美国海关人脸数据库遭黑客攻击 过境旅客照片被泄露

据 Buzzfeed 报道，近日， 美国海关与边境保护局 （CBP）发布公告，在未经联邦机构授权的情况下，其分包商私自转移了识别旅客及车牌图像的边境巡逻数据库。在此过程中，分包商的网络遭到黑客的“恶意网络攻击”，导致数据库内出入境旅客的照片泄露，具体涉及近一个半月以来通过入境口岸特定车道的车辆图像。CBP 补充，其自身系统并未遭受影响。据了解，此次事件是 2019 年国土安全部（DHS）的第二次重大隐私泄露事件。第一次则发生在今年 3 月，美国联邦紧急事务管理局（FEMA）曾因程序错误泄露了 230 万名灾难幸存者的个人地址和银行信息。

涉事分包商暂未公开

Buzzfeed 上公开的 CBP 声明（截图）

：

公告中，CBP 声称，在暗网及互联网均未识别出任何图像数据。也就是说，并未发现所泄露的数据在网络上传播。此外，CBP 未明确提及分包商名称、受影响人数以及受影响群体构成（美国公民或非公民）等情况。但据消息人士指出，CBP 在向《华盛顿邮报》提交的文件上提及了制造商 Perceptics 的名字。

这家总部位于田纳西州的车牌识别器制造商是在美国、加拿大以及墨西哥主要车道上为所有陆地边境过境车道安装固定式车牌阅读器的唯一供应商，主要为边境控制、商用车辆执法、电子收费和安全行业提供服务。据 The Register 报道，今年 5 月，Perceptics 的内部文件曾被黑客窃取，一些数据被上传至暗网，并可免费下载。如果 Perceptics 为 CBP 分包商的说法得到证实，这不免令人担忧已泄露的海关数据库是否也将面临同样的处境。

此前，Perceptics 宣布，与 Unisys Federal Systems 已达成协议，签署了与美国海关和边境保护局的一项重要合同。该协议计划更新现有的 LPR 技术，在德克萨斯州、新墨西哥州、亚利桑那州和加利福尼亚州的 43 个美国边境巡逻检查站车道安装新一代车牌阅读器。

这一合作在很大程度上与美国总统特朗普于 2017 年 3 月发布的行政令有关。该行政令规定，到 2021 年，包括美国公民在内，美国 20 大机场“100% 的国际旅客”都必须接受面部识别身份验证，并要求加快对所有过境旅客身份进行生物识别验证。CBP 正为该项计划的顺利实施采取行动。

数据安全亟待加强

对于此次数据泄露事件，云从科技相关负责人在接受 InfoQ 采访时分析称，此次数据泄露事件的主要原因在于缺乏制度与标准上的规范。原则上，此类数据无法流入外包公司内部，因为目前所有服务以私有云方式部署在使用方内网，训练算法也只能通过脱敏数据进行，无法追溯敏感信息。

此外他还表示：人脸识别技术数据的获取、处理和应用具有极强的隐私性与领域扩展性，关乎公民个人信息安全甚至国家信息安全，需要额外重视。前 CBP 顾问特里萨·布朗也强调：“执法和涉及隐私的数据库应完全由政府管理，不应受承包商或分包商的约束”。

而 CBP 所进行的数据收集正属于政府行为，对安全性的要求极高，与日常场景下使用的人脸识别不同。《华盛顿邮报》专栏作者 Geoffrey A. Fowler 用解锁 iPhone 与进行经过电子门的检测做类比，他说：“你的面部扫描永远不会传送到苹果公司，甚至不会离开你的手机……但是在机场安检门，你的脸被航空公司获取，然后与美国海关和边境保护局运营的人脸数据库进行比较，该数据库会报告你是否被允许登机。”因此，一旦数据泄露，将造成不可估量的影响。

其实即使删除数据库，人脸识别的信息还是会存在于全世界的硬盘上。这让记者联想到最近微软低调删除其最大的公开人脸识别数据库 MS Celeb 的新闻。这样看来，为防止侵犯公众隐私权，从而避免产生法律风险，不同的机构也在采取不同的应对办法。

据《环球科学》援引美国全国广播公司（NBC）和卡托研究所的数据显示，美国在“面部生物识别”的市场规模预计将从 2018 年的 1.369 亿美元增长至 2025 年的 3.75 亿美元。市场规模的扩大势必意味着机会的增加，与此同时，对隐私保护也势必带来更大的挑战，这将是另一种博弈。