁更多儀器,成就所謂的「智能城市」和「智能家居」。

隨着5G和流動通訊技術進一步發展,可以預料,愈來愈多設備可以接駁到互聯網上。但問題是,無論是一般個人,或是研發這些可接駁到互聯網設備的生產商、供應商,迄今似乎都沒有意識到資訊保安的重要性。

談到資訊保安,大家都容易聯繫到電腦保安,安裝防毒軟件、加密技術等手段來防範保留在電腦系統上信息的安全。然而,在物聯網世界,一般都沒有認真對待當中的資訊保安問題,因為放上物聯網的物件並不像一部電腦,其設備往往只是一個很簡單的中央處理器,所設置的功能也只是接駁到互聯網,然後把探測到的信息數據,通過互聯網直接傳送回公司。由於其介面並不複雜,沒有那麼多電腦程序和防毒之類的設計,於是保安問題就容易受到忽略,並成為黑客入侵的「方便之門」。

在傳統互聯網上,服務供應商有多少個用戶都有一個數目,其牽連的範圍或數目還可以「預估」;但在物聯網世界,接駁上去的儀器或設備,每個都有其供應商或生產商,每一個都有龐大的用戶群,前文提及的「智慧城市」、「智能家居」,其重點背後的東西,就是這類探測器。這些探測器可能是視像鏡頭,布滿各街各巷,或者是安裝在交通燈上的探測器,用來收集相關的交通信息。有些信息數據可能是公開的,例如我們走在路上,被安裝在街道上的攝錄鏡頭拍攝到,一般人並不特別介意,而這些鏡頭往往也安裝了人臉識別功能。有國家政府據此所收集到的數據,用來捕捉那些不遵守交通規則者,或用來檢控違法的行為。這類的攝錄和信息搜集,對個體的影響並不大。

生物特徵認證 可靠性成疑

不過,當中有不少新出現的科技因素值得注意。目前,愈來愈多場景用「生物特徵」來作認證,例如虛擬銀行。虛擬銀行的賣點功能,是客戶不需親臨實體銀行,透過互聯網、一部手機、一個鏡頭,拍攝了個人的身份證、人臉的生物特徵,據此進行認證、開戶、提款等。一旦物聯網世界的應用廣度和深度加強,愈加普遍,這個利用生物特徵的認證系統,是否比採用密碼等更為可靠,沒有安全漏洞?問題值得各方認真思考。個人並不贊成以生物特徵作為認證的手段。

生物特徵雖然是「內嵌」到個人身體上獨有的生理元素,但不要忘記,當鏡頭把這個生物特徵拍下來後,就意味把這個人獨有的生理特徵,從此人身體上「剝離」出來,放到一個離開了這個個體的信息系統上。

隨着物聯網和資訊科技的先進發展,個人的生物外觀特徵,如今可以通過一個高清鏡頭,巨細無遺地攝錄下來。目前,不少國家或試行的系統允許「人臉識別」付款或收款,事實上,今天很多公司都應用物聯網,而當視像系統那麼容易遭黑客入侵,對於物聯網上反入侵的保安又那麼鬆懈,黑客入侵便成為一個不容忽視的問題。

人臉特徵被「剝離」 恐失排他性

筆者認為,在物聯網世界,以人臉識別的生物特徵作為認證,安全性是有疑問的。因為當視像頭如今那麼普遍,幾乎「處處都在」,而且這些鏡頭又附上人臉識別的高清視像功能,我們走到哪裏,都可能被攝入鏡頭裏,人臉生物特徵被技術「剝離」,放置在電子系統裏。在這個系統內,個人私隱包括生物特徵信息的安全性,是否穩妥?如果系統內部具有管理權限的人員,拿了你的人臉生物特徵去認證,理論上完全可以發生,因此這個系統內信息保護的安全性和穩當性,是一個值得深思的問題。

經濟學上所稱的「排他性」(Exclusivity),是指一個產品只能有一個人獨佔享用,其他人不能同時佔有和分享。例如我買了一部手機,這部手機只能自己一個人用,其他人不能同時使用。

生物特徵的使用,理論上有「排他性」的效果,但正如上文指出,人臉的生物特徵被鏡頭拍下來,技術把你的生物特徵「剝離」出來後,放到一個電子系統上,就可以多人使用,甚至同時共用。

「內鬼」威脅信息保安 不容忽視

因此,在資訊科技的世界,尤其今日的物聯網世界,除了電腦系統攻擊的信息安全外,還有另一重更廣泛的安全性隱憂。在傳統電腦系統信息的保安,我們除了擔心黑客從外部入侵攻擊外,如何防範系統信息管理員,或者有權限登入系統讀取信息的內部人員,也是一個問題。較早前外電就曾報道,有大廈管理員透過裝置的錄影系統,去偷窺大廈單位內女士的生活私隱。

很顯然,當物聯網今日的使用如此廣泛,內部員工帶來的信息保安威脅問題不容忽視。當服務供應商僱用一名員工時,是假定他是可靠的。員工的可靠性,是通過自律和被發現後受到懲罰來作「保證」,但這種保證並不可靠,因為除了人有僥倖之心,以為可以逍遙法外,有時使用別人的私隱信息是出於無心之失,多種在現實世界中出現的可能性,令物聯網世界裏個人私隱信息的保安,顯得更脆弱。

記得互聯網出現後,不少人認為這是一件大大的好事。使用互聯網,信息的交流可以提升到一個新高度,方便又廣泛;更大的好處是,個人的言論自由得到更充分的保障和發揮。但到了今天,互聯網技術隨了帶來好處外,還有幾乎與好處不相伯仲的弊端,例如網上商業犯罪、個人私隱受到侵犯、「起底」、網上販賣非法品等因此,對於5G或物聯網技術的愈趨普及、物聯網帶來的好處和生活方便,我們是否也要對帶來的另一種後果,包括個人私隱信息保護的脆弱性,及早認真思考和應對?

在物聯網的世界,數以萬計的儀器設備都可以連結到互聯網上,成就所謂的「智能城市」和「智能家居」。(中新社資料圖片)

撰文 : 許佳龍 科大商學院資訊、商業統計及營運學系講座教授、艾禮文家族商學教授

欄名 : 評論

緊貼財經時事新聞分析,讚好hket Facebook 專版