隨著人臉識(shí)別技術(shù)的普及,人們已經(jīng)習(xí)慣于使用人臉信息作為許多業(yè)務(wù)的身份驗(yàn)證手段。但事實(shí)上,人臉識(shí)別真的像看起來(lái)那么安全嗎?
近日,廣州互聯(lián)網(wǎng)法院公布了一個(gè)案例——。廣州的王女士莫名其妙地“申請(qǐng)”了一張借記卡,承擔(dān)了幾萬(wàn)元的貸款,甚至因?yàn)樯矸葑C被盜還打官司。但根據(jù)法院判決,因銀行未能證明王女士本人“刷臉”辦理借記卡并申請(qǐng)貸款,王女士無(wú)需還款。
有專(zhuān)家告訴南都記者,將舉證責(zé)任分配給更有可能提供證據(jù)證明其處理行為合法性的信息處理者,更有利于加強(qiáng)對(duì)信息主體權(quán)益的保護(hù)。隨著法律法規(guī)的進(jìn)一步明確,金融機(jī)構(gòu)的信息采集、應(yīng)用和保護(hù)過(guò)程將受到來(lái)自居民區(qū)、物業(yè)等公共生活場(chǎng)景的影響。
女子被冒用身份貸款,法院:不用還
據(jù)了解,2019年11月25日,借款人“王女士”在某銀行線(xiàn)下?tīng)I(yíng)業(yè)網(wǎng)點(diǎn)申請(qǐng)?jiān)O(shè)立借記卡賬戶(hù)。按照銀行的要求,“王女士”當(dāng)場(chǎng)填寫(xiě)了開(kāi)戶(hù)申請(qǐng)表。然后在銀行營(yíng)業(yè)廳的STM自助柜員機(jī)上,經(jīng)過(guò)人臉識(shí)別和身份驗(yàn)證后,她自己辦理了借記卡賬戶(hù)業(yè)務(wù),開(kāi)通了手機(jī)銀行功能。
同年12月18日,“王女士”通過(guò)手機(jī)銀行app在網(wǎng)上成功申請(qǐng)貸款11300元,此后一直未還款。經(jīng)多次催促未果,銀行將王女士訴至法院,請(qǐng)求判令王女士一次性還清未償還的貸款本息。
但經(jīng)調(diào)查,開(kāi)卡借錢(qián)的并非王女士本人。原來(lái),真正的王女士在2019年10月丟失了身份證。她向法官辯稱(chēng),從那以后,一系列操作都不是她打的,是別人冒充的,她不應(yīng)該負(fù)責(zé)還款。經(jīng)簽名筆跡比對(duì),司法鑒定意見(jiàn)也認(rèn)為涉案當(dāng)事人簽名并非王女士本人簽名。
為什么已經(jīng)通過(guò)了銀行的人臉識(shí)別驗(yàn)證,仍然存在身份造假的情況?
法院認(rèn)為,STM ATM交易信息中含有發(fā)卡機(jī)構(gòu)在人臉識(shí)別時(shí)抓拍的場(chǎng)景照片。雖然現(xiàn)場(chǎng)照片與王女士的相似度達(dá)到72%,但在銀行未能提供其他影像資料作為佐證的情況下,銀行無(wú)法憑這張照片證明發(fā)卡人就是王女士本人。此外,銀行在王女士辦理涉案業(yè)務(wù)時(shí),未能向法院提供完整的圖像來(lái)源用于人臉識(shí)別比對(duì)。
綜上所述,在王女士身份證被盜丟失的合理期間內(nèi),涉案銀行的借記卡開(kāi)戶(hù)及貸款流程并非由王女士本人完成。銀行要求還款是沒(méi)有依據(jù)的,銀行應(yīng)該承擔(dān)放貸審查不嚴(yán)造成的法律后果。
“本案中駁回銀行索賠的決定,并不是否認(rèn)人臉識(shí)別技術(shù)的安全性和可靠性?!痹摪笇徟虚L(zhǎng)甘尚昭指出,本案“刷臉”的背后是傳統(tǒng)借貸機(jī)構(gòu)“形式審查”的弊端,以“身份證照片長(zhǎng)得和本人相似”審批。
他還強(qiáng)調(diào),隨著科技的發(fā)展,以銀行為代表的廣大金融機(jī)構(gòu)應(yīng)在其核心業(yè)務(wù)環(huán)節(jié)使用人臉識(shí)別技術(shù),并應(yīng)與手機(jī)驗(yàn)證碼、指紋等信息的識(shí)別系統(tǒng)進(jìn)行交叉核對(duì),為金融消費(fèi)者提供安全可靠的交易環(huán)境。
專(zhuān)家:人臉識(shí)別新規(guī)明確企業(yè)應(yīng)承擔(dān)舉證責(zé)任
