来源:法治日报
近日,一起事关人脸识别的一审判决引发社会关注。
在此案中,李某接到一通自称是警方打来的电话,在对方提供的网站上下载了两个APP,又按对方要求到银行办了一张借记卡,并向该卡转账40余万元。当李某发现卡上的钱被转走后才意识到上当了。随后,李某向公安机关报了案,派出所民警确认她遭遇了电信诈骗。李某认为,在其受骗过程中银行也有一定责任,遂以“借记卡纠纷”为由将银行告上法庭。
6月30日,此案迎来一审判决,法院认为,李某在受骗过程中,操作存在明显过错,而银行完整履行了人脸识别、手机验证码确认和人工电话确认的义务,判其无责。
判决一出,引发了各界人士的讨论。
值得注意的是,此案中,李某的人脸信息被诈骗者轻易获得,并成功“撞开”人脸识别防护系统达6次之多。
人脸识别,还安全吗?
系统被什么“撞开”?
2021年6月19日10时30分,身在北京的李某接到自称“陈警官”的电话,称她的护照在黑龙江省哈尔滨市涉嫌非法入境,要求李某向哈尔滨公安机关报案。“陈警官”确切知晓李某的身份证号码,使李某信以为真。随后,电话被转接到自称是哈尔滨市公安局“刘警官”的手机上。“刘警官”提供的网址显示,李某涉嫌一桩反洗钱案,通缉公告上李某的身份证号和户籍信息均准确无误。
为了“洗清罪名”,李某按照“刘警官”的要求,下载了“公安防护”和“瞩目”两款手机应用。在“瞩目”上,李某与“刘警官”共享了手机屏幕,以“确保”是本人操作。在“刘警官”指导下,李某设置了呼叫转移和短信转发,将自己手机来电和短信都转移到“刘警官”的手机号码上。
“刘警官”以“清查个人财产”为由,要求李某办理银行卡。李某在附近银行办理了借记卡,同时开通了网上银行和手机银行,随后将个人积蓄转到新办的借记卡上,共42.9万元。
察觉出不对的李某登录手机银行发现,借记卡中的存款不翼而飞,随后向公安机关报案。民警调查时发现,诈骗者在转账过程中,6次“撞开”人脸识别系统,6次操作均显示“活检成功”。
中国政法大学传播法研究中心副主任朱巍告诉记者,视频通话过程中,简单的人脸录像几乎不可能“撞开”人脸识别系统,也就是说,诈骗者不是通过李某在“瞩目”上简单的一段露脸录像就完成了“撞库”。
“可能是活化软件。”一位曾参与某国有商业银行人脸识别安全验证项目的人士对记者说,在拿到一段人脸录像后,用活化软件对人脸进行建模,有可能“骗开”人脸识别系统。“在录像中,受害者极有可能已经做出过眨眼、张嘴、摇头等人脸识别系统经常要求受试者做出的动作。”
值得注意的是,人脸识别并不是商业银行核验身份的唯一一把锁。在大额转账、修改密码、申请开通手机银行时,银行的验证方式有人脸识别、手机验证码认证和人工电话核实。遗憾的是,李某因听信“刘警官”的话,对手机进行了设置,没有接到银行发给她的手机验证码和银行客服的核实电话,这些电话和短信都被诈骗者截获了。
银行是否有责?
据记者不完全统计,类似案件并不只有李某这一起。所有的案件都指向一个疑问:在电信诈骗中,银行应承担什么责任?
