目前,在交通银行手机银行用户协议中,人脸识别技术提供方仍是眼神科技公司,记者就此事联系了这家公司,但对方未给予答复。
板子该打在谁身上?
人脸识别系统被攻破,银行究竟有没有责任?浙江理工大学法政学院副教授郭兵告诉《中国新闻周刊》,在李红一案中,重点正是人脸识别系统被诈骗人员轻易攻破。
郭兵长期关注人脸识别的安全性。他认为,李红的人脸信息有可能被诈骗人员仿造了,"诈骗人员掌握了她的人脸信息,通过技术手段可以生成动态的人脸信息"。他说,有一种人脸活化软件,可分析照片和视频中的人脸信息,生成一张可供人操控的"假人脸",来骗过人脸识别软件。
"我们的人脸识别技术不可能尽善尽美。"他提出,随着人工智能的发展,人脸识别软件和破解的活化软件都在发展,要谨防"道高一尺魔高一丈"。
事实上,被广泛应用的人脸识别技术,其破解难度有时简单得出乎意料。郭兵说,2019年,浙江有几名小学生用照片破解了居民小区的快递柜,轻易取走他人的快递。而在2021年10月,清华大学的学生团队,仅用人脸照片就成功解锁了20款手机。
"人脸的照片太容易获得了。"郭兵说,如果人脸识别系统用照片就能解锁,在遍布摄像头的当下,可能预示着巨大的隐患。
"现在电信诈骗非常猖獗,盗用人脸信息的手段层出不穷,也给银行的人脸识别系统带来挑战。"郭兵说,近期学界也对活化软件展开了研究,"这都是釜底抽薪的手段"。
他更担心的是,随着技术的发展,犯罪分子可能掌握了照片,就可"活化"出动态人脸,骗过人脸识别系统。
银行的防护能力关系到储户的资金安全。郭兵认为,应当对银行的人脸识别系统提出更高的要求。
在立法层面上,对人脸信息的保护正在逐步加强。在李红被诈骗几个月后,《个人信息保护法》正式生效,其中突出了作为敏感个人信息的生物识别信息的特别保护,规定"处理个人敏感信息应该进行更多的告知,包括相应的风险,以及应当取得个人的单独同意"。
在清华大学法学院教授劳东燕看来,银行普遍存在变相强迫采集储户人脸信息的现象。她说,"至少就我个人的体会,去银行办理存款等业务,人脸识别都是在强制之下弄的,如果不同意采集人脸就办不了相应业务。"
她告诉《中国新闻周刊》,尽管《个人信息保护法》强化了对人脸信息的保护,但这种强化其实只体现于征求同意的环节,其他地方和普通个人信息几乎没有差别,并没有在实质上抬高法律保护的门槛。
所以,她坚持认为,全国人大及其常委会有必要考虑对生物识别信息进行单独立法,不应放在《个人信息保护法》的框架下来进行保护。
她还提到,李红在银行办卡时被要求签署的《北京市公安局防范电信诈骗安全提示单》提示效果有限,"现在诈骗手段层出不穷,仅靠个人的警惕是很难防住的"。
在她看来,这个提示单对防范各种诈骗无法起到实质性作用,当储户被诈骗后,反而有可能起到让银行转嫁责任的效果。
"防范和打击犯罪,本应由国家、银行与相关单位承担主要责任,现在越来越多变相地转嫁到作为被害人的个人身上。"她指出,"过多地让弱者承担风险并不公平"。
劳东燕认为,要防范此类诈骗犯罪,重要的是在制度框架层面重新来考虑合理分配风险的问题。她说,"风险跟责任有关,谁制造的风险原则上就应当由谁来承担。"
她指出,人脸识别的推广和带来的风险,实际上是科技企业和银行制造的,在这其中,银行也比储户获得了更多科技带来的好处,"谁在其中获益最大,谁就应该承担与获益成比例的风险"。
"另外,还应当考虑预防能力与预防效果方面的因素,将板子打在谁身上,预防效果是最好的呢?"在她看来,银行的预防能力比储户要强得多,如果由银行部分地或按比例地承担因人脸识别风险造成的损失,将有助于督促银行审慎采集与保护储户信息,加强人脸识别系统的安全技术保障。
"银行对人脸信息的技术保障需要超过一般的犯罪手段,否则,银行就不应采集与使用储户的人脸信息。"她说。
