一起数据泄露事件显示,中国正在密切追踪新疆近260万人的位置信息。在新疆,一些维吾尔族和其他信仰伊斯兰教的少数民族正处在警方的锁定之下。
非营利性网络安全组织GDI基金会(GDI Foundation)的安全研究员维克托•赫韦尔斯(Victor Gevers)表示,他发现一家名为深网视界(SenseNets)、与中国警方有合同的中国人脸识别公司的一个数据库在24小时内收集了近670万个GPS坐标。
赫韦尔斯说,这些位置数据与姓名(其中许多是维吾尔族人)以及身份证号、家庭住址、照片、工作单位匹配在一起。他表示,他还发现有大量组织连接了该数据库,包括派出所、酒店和各种企业。
过去两年,中国政府已经在新疆的拘留营中拘留了逾100万穆斯林,使该地区处于封锁状态。北京方面辩称,其政策是为了防止极端主义。
新疆一直是中国将人脸识别技术融入安全设备的主要试验场。沿着新疆主干道路设立的大部分安全检查点都使用了人脸识别摄像头 — — 一名加拿大记者曾发表一篇关于中方如何利用车牌识别摄像头追踪了他1600公里的报道。
美国正考虑对参与中国在新疆镇压行动的企业和官员实施制裁。中国企业海康威视(Hikvision)的产品已被排除在美国的政府采购名单之外,该公司也是世界最大的监控摄像头制造商之一。出口禁令将削弱中国的监控设备生产企业,因为这些企业严重依赖英特尔(Intel)和英伟达(Nvidia)的芯片等美国制造的零部件。英国《金融时报》去年7月报道称,海康威视已经获得在967座清真寺入口处安装摄像头的合同。
深网视界是一家总部位于深圳的公司,该公司的官方网站宣称,在中国各地,深网视界已与警方签订了4份合同。除了提供人脸识别和群体分析服务以外,该公司还销售录音设备。
赫韦尔斯读取的服务器日志显示,在这个网络服务器上,深网视界的数据库在长达半年时间里都处于无需登录密码即可自由访问的状态。在上周发现这起数据泄露后,赫韦尔斯按照GDI基金会对发现数据泄露的政策,给服务器所有者发送了一封邮件,说明了这个问题。深网视界并未回复,但似乎已经对服务器安全进行加固,现在已经无法再对其进行访问。
“政府关联机构用这个数据库来追踪少数民族。”曾与赫韦尔斯共事、现就任于咨询机构Security Discovery的鲍勃•迪亚琴科(Bob Diachenko)说,“这是一个道德难题:我还是会像维克托一样报告这件事,并持续传播这一消息,以确保此类追踪不会再发生。”
深网视界在其网站上骄傲地展示了其帮助广东省警方起诉非法集会参与者的故事。非法集会通常是具有政治敏感性的抗议活动的委婉说法。
深网视界还表示,它为连云港市警方建立了人脸识别监控系统。
深网视界在新疆的行动并非其唯一参与过的监视中国少数民族的行动。该公司网站称,它为黔南布依族苗族自治州的首府都匀市提供了安全服务。
深网视界的母公司是深交所创业板上市公司东方网力(NetPosa)。东方网力的官网宣称,其联网的监控摄像头达到近200万个,其中正在使用的摄像头有近140万个。东方网力的官网内容表明,该公司在新疆设有办事处。近年来,东方网力的年收入迅速增长。其向深交所提交的最新公告预测,该公司2018年的净利润在3.65亿至4.8亿元人民币之间(合5400万至7100万美元)。
深网视界和东方网力没有立即回应就数据泄露或它们与新疆警方的关系置评的请求。中国外交部和新疆维吾尔自治区警方没有回应置评请求。新疆宣传部门的一名发言人表示:“我已致电有关部门,但他们都不了解这个问题。”
世界多个国家和地区的警方都在试验实时人脸识别,包括英国、美国和印度。全球最大的人脸识别系统供应商之一 — — 日本的NEC — — 为这三个国家供应系统,而亚马逊的Rekognition系统正在美国进行测试。人脸分析方面的计算机科学专家警告称,这项技术还未成熟,很容易出现导致误报的错误。蒙特利尔大学(University of Montreal)机器学习领域学术领军人物尤舒亚•本希奥(Yoshua Bengio)表示,人脸识别系统“非常愚蠢”,广泛部署当前形式的人脸识别系统是非常危险的。
新疆部分地区的地方当局还在大量采集当地居民的生物识别数据,包括血样。
2017年,一些新疆居民被要求安装一款名为“净网卫士”的手机应用,该应用宣称能清除手机垃圾。然而,独立安全研究员阿夫拉姆•迈特纳(Avram Meitner)发现,这款应用会扫描手机中的非法文件继而通知当局。
Originally published at gfw-blog.netlify.com on February 23, 2019.
