当银行人脸识别系统被攻破:6次人脸识别比对,近43万被悄然盗走
在立法层面上,对人脸信息的保护正在逐步加强。在李红被诈骗几个月后,《个人信息保护法》正式生效,其中突出了作为敏感个人信息的生物识别信息的特别保护,规定“处理个人敏感信息应该进行更多的告知,包括相应的风险,以及应当取得个人的单独同意”。
在清华大学法学院教授劳东燕看来,银行普遍存在变相强迫采集储户人脸信息的现象。她说,“至少就我个人的体会,去银行办理存款等业务,人脸识别都是在强制之下弄的,如果不同意采集人脸就办不了相应业务。”
她告诉《中国新闻周刊》,尽管《个人信息保护法》强化了对人脸信息的保护,但这种强化其实只体现于征求同意的环节,其他地方和普通个人信息几乎没有差别,并没有在实质上抬高法律保护的门槛。
所以,她坚持认为,全国人大及其常委会有必要考虑对生物识别信息进行单独立法,不应放在《个人信息保护法》的框架下来进行保护。
她还提到,李红在银行办卡时被要求签署的《北京市公安局防范电信诈骗安全提示单》提示效果有限,“现在诈骗手段层出不穷,仅靠个人的警惕是很难防住的”。
在她看来,这个提示单对防范各种诈骗无法起到实质性作用,当储户被诈骗后,反而有可能起到让银行转嫁责任的效果。
“防范和打击犯罪,本应由国家、银行与相关单位承担主要责任,现在越来越多变相地转嫁到作为被害人的个人身上。”她指出,“过多地让弱者承担风险并不公平”。
劳东燕认为,要防范此类诈骗犯罪,重要的是在制度框架层面重新来考虑合理分配风险的问题。她说,“风险跟责任有关,谁制造的风险原则上就应当由谁来承担。”
她指出,人脸识别的推广和带来的风险,实际上是科技企业和银行制造的,在这其中,银行也比储户获得了更多科技带来的好处,“谁在其中获益最大,谁就应该承担与获益成比例的风险”。
“另外,还应当考虑预防能力与预防效果方面的因素,将板子打在谁身上,预防效果是最好的呢?”在她看来,银行的预防能力比储户要强得多,如果由银行部分地或按比例地承担因人脸识别风险造成的损失,将有助于督促银行审慎采集与保护储户信息,加强人脸识别系统的安全技术保障。
“银行对人脸信息的技术保障需要超过一般的犯罪手段,否则,银行就不应采集与使用储户的人脸信息。”她说。
发于2022.7.18总第1052期《中国新闻周刊》杂志
杂志标题:当银行人脸识别系统被攻破
记者:苑苏文
