系统六度被“撞开”，人脸识别真的安全吗？( 二 )

清华大学法学院教授劳东燕对采访人员表示，银行完全无责的说法，她也不认可。劳东燕认为，去银行办理存款等，如果不同意采集人脸就办不了相应业务。“也就是说，人脸识别是银行引进的一套系统，银行和科技公司是风险的共同制造者，当然应当承担一部分责任。此外，从预防的效果来看，让银行承担一部分责任，有助于倒逼金融系统提升安全等级，查补漏洞。”
一审法院在判词中称，李某在受骗过程中“过错明显” 。对此，有人认为，这是一起典型的电信诈骗案，银行和个人储户都没有过错，个人储户只是受害者。朱巍告诉采访人员，人脸识别并不是绝对安全，诈骗者和守卫者都在发展之中，不能认定银行有过错；但他同时认为，如果说个人储户“过错明显”，也不成立。“个人储户因看到对方掌握自己准确的身份证号和户籍信息，才信以为真，这与前一段时间一些存储个人信息的服务器被攻破有关。”朱巍坚持认为，储户是受害者，不是过错方。
上述银行人士告诉采访人员，“活检”是为了区别真的人脸和仿制品，如果诈骗者通过对李某的人脸信息建模，骗开识别系统，且骗开了6次，那“活检”就形同虚设。“也许在法律上，银行使用短信验证码和人工电话等多种途径进行身份验证，已尽到义务。但在技术上，‘活检’这一关的漏洞还是很明显的。”该人士告诉采访人员，李某错在不应设置电话呼叫转移和短信转发，接不到银行的验证码和人工电话，人脸识别就成了唯一的验证手段。“应该尽可能地使用多重验证方式，避免只用一种。”该人士说。
人脸信息安全如何保障？
李某案发不久之后，我国个人信息保护法通过审议。在这部法律中，人脸信息被列入生物识别信息的一种，被当作敏感信息进行保护。然而，有法学界人士认为，现行个人信息保护法对较为特殊的人脸信息没有单独的保护措施。人脸作为长期外露的一项生物特征，极易被获取，应加大保护力度。
2020年，山东济南、天津等地出现售楼处安装监控探头，提取并识别到访客户人脸信息的事件之后，一些看房者被迫戴头盔看房，以保护人脸。彼时，人脸信息的安全问题引起了诸多人的警觉。
劳东燕一直认为，有必要将生物识别信息单独立法予以保护。“现行法律将人脸信息的特别保护主要寄托在个人同意环节上，这意味着，个人在知情同意后就要承担一切后果。但是，作为个人，可能根本不清楚同意后要面临怎样的风险和后果；此外，很多场景下，人们是被迫同意的，如果不同意，就无法正常使用服务。显然，不应该让个人承担全部的风险与责任。”劳东燕说。
朱巍则认为，人脸信息作为生物识别信息的一种，在个人信息保护法和民法典中都已有明确规定，人脸信息的保护原则，与其他个人敏感信息所遵循的原则没有不同，个人信息主体享受的权利也是一样的。“立新法的意义不大。更重要的是由有关部门制定出详细清单，规定哪类单位、在何种场景下有权进行人脸采集和识别。我认为，现在离对人脸信息前端采集设备进行重新登记、备案和审批的工作，已经不远了。”朱巍说。