事實(shí)上,人臉識(shí)別技術(shù)的準(zhǔn)確性和安全性受到質(zhì)疑的情況并不少見(jiàn)。
2017年315晚會(huì)上,主持人現(xiàn)場(chǎng)使用兩部手機(jī)、一張隨機(jī)的正面照片和一個(gè)換臉App,成功騙過(guò)人臉識(shí)別系統(tǒng)。“別人用臉解鎖手機(jī)”等案例不時(shí)出現(xiàn),進(jìn)一步刺激消費(fèi)者的神經(jīng)。
在蘋(píng)果社區(qū),有用戶(hù)反映自己的手機(jī)可以用別人的臉解鎖,反映同樣問(wèn)題的人數(shù)達(dá)到52人。
不過(guò)最高人民法院已經(jīng)對(duì)人臉識(shí)別進(jìn)行了規(guī)范。今年8月1日起施行的《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》(以下簡(jiǎn)稱(chēng)《規(guī)定》)明確規(guī)定,“信息處理人主張其行為符合《民法通則》第一百零三十五條第一款規(guī)定的情形的,對(duì)其所依據(jù)的事實(shí)承擔(dān)舉證責(zé)任”。《民法典》相應(yīng)條款規(guī)定,處理個(gè)人信息應(yīng)當(dāng)遵循合法、公正、必要的原則,不得過(guò)度處理,并應(yīng)當(dāng)取得自然人或者其監(jiān)護(hù)人的同意,法律、行政法規(guī)另有規(guī)定的除外。
也就是說(shuō),今后類(lèi)似王女士的案件,舉證責(zé)任將更多地落在銀行身上。隨著舉證責(zé)任的重新分配,或許傳統(tǒng)貸款機(jī)構(gòu)在放款時(shí),“身份證照片和本人長(zhǎng)得很像”已經(jīng)不能成為審批的理由。但由于銀行在辦理涉案業(yè)務(wù)時(shí),未能提供足夠的證據(jù)證明——女士有完整的圖像來(lái)源進(jìn)行人臉識(shí)別比對(duì),最終敗訴。
“現(xiàn)場(chǎng)辦理手續(xù)時(shí)留下的痕跡很多。比如從外面進(jìn)入銀行的柜臺(tái),公共場(chǎng)所的安保監(jiān)控應(yīng)該會(huì)留下記錄?!闭憬瓑ǘβ蓭熓聞?wù)所創(chuàng)始合伙人馬策評(píng)價(jià),“如果銀行拿不出足夠的證據(jù),就應(yīng)該自己承擔(dān)舉證的不利后果?!?/p>
“因?yàn)樵谛畔⑻幚磉^(guò)程中,信息主體并不知道信息處理者是如何處理信息的,所以要承擔(dān)證明信息處理者的信息處理行為違法的舉證責(zé)任,就會(huì)面臨知識(shí)和信息上的障礙?!敝袊?guó)人民大學(xué)法學(xué)院教授朱虎指出,“將舉證責(zé)任分配給更有可能提供證據(jù)證明其處理行為合法的信息處理者,更有利于加強(qiáng)對(duì)信息主體權(quán)益的保護(hù),同時(shí)不會(huì)過(guò)度增加信息處理者的負(fù)擔(dān)。也符合民事訴訟法舉證責(zé)任分配的便民原則。"
另外,麻策認(rèn)為,隨著《個(gè)人信息保護(hù)法》將在11月開(kāi)始實(shí)行,所有的舉證責(zé)任都可能出現(xiàn)一些“反轉(zhuǎn)”——“過(guò)去我們會(huì)比較注重個(gè)人的舉證,以此來(lái)證明企業(yè)是否(在案件中)有責(zé)任。但現(xiàn)在個(gè)人保護(hù)領(lǐng)域可能更傾向用過(guò)錯(cuò)推進(jìn)舉證?!?/p>
“這就意味著,在個(gè)人信息受到損害的情況下,相關(guān)企業(yè)需要先證明自己有盡到個(gè)體信息保護(hù)的責(zé)任。包括搜集信息時(shí)是否有盡到告知義務(wù),簽署的相關(guān)協(xié)議是否合規(guī),而在保存這些信息的過(guò)程中是否對(duì)敏感信息進(jìn)行更嚴(yán)格的保護(hù)等等?!奥椴哒f(shuō),”這樣的改變可能會(huì)重塑各行業(yè)整體的信息收集、應(yīng)用和保護(hù)過(guò)程,而其中下到小區(qū)、物業(yè)等具有公共屬性的生活場(chǎng)景,上到金融機(jī)構(gòu)都會(huì)受到影響?!?/p>
采寫(xiě):南都見(jiàn)習(xí)記者胡耕碩