张田勘
据报道,李红(化名)被骗子利用人脸识别骗走近43万元。某银行系统后台显示,在进行密码重置和大额转账时,“李红”进行了6次人脸识别比对,均显示“活检成功”。实际上,那几次人脸识别并非身在北京的李红本人操作,登录者的IP地址显示在台湾。李红以“借记卡纠纷”为由将该行告上法庭,近日北京丰台法院一审驳回了其诉求,李红表示将上诉。
人脸识别一直被视为最安全的生物识别技术,因为人脸具有唯一性的生物识别信息。但是,从李红的遭遇来看,人脸识别并不完全可靠。解锁人脸识别在技术上并不难。2021年10月,清华大学的学生团队,仅用人脸的照片就成功解锁了20款手机。2019年,浙江有几名小学生用照片破解了居民小区的快递柜,轻松取走他人的快递。
一方面,现有技术手段可以生成动态的人脸信息。有人研发了一种人脸活化软件,可分析照片和视频中的人脸信息,生成一张可供人操控的“假人脸”,来骗过人脸识别软件。另一方面,获取人脸信息并不难。除了朋友圈的照片外,遍布大街小巷的录像监控也储存了海量的人脸照片,很容易因为相关方保管不当而泄露于外。
人脸识别的隐私和安全漏洞,使得骗子可以轻易在异地通过人脸活化软件骗过人脸识别系统,盗刷银行卡。当人脸识别的安全性受到严重挑战,以及暴露隐私的缺陷进一步放大之时,就得考虑如何面对和使用人脸识别技术。有专家认为,最好的办法是禁用和限用人脸识别,因为还有比人脸识别更简单更安全的生物识别技术。
个体或生物识别有多种多样的技术,包括指纹、掌纹、声纹、虹膜、人脸、步态识别、静脉识别、DNA识别等。这些技术都可以广泛运用于个体身份确认的场所,如门禁系统、考勤系统、操作系统(电脑、手机和网络操作)、金融(现金支付)和公共安全(乘坐飞机、高铁)等。
指纹和掌纹识别既具有个人的唯一性,又不会像人脸识别一样通过照片就被盗用,既安全,又有效率,还减少了人们感到被监控的担忧。在国外,由于各大公司陷入收集人脸照片侵犯隐私的诉讼中,已经在逐渐放弃人脸识别技术,转而研发掌纹、声纹、虹膜等生物识别技术。
限用或禁用人脸识别的另一个重要原因是人工智能应用带来的伦理问题。2021年11月24日,联合国教科文组织的193个会员国正式通过了首份有关人工智能伦理的全球框架协议《人工智能伦理问题建议书》。《建议书》明确禁止使用人工智能系统进行社会评分和大规模监控,因为此类技术极具侵入性,侵犯人权和基本自由,且被广泛使用。其中的人脸识别就属于这类监控技术。
事实上,中国已经在限用人脸识别技术了。2021年8月1日,最高人民法院实施《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,禁止物业强制刷脸等,表明人脸识别的应用场景遭到阻击。而公民状告物业滥用人脸识别也屡屡获得胜诉。
银行是人脸识别技术的引进和使用者,是作为风险制造的参与方,通过这种方式银行获益更多,也因此应该承担和其所获收益成比例的风险责任。银行因人脸识别技术存在的漏洞而承担相应的更大责任,会有助于敦促银行堵住技术上的安全漏洞,也能有效预防金融诈骗犯罪或减少金融诈骗犯罪。