自被盗刷以来,马跃等多次上诉至法庭,但对其提出的"谁通过了人脸识别"这一问题,没有具体定性。
图:马跃的诉状
7月5日,马跃告诉《新视界》,6月30日他的申请已被法院驳回,法院判定,交通银行未见存在明显的过错和过失。
图:马跃提供的法院判决书
但他认为,法院回避了交通银行人脸识别漏洞问题,表示会坚持上诉。
拒绝受害者有罪论
如果仅以信息泄漏简单概括这6位受害者的经历,将所有的电信诈骗都归于用户不够谨慎,而不对背后的根源深究,可能会有更多的人继续遭受损失。
奇安信集团行业安全研究中心主任裴智勇此前接受《中国消费者报》采访时说过,智能换脸的技术门槛比绝大多数人的想象要低得多。通过人工智能技术,可以将一张普通的静态照片(正面、侧面均可),转化生成一张表情生动的人脸,以2017年左右的技术水平,已经完全有能力骗过绝大多数人脸识别系统。
裴智勇举过一个用大数据安全验证模型保障用户账户安全的例子,如果用户刷脸支付时,装有支付APP的手机原先一直在北京活动,某一天刷脸行为突然发生在广西,支付系统就应阻止验证被通过。
马跃也在想,如果交行的人脸识别系统安全,应该能识别出当时那张脸非用户本人,及时阻止验证被通过,那犯罪分子根本无法登录账户,后续的密码重置、限额调整、大额转账也就无从下手了。
清华大学公共管理学院副教授贾西津认为,银行系统不能识别真实的脸和假的面孔,那就属于系统漏洞,剩余责任肯定是在银行,不能把责任都推给客户。用户如果存在信息泄露的话有一定过错,但银行肯定不是无责的。
"第一,人脸识别不该通过,但是通过了,第二,安全体系设计本身有漏洞,异地登录、假人脸识别都通过了。在短信出现差错的时候,要看整个安全体系有没有纠正过来。"
中国人民大学法学院副教授郭锐告诉《新视界》,在法律上,即便是由于技术本身无法实现百分之一百的精确,对于造成的损失,银行也应该承担责任,不能以用户信息泄漏的说法逃避责任,除非能够证明用户和犯罪分子进行了互相配合,导致了损失。
"犯罪分子通过假的人脸识别骗过银行的身份认证系统,本质上和犯罪分子伪造文件单据骗过银行的身份认证系统没有不同。从侵权法的立法政策上看,银行有能力改进技术减少损失,而用户完全无能为力。所以把责任分配给银行,从经济角度看,能够减少损失。"
郭锐认为,银行有责任采纳成熟的技术,减少识别错误。
7月5日,交通银行手机银行用户协议中,人脸识别技术提供方仍是眼神科技。
凤凰网《新视界》联系到了交通银行及眼神科技,对于以上用户提出的交通银行人脸识别漏洞是否存在?为何真假人脸无法识别?
眼神科技没有正面回复。其相关负责人对凤凰网新视界表示,作为交通银行的人脸识别算法和技术服务提供商之一,目前为止尚未收到客户有关此案件的相关反馈。并非当事双方人,不便做过多评论。
截至发稿,交通银行对此事暂无回应。
