防范“人脸识别”风险,也应有“减法”思维 
冇有 发表在 辣眼时评 华声论坛 https://bbs.voc.com.cn/forum-76-1.html
据《中国新闻周刊》7月18日报道,某银行储户李红(化名),由于陷入电信诈骗圈套,其银行卡被不法分子偷走近43万元。该案特殊之处在于,在不法分子诈骗过程中,银行的人脸识别系统被攻破,导致李红在进行密码重置和大额转账时,6次人脸识别比对均显示“活检成功”,但登录者IP地址却显示在中国台湾。李红怀疑该银行人脸识别系统的安全性,并以“借记卡纠纷”为由将其告上法庭,要求赔偿。2022年6月30日,法院一审驳回了李红的全部诉求。
舆论对于储户是否应获得银行赔偿存在争议。但法院一审判决也有其道理,因为“人脸识别”虽有高科技色彩,但在此案中本质上跟“密码”的作用区别不大,储户主要还是因为自身轻信于诈骗分子,才导致密码被重置,造成财产损失。
当然,一审判决并非终点,当事储户也准备继续上诉,案件后续或还有看点。但“银行人脸识别系统被攻破”这件事本身,却已使不少人颇感诧异。因为在一般印象中,人脸识别因其为高科技创新产物,普遍认为是被用来加强和提高安全性的,没想到却也成了风险源头。这似乎正应了“道高一尺,魔高一丈”的老话。
客观说,跟所有领域的“魔道之争”一样,“人脸识别”遭破解并不令专业人士意外,科技领域的很多进步,也正是在这种破解与反破解的不停角逐中发生。相信此案之后,相关银行势必会提升和完善“人脸识别”的技术应用,以更强的“盾”来保护储户权益。
但是,仅有做“加法”的思维是不够的。此案中,当事储户自身的疏忽是重要原因,所以一审败诉。但不妨假设,如果不法分子是以其拥有的技术直接破解了银行的“人脸识别”系统,又当如何?
如果出于防患于未然,银行方面除了做“加法”从正面提高技术之外,还应有“减法”思维,包括对“人脸识别”技术抱以更加谦抑的态度,对其使用采取更谨慎原则,至少不以其为唯一验证方式,以使遭遇意外攻击时的损失降到最小。
实际上,在现实社会中,就“人脸识别”所引发的潜在风险而言,少数不法分子“魔高一丈”所带来的风险,远远不如人脸识别的滥用。
作为一种具有唯一性的生物识别信息,人脸属于敏感个人信息,却又裸露在众多的公共摄像头下,极易获得。一旦拥有了“人脸大数据”,不法分子甚至不需要太高的技术就能完成其不法行为。
也因此,早在2019年的全球金融科技峰会上,时任央行科技司司长李伟就曾公开警示说,“人脸支付的时候,一刷脸钱就没了,更可怕。银行卡可能还揣在兜里,脸是平常露在外面,识别出来非常容易,现在有的技术在三公里之外就能识别你的人脸”。
要解决“小儿持金过闹市”这类古老风险,最好的办法似乎仍然是尽量少给孩子钱。
既然“人脸识别”是一项仍在持续演进中的技术,那就需要正视其“不成熟”的另一面。如果没有把握高度掌控其使用安全性,在应用中就要一步一个脚印,在“安全”与“便捷”的取舍中,更多倾向于前者。
所以,相关部门才会在涉及收集使用人脸等个人敏感信息时,要求落实“最小必要”原则。这其实也是一种“减法”。这种“最小必要”原则,不只是“人脸识别”所应牢牢守住的法治底线,也是各种个人信息收集均应守住的底线。在此原则之下,我们每个个体同样应对人脸等个人敏感信息的使用,保持足够的警惕,共守一份安全。
