系統六度被“撞開”,人臉識別真的安全嗎?
近日,一起事關人臉識別的一審判決引發社會關注。
在此案中,李某接到一通自稱是警方打來的電話,在對方提供的網站上下載了兩個APP,又按對方要求到銀行辦了一張借記卡,并向該卡轉賬40余萬元。當李某發現卡上的錢被轉走后才意識到上當了。隨后,李某向公安機關報了案,派出所民警確認她遭遇了電信詐騙。李某認為,在其受騙過程中銀行也有一定責任,遂以“借記卡糾紛”為由將銀行告上法庭。
6月30日,此案迎來一審判決,法院認為,李某在受騙過程中,操作存在明顯過錯,而銀行完整履行了人臉識別、手機驗證碼確認和人工電話確認的義務,判其無責。
判決一出,引發了各界人士的討論。
值得注意的是,此案中,李某的人臉信息被詐騙者輕易獲得,并成功“撞開”人臉識別防護系統達6次之多。
人臉識別,還安全嗎?
系統被什么“撞開”?
2021年6月19日10時30分,身在北京的李某接到自稱“陳警官”的電話,稱她的護照在黑龍江省哈爾濱市涉嫌非法入境,要求李某向哈爾濱公安機關報案。“陳警官”確切知曉李某的身份證號碼,使李某信以為真。隨后,電話被轉接到自稱是哈爾濱市公安局“劉警官”的手機上。“劉警官”提供的網址顯示,李某涉嫌一樁反洗錢案,通緝公告上李某的身份證號和戶籍信息均準確無誤。
為了“洗清罪名”,李某按照“劉警官”的要求,下載了“公安防護”和“矚目”兩款手機應用。在“矚目”上,李某與“劉警官”共享了手機屏幕,以“確保”是本人操作。在“劉警官”指導下,李某設置了呼叫轉移和短信轉發,將自己手機來電和短信都轉移到“劉警官”的手機號碼上。
“劉警官”以“清查個人財產”為由,要求李某辦理銀行卡。李某在附近銀行辦理了借記卡,同時開通了網上銀行和手機銀行,隨后將個人積蓄轉到新辦的借記卡上,共42.9萬元。
察覺出不對的李某登錄手機銀行發現,借記卡中的存款不翼而飛,隨后向公安機關報案。民警調查時發現,詐騙者在轉賬過程中,6次“撞開”人臉識別系統,6次操作均顯示“活檢成功”。
中國政法大學傳播法研究中心副主任朱巍告訴記者,視頻通話過程中,簡單的人臉錄像幾乎不可能“撞開”人臉識別系統,也就是說,詐騙者不是通過李某在“矚目”上簡單的一段露臉錄像就完成了“撞庫”。
“可能是活化軟件。”一位曾參與某國有商業銀行人臉識別安全驗證項目的人士對記者說,在拿到一段人臉錄像后,用活化軟件對人臉進行建模,有可能“騙開”人臉識別系統。“在錄像中,受害者極有可能已經做出過眨眼、張嘴、搖頭等人臉識別系統經常要求受試者做出的動作。”
值得注意的是,人臉識別并不是商業銀行核驗身份的唯一一把鎖。在大額轉賬、修改密碼、申請開通手機銀行時,銀行的驗證方式有人臉識別、手機驗證碼認證和人工電話核實。遺憾的是,李某因聽信“劉警官”的話,對手機進行了設置,沒有接到銀行發給她的手機驗證碼和銀行客服的核實電話,這些電話和短信都被詐騙者截獲了。
銀行是否有責?
據記者不完全統計,類似案件并不只有李某這一起。所有的案件都指向一個疑問:在電信詐騙中,銀行應承擔什么責任?
李某一案中,一審判決銀行無責,引發了一些不同意見。李某的愛人馬某是此案中李某的代理人。馬某在銀行系統工作,他認為,銀行定下的“人臉識別+短信驗證碼”的驗證模式,其目的是確保由用戶本人親自操作轉賬。李某在完全不知情的情況下,被詐騙人員從賬戶中轉走錢,銀行應當承擔保管不力的責任。“這就好比,本來約定需要我本人去銀行才可以轉賬匯款,現在別人假冒我,銀行沒有發現,那么造成的損失不應該由我完全承擔。”
清華大學法學院教授勞東燕對記者表示,銀行完全無責的說法,她也不認可。勞東燕認為,去銀行辦理存款等,如果不同意采集人臉就辦不了相應業務。“也就是說,人臉識別是銀行引進的一套系統,銀行和科技公司是風險的共同制造者,當然應當承擔一部分責任。此外,從預防的效果來看,讓銀行承擔一部分責任,有助于倒逼金融系統提升安全等級,查補漏洞。”
一審法院在判詞中稱,李某在受騙過程中“過錯明顯”。對此,有人認為,這是一起典型的電信詐騙案,銀行和個人儲戶都沒有過錯,個人儲戶只是受害者。朱巍告訴記者,人臉識別并不是絕對安全,詐騙者和守衛者都在發展之中,不能認定銀行有過錯;但他同時認為,如果說個人儲戶“過錯明顯”,也不成立。“個人儲戶因看到對方掌握自己準確的身份證號和戶籍信息,才信以為真,這與前一段時間一些存儲個人信息的服務器被攻破有關。”朱巍堅持認為,儲戶是受害者,不是過錯方。
上述銀行人士告訴記者,“活檢”是為了區別真的人臉和仿制品,如果詐騙者通過對李某的人臉信息建模,騙開識別系統,且騙開了6次,那“活檢”就形同虛設。“也許在法律上,銀行使用短信驗證碼和人工電話等多種途徑進行身份驗證,已盡到義務。但在技術上,‘活檢’這一關的漏洞還是很明顯的。”該人士告訴記者,李某錯在不應設置電話呼叫轉移和短信轉發,接不到銀行的驗證碼和人工電話,人臉識別就成了唯一的驗證手段。“應該盡可能地使用多重驗證方式,避免只用一種。”該人士說。
人臉信息安全如何保障?
李某案發不久之后,我國個人信息保護法通過審議。在這部法律中,人臉信息被列入生物識別信息的一種,被當作敏感信息進行保護。然而,有法學界人士認為,現行個人信息保護法對較為特殊的人臉信息沒有單獨的保護措施。人臉作為長期外露的一項生物特征,極易被獲取,應加大保護力度。
2020年,山東濟南、天津等地出現售樓處安裝監控探頭,提取并識別到訪客戶人臉信息的事件之后,一些看房者被迫戴頭盔看房,以保護人臉。彼時,人臉信息的安全問題引起了諸多人的警覺。
勞東燕一直認為,有必要將生物識別信息單獨立法予以保護。“現行法律將人臉信息的特別保護主要寄托在個人同意環節上,這意味著,個人在知情同意后就要承擔一切后果。但是,作為個人,可能根本不清楚同意后要面臨怎樣的風險和后果;此外,很多場景下,人們是被迫同意的,如果不同意,就無法正常使用服務。顯然,不應該讓個人承擔全部的風險與責任。”勞東燕說。
朱巍則認為,人臉信息作為生物識別信息的一種,在個人信息保護法和民法典中都已有明確規定,人臉信息的保護原則,與其他個人敏感信息所遵循的原則沒有不同,個人信息主體享受的權利也是一樣的。“立新法的意義不大。更重要的是由有關部門制定出詳細清單,規定哪類單位、在何種場景下有權進行人臉采集和識別。我認為,現在離對人臉信息前端采集設備進行重新登記、備案和審批的工作,已經不遠了。”朱巍說。
