本週 WIRED 的資安快訊披露,華特迪士尼(The Walt Disney Company)宣布在加州的 Disneyland Park 及 Disney California Adventure Park 新增「選擇性」臉部辨識通道,遊客可選擇透過該通道入園。看似方便的驗證機制,其實牽涉個人影像資料的採集與保存,引起隱私與監管關注。以下整理最需要知道的重點,以及本週其他幾則與資安、AI 相關的重要消息。
事件是什麼?迪士尼怎麼做
迪士尼表示,入園時遊客可「選擇」走設有臉部辨識系統的通道。公司同時說明,即使不走這些通道,若從其他通道進入亦「有可能」會被拍攝影像。系統把人臉影像轉換成數值化的表示(numerical value),用於比對其他影像。迪士尼表示這些數值會在 30 天後刪除,但在法律或防詐欺需要下例外情況會保留資料。
技術重點:臉部辨識如何運作(簡析)
一般商用臉部辨識系統會把影像映射為一組數值向量,然後比對向量相似度來判定是否為同一人。WIRED 報道指出,迪士尼採用的就是這類做法。系統的兩個常見風險是:一、誤認率(false positives/negatives)可能導致誤會或拒絕入園;二、資料保存與用途不明確會引發隱私問題,例如資料是否會與第三方或執法單位共享。
一般遊客要關注的影響
- 選擇權與透明度:雖然公司稱為「選擇性」,但同時警告即使不使用該通道亦可能被拍攝,實際執行時遊客是否能真實避開資料採集,報道並未詳細交代。
- 資料保存與例外情況:迪士尼說會於 30 天刪除數值化資料,但會在法律或防詐欺情況下保留,報道未透露保留的具體情形與流程。
- 安全與誤認風險:臉部辨識誤認會帶來不便或更嚴重的後果,尤其在執法介入時;若系統被濫用或資料外洩,個人隱私風險會擴大。
- 法規與監管:美國及其他地區對臉部辨識的規管仍在演進,使用者應留意相關權利(例如查詢、刪除申請)與園區的政策說明。
是否值得留意?簡短結論
如果你計劃短期內到迪士尼加州樂園旅遊,值得在入園前留意園方的正式說明與選擇權細節,並在可能時詢問現場工作人員如何避免被拍攝。從更宏觀角度看,迪士尼此舉代表商用臉部辨識已逐步進入大型娛樂和人流集中場所,對個人資料保護、技術透明度和監管討論都有推波助瀾的作用,值得持續關注。
本週其他值得知道的資安與 AI 新聞(要點)
- NSA 測試 Anthropic 的 Mythos Preview:報道指出 NSA 在 40 個獲得早期存取的機構之一,使用 Mythos 來找出 Microsoft 軟件中的可利用漏洞,並對其速度與成效印象深刻。此舉發生在美國國防部對 Anthropic 宣布禁用之後,報道未有詳細交代 NSA 的長期計劃或是否會成為例外。
- FIDO、Google 與 Mastercard 研擬 AI 智能代理交易技術守則:FIDO Alliance 宣布與 Google、Mastercard 組成工作小組,研發用於驗證與保護由 AI 代理發起交易的技術規範,以因應 AI 在金融與認證場景的應用增長。
- OpenAI 推出「進階」資安風險模式:OpenAI 為面臨較高攻擊風險的 ChatGPT 與 Codex 帳戶推出更嚴格的安全風控設定,旨在降低因帳戶被針對而產生的風險。
- 90,000 張名人截圖外洩:新研究揭示從一名歐洲名人手機擷取的大量截圖被公開,凸顯市售監控軟件(spyware)造成的隱私入侵與大規模資料濫用風險。相關案例也引發阿聯酋因分享截圖被捕的報道。
- Scattered Spider 成員在芬蘭被捕:涉嫌與知名勒索團伙 Scattered Spider 有關的 19 歲 Peter Stokes 在芬蘭機場被捕,檢控文件已封存。報道指控他涉入針對數間受害企業的攻擊,並涉嫌竊取數百萬;相關指控以「涉嫌」方式報道。
- Medicare 資料庫外洩風險:華盛頓郵報報道,一個連結到美國醫療保險與醫療補助服務中心(CMS)線上主管的 Medicare 資料庫曾在網上暴露,洩漏了醫護人員的社會安全號碼等個人資料,具體細節報道未有全面展開。
總的來說,臉部辨識在消費場景的應用越來越普遍,但同時帶來資料處理透明度、保存期間、例外用途與錯誤判定等實務問題。對於一般用戶,最實際的做法是在使用相關服務前查看機構的隱私政策與申訴或刪除機制,並在有疑慮時主動查詢或選擇不使用該通道。
資料來源:WIRED — https://www.wired.com/story/security-news-this-week-disneyland-now-uses-face-recognition-on-visitors/
