中新社北京7月14日电 “一个假人脸是如何6次通过交通银行‘活检’的?人脸识别还有多少安全风险不为人知?”近日,一起由北京市丰台区人民法院受理的诉讼案“剑指”银行在人脸识别系统上的漏洞。
因“人脸识别”被攻破,原告李红(化名)被诈骗人员从她的交通银行卡偷走近43万元人民币。
2021年6月19日,“北京市公安局户政科陈杰警官”致电李红称,她的护照此前在哈尔滨涉嫌非法入境,并卷入“李燕反洗钱案”。李红还在网站“通缉公告”上看到了自己的身份证照片等户籍信息。
恐慌的李红按照“警官”指挥,下载了“公安防护”和视频会议软件“瞩目”两款“李鬼”软件。诈骗人员由此获取了她的银行卡号和密码,并通过共享手机屏幕、呼叫转移等操作,令其无法接收短信和电话。
更为致命的是,银行系统后台显示,在进行密码重置和大额转账时,“李红”进行了6次人脸识别比对,均显示“活检成功”。据民警追查,这几次人脸识别登录者的IP地址在台湾,使用设备是摩托罗拉XT1686,而当时李红在北京,手机型号是小米8。
既然不是本人操作,为何还能“活检成功”?李红怀疑交通银行人脸识别系统的安全性,并以“借记卡纠纷”为由将交通银行告上法庭,要求赔偿。
“人脸识别是银行引进的,其是作为风险制造的参与方,通过这种方式银行也获益更多,应该承担和其所获收益成比例的风险责任。”清华大学法学院教授劳东燕向《中国新闻周刊》指出,银行应当与时俱进,使其安保技术超过犯罪手段。
“我们的人脸识别技术不可能尽善尽美。”浙江理工大学法政学院副教授郭兵告诉《中国新闻周刊》,有人脸活化软件可分析照片和视频中的人脸信息,生成可供人操控的“假人脸”骗过识别软件。随着人工智能的发展,人脸识别软件和破解的活化软件都在发展,要谨防“道高一尺魔高一丈”。
事实上,被广泛应用的人脸识别技术,其破解难度有时简单得出乎意料。郭兵说,2019年,浙江有几名小学生用照片破解了小区快递柜,轻易取走他人快递。而在2021年10月,清华大学的学生团队仅用人脸照片就成功解锁了20款手机。
“人脸照片太容易获得了。”郭兵说,如果人脸识别系统用照片就能解锁,在遍布摄像头的当下,可能预示着巨大隐患。
立法层面上,对人脸信息的保护正在逐步加强。在李红被诈骗几个月后,《个人信息保护法》正式生效,其中突出了作为敏感个人信息的生物识别信息的特别保护,规定“处理个人敏感信息应该进行更多的告知,包括相应的风险,以及应当取得个人的单独同意”。
但在劳东燕看来,银行普遍存在变相强迫采集储户人脸信息的现象。她坚持认为,全国人大及其常委会有必要考虑对生物识别信息进行单独立法。她还提到,李红在银行办卡时被要求签署《北京市公安局防范电信诈骗安全提示单》,不仅对防范各种诈骗无法起到实质性作用,当储户被诈骗后,反而可能让银行转嫁责任。
“将板子打在谁身上,预防效果是最好的呢?”劳东燕说,银行的预防能力比储户强得多,如果由银行部分或按比例地承担因人脸识别风险造成的损失,将有助于督促银行审慎采集与保护储户信息,加强人脸识别系统的安全技术保障。“银行对人脸信息的技术保障需要超过一般的犯罪手段,否则,银行就不应采集与使用储户的人脸信息。”