近日,一起事关人脸识别的一审判决引发社会关注。此案中,李某接到一通自称是警方打来的电话,在对方提供的网站上下载了两个App,又按对方要求到银行办了一张借记卡,并向该卡转账40余万元。当李某发现卡上的钱被转走后,才意识到上当了。李某认为,在其受骗过程中银行也有一定责任,遂以“借记卡纠纷”为由将银行告上法庭。
一审法院认为,李某在受骗过程中,操作存在明显过错,而银行完整履行了人脸识别、手机验证码确认和人工电话确认的义务,判其无责。
判决一出,引发了各界人士的讨论。
值得注意的是,此案中,李某的人脸信息被诈骗者轻易获得,并成功“撞开”人脸识别防护系统达6次之多。
人脸识别还安全吗?
2021年6月19日10时30分,身在北京的李某接到自称“陈警官”的电话,称她的护照在黑龙江省哈尔滨市涉嫌非法入境,要求李某向哈尔滨公安机关报案。“陈警官”确切知晓李某的身份证号码,使李某信以为真。随后,电话被转接到自称是哈尔滨市公安局“刘警官”的手机上。“刘警官”提供的网址显示,李某涉嫌一桩反洗钱案,通缉公告上李某的身份证号和户籍信息均准确无误。
为了“洗清罪名”,李某按照“刘警官”的要求,下载了“公安防护”和“瞩目”两款手机应用。在“瞩目”上,李某与“刘警官”共享了手机屏幕,以“确保”是本人操作。在“刘警官”指导下,李某设置了呼叫转移和短信转发,将自己手机来电和短信都转移到“刘警官”的手机上。
“刘警官”以“清查个人财产”为由,要求李某办理银行卡。李某在附近银行办理了借记卡,同时开通了网上银行和手机银行,随后将个人积蓄转到新办的借记卡上,共42.9万元。
察觉出不对的李某登录手机银行发现,借记卡中的存款不翼而飞,随后向公安机关报案。民警调查时发现,诈骗者在转账过程中,6次“撞开”人脸识别系统,6次操作均显示“活检成功”。
“可能是活化软件。”一位曾参与某国有商业银行人脸识别安全验证项目的人士说,在拿到一段人脸录像后,用活化软件对人脸进行建模,有可能“骗开”人脸识别系统。“在录像中,受害者极有可能已经做出过眨眼、张嘴、摇头等人脸识别系统经常要求受试者做出的动作。”
银行应承担什么责任?
李某一案中,一审判决银行无责,引发了一些不同意见。李某的爱人马某是此案中李某的代理人。马某在银行系统工作,他认为,银行定下的“人脸识别+短信验证码”的验证模式,其目的是确保由用户本人亲自操作转账。李某在完全不知情的情况下,被诈骗人员从账户中转走钱,银行应当承担保管不力的责任。
清华大学法学院教授劳东燕对记者表示,银行完全无责的说法,她也不认可。劳东燕认为,去银行办理存款等,如果不同意采集人脸就办不了相应业务。“也就是说,人脸识别是银行引进的一套系统,银行和科技公司是风险的共同制造者,当然应当承担一部分责任。此外,从预防的效果来看,让银行承担一部分责任,有助于倒逼金融系统提升安全等级,查补漏洞。”
一审法院在判词中称,李某在受骗过程中“过错明显”。对此,有人认为,这是一起典型的电信诈骗案,银行和个人储户都没有过错,个人储户只是受害者。朱巍告诉记者,人脸识别并不是绝对安全,诈骗者和守卫者都在发展之中,不能认定银行有过错;但他同时认为,如果说个人储户“过错明显”,也不成立。“个人储户因看到对方掌握自己准确的身份证号和户籍信息,才信以为真,这与前一段时间一些存储个人信息的服务器被攻破有关。”朱巍坚持认为,储户是受害者,不是过错方。
上述银行人士告诉记者,“活检”是为了区别真的人脸和仿制品,如果诈骗者通过对李某的人脸信息建模,骗开识别系统,且骗开了6次,那“活检”就形同虚设。“也许在法律上,银行使用短信验证码和人工电话等多种途径进行身份验证,已尽到义务。但在技术上,‘活检’这一关的漏洞还是很明显的。”该人士告诉记者,李某错在不应设置电话呼叫转移和短信转发,接不到银行的验证码和人工电话,人脸识别就成了唯一的验证手段。“应该尽可能地使用多重验证方式,避免只用一种。”该人士说。
综合法治日报、北京科技报
本稿件所含文字、图片和音视频资料,版权均属
齐鲁晚报所有,任何媒体、网站或个人未经授权不得转载,违者将依法追究责任。
【PDF版】
