系统六度被“撞开”,人脸识别真的安全吗?
近日,一起事关人脸识别的一审判决引发社会关注。
在此案中,李某接到一通自称是警方打来的电话,在对方提供的网站上下载了两个APP,又按对方要求到银行办了一张借记卡,并向该卡转账40余万元。当李某发现卡上的钱被转走后才意识到上当了。随后,李某向公安机关报了案,派出所民警确认她遭遇了电信诈骗。李某认为,在其受骗过程中银行也有一定责任,遂以“借记卡纠纷”为由将银行告上法庭。
6月30日,此案迎来一审判决,法院认为,李某在受骗过程中,操作存在明显过错,而银行完整履行了人脸识别、手机验证码确认和人工电话确认的义务,判其无责。
判决一出,引发了各界人士的讨论。
值得注意的是,此案中,李某的人脸信息被诈骗者轻易获得,并成功“撞开”人脸识别防护系统达6次之多。
人脸识别,还安全吗?
系统被什么“撞开”?
2021年6月19日10时30分,身在北京的李某接到自称“陈警官”的电话,称她的护照在黑龙江省哈尔滨市涉嫌非法入境,要求李某向哈尔滨公安机关报案。“陈警官”确切知晓李某的身份证号码,使李某信以为真。随后,电话被转接到自称是哈尔滨市公安局“刘警官”的手机上。“刘警官”提供的网址显示,李某涉嫌一桩反洗钱案,通缉公告上李某的身份证号和户籍信息均准确无误。
为了“洗清罪名”,李某按照“刘警官”的要求,下载了“公安防护”和“瞩目”两款手机应用。在“瞩目”上,李某与“刘警官”共享了手机屏幕,以“确保”是本人操作。在“刘警官”指导下,李某设置了呼叫转移和短信转发,将自己手机来电和短信都转移到“刘警官”的手机号码上。
“刘警官”以“清查个人财产”为由,要求李某办理银行卡。李某在附近银行办理了借记卡,同时开通了网上银行和手机银行,随后将个人积蓄转到新办的借记卡上,共42.9万元。
察觉出不对的李某登录手机银行发现,借记卡中的存款不翼而飞,随后向公安机关报案。民警调查时发现,诈骗者在转账过程中,6次“撞开”人脸识别系统,6次操作均显示“活检成功”。
中国政法大学传播法研究中心副主任朱巍告诉记者,视频通话过程中,简单的人脸录像几乎不可能“撞开”人脸识别系统,也就是说,诈骗者不是通过李某在“瞩目”上简单的一段露脸录像就完成了“撞库”。
“可能是活化软件。”一位曾参与某国有商业银行人脸识别安全验证项目的人士对记者说,在拿到一段人脸录像后,用活化软件对人脸进行建模,有可能“骗开”人脸识别系统。“在录像中,受害者极有可能已经做出过眨眼、张嘴、摇头等人脸识别系统经常要求受试者做出的动作。”
值得注意的是,人脸识别并不是商业银行核验身份的唯一一把锁。在大额转账、修改密码、申请开通手机银行时,银行的验证方式有人脸识别、手机验证码认证和人工电话核实。遗憾的是,李某因听信“刘警官”的话,对手机进行了设置,没有接到银行发给她的手机验证码和银行客服的核实电话,这些电话和短信都被诈骗者截获了。
银行是否有责?
据记者不完全统计,类似案件并不只有李某这一起。所有的案件都指向一个疑问:在电信诈骗中,银行应承担什么责任?
李某一案中,一审判决银行无责,引发了一些不同意见。李某的爱人马某是此案中李某的代理人。马某在银行系统工作,他认为,银行定下的“人脸识别+短信验证码”的验证模式,其目的是确保由用户本人亲自操作转账。李某在完全不知情的情况下,被诈骗人员从账户中转走钱,银行应当承担保管不力的责任。“这就好比,本来约定需要我本人去银行才可以转账汇款,现在别人假冒我,银行没有发现,那么造成的损失不应该由我完全承担。”
清华大学法学院教授劳东燕对记者表示,银行完全无责的说法,她也不认可。劳东燕认为,去银行办理存款等,如果不同意采集人脸就办不了相应业务。“也就是说,人脸识别是银行引进的一套系统,银行和科技公司是风险的共同制造者,当然应当承担一部分责任。此外,从预防的效果来看,让银行承担一部分责任,有助于倒逼金融系统提升安全等级,查补漏洞。”
一审法院在判词中称,李某在受骗过程中“过错明显”。对此,有人认为,这是一起典型的电信诈骗案,银行和个人储户都没有过错,个人储户只是受害者。朱巍告诉记者,人脸识别并不是绝对安全,诈骗者和守卫者都在发展之中,不能认定银行有过错;但他同时认为,如果说个人储户“过错明显”,也不成立。“个人储户因看到对方掌握自己准确的身份证号和户籍信息,才信以为真,这与前一段时间一些存储个人信息的服务器被攻破有关。”朱巍坚持认为,储户是受害者,不是过错方。
上述银行人士告诉记者,“活检”是为了区别真的人脸和仿制品,如果诈骗者通过对李某的人脸信息建模,骗开识别系统,且骗开了6次,那“活检”就形同虚设。“也许在法律上,银行使用短信验证码和人工电话等多种途径进行身份验证,已尽到义务。但在技术上,‘活检’这一关的漏洞还是很明显的。”该人士告诉记者,李某错在不应设置电话呼叫转移和短信转发,接不到银行的验证码和人工电话,人脸识别就成了唯一的验证手段。“应该尽可能地使用多重验证方式,避免只用一种。”该人士说。
人脸信息安全如何保障?
李某案发不久之后,我国个人信息保护法通过审议。在这部法律中,人脸信息被列入生物识别信息的一种,被当作敏感信息进行保护。然而,有法学界人士认为,现行个人信息保护法对较为特殊的人脸信息没有单独的保护措施。人脸作为长期外露的一项生物特征,极易被获取,应加大保护力度。
2020年,山东济南、天津等地出现售楼处安装监控探头,提取并识别到访客户人脸信息的事件之后,一些看房者被迫戴头盔看房,以保护人脸。彼时,人脸信息的安全问题引起了诸多人的警觉。
劳东燕一直认为,有必要将生物识别信息单独立法予以保护。“现行法律将人脸信息的特别保护主要寄托在个人同意环节上,这意味着,个人在知情同意后就要承担一切后果。但是,作为个人,可能根本不清楚同意后要面临怎样的风险和后果;此外,很多场景下,人们是被迫同意的,如果不同意,就无法正常使用服务。显然,不应该让个人承担全部的风险与责任。”劳东燕说。
朱巍则认为,人脸信息作为生物识别信息的一种,在个人信息保护法和民法典中都已有明确规定,人脸信息的保护原则,与其他个人敏感信息所遵循的原则没有不同,个人信息主体享受的权利也是一样的。“立新法的意义不大。更重要的是由有关部门制定出详细清单,规定哪类单位、在何种场景下有权进行人脸采集和识别。我认为,现在离对人脸信息前端采集设备进行重新登记、备案和审批的工作,已经不远了。”朱巍说。