李某一案中,一审判决银行无责,引发了一些不同意见。李某的爱人马某是此案中李某的代理人。马某在银行系统工作,他认为,银行定下的“人脸识别+短信验证码”的验证模式,其目的是确保由用户本人亲自操作转账。李某在完全不知情的情况下,被诈骗人员从账户中转走钱,银行应当承担保管不力的责任。“这就好比,本来约定需要我本人去银行才可以转账汇款,现在别人假冒我,银行没有发现,那么造成的损失不应该由我完全承担。”
清华大学法学院教授劳东燕对记者表示,银行完全无责的说法,她也不认可。劳东燕认为,去银行办理存款等,如果不同意采集人脸就办不了相应业务。“也就是说,人脸识别是银行引进的一套系统,银行和科技公司是风险的共同制造者,当然应当承担一部分责任。此外,从预防的效果来看,让银行承担一部分责任,有助于倒逼金融系统提升安全等级,查补漏洞。”
一审法院在判词中称,李某在受骗过程中“过错明显”。对此,有人认为,这是一起典型的电信诈骗案,银行和个人储户都没有过错,个人储户只是受害者。朱巍告诉记者,人脸识别并不是绝对安全,诈骗者和守卫者都在发展之中,不能认定银行有过错;但他同时认为,如果说个人储户“过错明显”,也不成立。“个人储户因看到对方掌握自己准确的身份证号和户籍信息,才信以为真,这与前一段时间一些存储个人信息的服务器被攻破有关。”朱巍坚持认为,储户是受害者,不是过错方。
上述银行人士告诉记者,“活检”是为了区别真的人脸和仿制品,如果诈骗者通过对李某的人脸信息建模,骗开识别系统,且骗开了6次,那“活检”就形同虚设。“也许在法律上,银行使用短信验证码和人工电话等多种途径进行身份验证,已尽到义务。但在技术上,‘活检’这一关的漏洞还是很明显的。”该人士告诉记者,李某错在不应设置电话呼叫转移和短信转发,接不到银行的验证码和人工电话,人脸识别就成了唯一的验证手段。“应该尽可能地使用多重验证方式,避免只用一种。”该人士说。
人脸信息安全如何保障?
李某案发不久之后,我国个人信息保护法通过审议。在这部法律中,人脸信息被列入生物识别信息的一种,被当作敏感信息进行保护。然而,有法学界人士认为,现行个人信息保护法对较为特殊的人脸信息没有单独的保护措施。人脸作为长期外露的一项生物特征,极易被获取,应加大保护力度。
2020年,山东济南、天津等地出现售楼处安装监控探头,提取并识别到访客户人脸信息的事件之后,一些看房者被迫戴头盔看房,以保护人脸。彼时,人脸信息的安全问题引起了诸多人的警觉。
劳东燕一直认为,有必要将生物识别信息单独立法予以保护。“现行法律将人脸信息的特别保护主要寄托在个人同意环节上,这意味着,个人在知情同意后就要承担一切后果。但是,作为个人,可能根本不清楚同意后要面临怎样的风险和后果;此外,很多场景下,人们是被迫同意的,如果不同意,就无法正常使用服务。显然,不应该让个人承担全部的风险与责任。”劳东燕说。
朱巍则认为,人脸信息作为生物识别信息的一种,在个人信息保护法和民法典中都已有明确规定,人脸信息的保护原则,与其他个人敏感信息所遵循的原则没有不同,个人信息主体享受的权利也是一样的。“立新法的意义不大。更重要的是由有关部门制定出详细清单,规定哪类单位、在何种场景下有权进行人脸采集和识别。我认为,现在离对人脸信息前端采集设备进行重新登记、备案和审批的工作,已经不远了。”朱巍说。
有取保候审还拘留吗,刑事犯罪能不能取保候审
【导读】:众所皆知,在我们实际生活中,犯罪了了就会被抓,常见的,那些犯罪嫌疑人、被告人犯事之后,公安机关一般会对他们采取刑事拘留强制措施,当然,还有的... 时间:2022-09-25玉堂村交通事故最新,都江堰有人落水
7月18日上午成都市民王女士一行十余人来到位于都江堰玉堂街道上元村的鑫河农家乐避暑消夏。用完午餐之后,一行人前往农家乐位于河对面的凉亭打麻将。 没想到的是... 时间:2022-09-25山亭区摩托车交通事故处理,一盔一带安全提醒
“五一”小长假开始,“一盔一带”安全守护行动在枣庄开展。行动期间,枣庄交警加强对摩托车、电动自行车骑乘人员的宣传工作,针对不佩戴安全头盔、汽车驾乘人... 时间:2022-09-25六种人不能取保候审吗,看守所不宜羁押疾病范围
一、看守所不宜羁押的病有哪些?看守所不宜羁押的病有:精神失常、重度传染、怀孕、哺乳期妇女不能羁押。对有证据证明有犯罪事实,可能判处徒刑以上刑罚的犯罪嫌疑... 时间:2022-09-25肥城至长青交通事故最新,提醒大家注意出行安全
目前,我省大部地区已出现明显降雨,鲁西北的西部、鲁中的西部和鲁西南地区出现大到暴雨局部大暴雨。预计今天白天到明天早晨,鲁西北的西部、鲁中、鲁南和半岛地... 时间:2022-09-25