系统六度被“撞开”,人脸识别真的安全吗?( 二 )


清华大学法学院教授劳东燕对采访人员表示,银行完全无责的说法,她也不认可 。劳东燕认为,去银行办理存款等,如果不同意采集人脸就办不了相应业务 。“也就是说,人脸识别是银行引进的一套系统,银行和科技公司是风险的共同制造者,当然应当承担一部分责任 。此外,从预防的效果来看,让银行承担一部分责任,有助于倒逼金融系统提升安全等级,查补漏洞 。”
一审法院在判词中称,李某在受骗过程中“过错明显” 。对此,有人认为,这是一起典型的电信诈骗案,银行和个人储户都没有过错,个人储户只是受害者 。朱巍告诉采访人员,人脸识别并不是绝对安全,诈骗者和守卫者都在发展之中,不能认定银行有过错;但他同时认为,如果说个人储户“过错明显”,也不成立 。“个人储户因看到对方掌握自己准确的身份证号和户籍信息,才信以为真,这与前一段时间一些存储个人信息的服务器被攻破有关 。”朱巍坚持认为,储户是受害者,不是过错方 。
上述银行人士告诉采访人员,“活检”是为了区别真的人脸和仿制品,如果诈骗者通过对李某的人脸信息建模,骗开识别系统,且骗开了6次,那“活检”就形同虚设 。“也许在法律上,银行使用短信验证码和人工电话等多种途径进行身份验证,已尽到义务 。但在技术上,‘活检’这一关的漏洞还是很明显的 。”该人士告诉采访人员,李某错在不应设置电话呼叫转移和短信转发,接不到银行的验证码和人工电话,人脸识别就成了唯一的验证手段 。“应该尽可能地使用多重验证方式,避免只用一种 。”该人士说 。
人脸信息安全如何保障?
李某案发不久之后,我国个人信息保护法通过审议 。在这部法律中,人脸信息被列入生物识别信息的一种,被当作敏感信息进行保护 。然而,有法学界人士认为,现行个人信息保护法对较为特殊的人脸信息没有单独的保护措施 。人脸作为长期外露的一项生物特征,极易被获取,应加大保护力度 。
2020年,山东济南、天津等地出现售楼处安装监控探头,提取并识别到访客户人脸信息的事件之后,一些看房者被迫戴头盔看房,以保护人脸 。彼时,人脸信息的安全问题引起了诸多人的警觉 。
劳东燕一直认为,有必要将生物识别信息单独立法予以保护 。“现行法律将人脸信息的特别保护主要寄托在个人同意环节上,这意味着,个人在知情同意后就要承担一切后果 。但是,作为个人,可能根本不清楚同意后要面临怎样的风险和后果;此外,很多场景下,人们是被迫同意的,如果不同意,就无法正常使用服务 。显然,不应该让个人承担全部的风险与责任 。”劳东燕说 。
朱巍则认为,人脸信息作为生物识别信息的一种,在个人信息保护法和民法典中都已有明确规定,人脸信息的保护原则,与其他个人敏感信息所遵循的原则没有不同,个人信息主体享受的权利也是一样的 。“立新法的意义不大 。更重要的是由有关部门制定出详细清单,规定哪类单位、在何种场景下有权进行人脸采集和识别 。我认为,现在离对人脸信息前端采集设备进行重新登记、备案和审批的工作,已经不远了 。”朱巍说 。