【风险提示】人脸信息一再失守,加固防线刻不容缓

时间:2020-12-25 点击: 【 浏览字体:

  据媒体报道,近日,陕西西安一名八旬老人接到自称是北京公检法工作人员的电话,称其涉嫌洗黑钱,要求其将238万元打到所谓的“安全账户”,并指挥她使用远程控制软件完成人脸识别认证,随后将钱转走。老人意识到被骗后报警,目前案件已告破。

  本质上说,此番案件仍属传统的电信诈骗,即行骗者通过电话骗术操纵受害人实施转账汇款的行为。但不同的是,行骗者借助了当下十分流行的人脸识别方式。

  众所周知,手机银行转账可以设置安全验证环节,比如指纹、人脸、数字密码或图案密码等,这本是为了让资金更安全,然而却被一些骗子恶意利用。以往,骗子要么骗取受害人密码后自己操作转账,要么指挥受害人到银行窗口或ATM机转账,但银行增加了转账确认、延时到账环节后,骗子得逞几率大大下降。而操纵人脸这种“密码”可以实时转账,可以减少“节外生枝”。上述被骗的老人就是因为不知道什么是人脸识别,才会轻易按要求“眨眨眼”“动动嘴”,帮助骗子提交“密码”。

  一系列与人脸识别有关的财产损失案件,已经引起人们对信息安全尤其是指纹、人脸等不可更改的生物信息安全的焦虑。不久前,广西南宁十几位业主委托某中介卖房,在不知情的情况下刷脸查询房产信息后,房子就莫名其妙地过户给了别人。如今,此案虽已告破,但给人们带来的阴影恐怕一时难以消散。

  以人脸识别为代表的新技术滥用、个人信息采集过度,必须用“猛药”来规制。

  目前,有关方面对人脸识别技术滥用的危害已有明确认识,相关政策、法律也在不断完善,如网络安全法规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。但有些规定和约束还是比较粗线条,在部分案例和实践中,仍存在“缺乏具体参照和依据”的情况。

  在信息使用层面,人脸信息采集方往往不会向用户说明使用规则及范围,后续存储等环节也缺乏有效措施,甚至不具备相关风险抵御能力。对此,监管部门应当从源头规制过度采集个人信息的行为,明确能够采集个人信息的主体,监管使用流通过程,同时要着力探索个人信息泄露后的补救和止损机制。

  今年3月,国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术个人信息安全规范》,其中明确要求个人生物识别信息需单独告知使用目的、方式和范围。此前,江苏南京要求多家售楼处拆除人脸识别系统,一些城市也拟立法保护人脸等个人信息。这些都是规制过度采集个人信息的积极信号。希望相关防线可以尽快筑好筑牢。