隨著人臉識別技術(shù)的普及,人們已經(jīng)習慣于使用人臉信息作為許多業(yè)務(wù)的身份驗證手段。但事實上,人臉識別真的像看起來那么安全嗎?
近日,廣州互聯(lián)網(wǎng)法院公布了一個案例——。廣州的王女士莫名其妙地“申請”了一張借記卡,承擔了幾萬元的貸款,甚至因為身份證被盜還打官司。但根據(jù)法院判決,因銀行未能證明王女士本人“刷臉”辦理借記卡并申請貸款,王女士無需還款。
有專家告訴南都記者,將舉證責任分配給更有可能提供證據(jù)證明其處理行為合法性的信息處理者,更有利于加強對信息主體權(quán)益的保護。隨著法律法規(guī)的進一步明確,金融機構(gòu)的信息采集、應(yīng)用和保護過程將受到來自居民區(qū)、物業(yè)等公共生活場景的影響。
女子被冒用身份貸款,法院:不用還
據(jù)了解,2019年11月25日,借款人“王女士”在某銀行線下營業(yè)網(wǎng)點申請設(shè)立借記卡賬戶。按照銀行的要求,“王女士”當場填寫了開戶申請表。然后在銀行營業(yè)廳的STM自助柜員機上,經(jīng)過人臉識別和身份驗證后,她自己辦理了借記卡賬戶業(yè)務(wù),開通了手機銀行功能。
同年12月18日,“王女士”通過手機銀行app在網(wǎng)上成功申請貸款11300元,此后一直未還款。經(jīng)多次催促未果,銀行將王女士訴至法院,請求判令王女士一次性還清未償還的貸款本息。
但經(jīng)調(diào)查,開卡借錢的并非王女士本人。原來,真正的王女士在2019年10月丟失了身份證。她向法官辯稱,從那以后,一系列操作都不是她打的,是別人冒充的,她不應(yīng)該負責還款。經(jīng)簽名筆跡比對,司法鑒定意見也認為涉案當事人簽名并非王女士本人簽名。
為什么已經(jīng)通過了銀行的人臉識別驗證,仍然存在身份造假的情況?
法院認為,STM ATM交易信息中含有發(fā)卡機構(gòu)在人臉識別時抓拍的場景照片。雖然現(xiàn)場照片與王女士的相似度達到72%,但在銀行未能提供其他影像資料作為佐證的情況下,銀行無法憑這張照片證明發(fā)卡人就是王女士本人。此外,銀行在王女士辦理涉案業(yè)務(wù)時,未能向法院提供完整的圖像來源用于人臉識別比對。
綜上所述,在王女士身份證被盜丟失的合理期間內(nèi),涉案銀行的借記卡開戶及貸款流程并非由王女士本人完成。銀行要求還款是沒有依據(jù)的,銀行應(yīng)該承擔放貸審查不嚴造成的法律后果。
“本案中駁回銀行索賠的決定,并不是否認人臉識別技術(shù)的安全性和可靠性?!痹摪笇徟虚L甘尚昭指出,本案“刷臉”的背后是傳統(tǒng)借貸機構(gòu)“形式審查”的弊端,以“身份證照片長得和本人相似”審批。
他還強調(diào),隨著科技的發(fā)展,以銀行為代表的廣大金融機構(gòu)應(yīng)在其核心業(yè)務(wù)環(huán)節(jié)使用人臉識別技術(shù),并應(yīng)與手機驗證碼、指紋等信息的識別系統(tǒng)進行交叉核對,為金融消費者提供安全可靠的交易環(huán)境。
專家:人臉識別新規(guī)明確企業(yè)應(yīng)承擔舉證責任
事實上,人臉識別技術(shù)的準確性和安全性受到質(zhì)疑的情況并不少見。
2017年315晚會上,主持人現(xiàn)場使用兩部手機、一張隨機的正面照片和一個換臉App,成功騙過人臉識別系統(tǒng)?!皠e人用臉解鎖手機”等案例不時出現(xiàn),進一步刺激消費者的神經(jīng)。
在蘋果社區(qū),有用戶反映自己的手機可以用別人的臉解鎖,反映同樣問題的人數(shù)達到52人。
不過最高人民法院已經(jīng)對人臉識別進行了規(guī)范。今年8月1日起施行的《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》(以下簡稱《規(guī)定》)明確規(guī)定,“信息處理人主張其行為符合《民法通則》第一百零三十五條第一款規(guī)定的情形的,對其所依據(jù)的事實承擔舉證責任”。《民法典》相應(yīng)條款規(guī)定,處理個人信息應(yīng)當遵循合法、公正、必要的原則,不得過度處理,并應(yīng)當取得自然人或者其監(jiān)護人的同意,法律、行政法規(guī)另有規(guī)定的除外。
也就是說,今后類似王女士的案件,舉證責任將更多地落在銀行身上。隨著舉證責任的重新分配,或許傳統(tǒng)貸款機構(gòu)在放款時,“身份證照片和本人長得很像”已經(jīng)不能成為審批的理由。但由于銀行在辦理涉案業(yè)務(wù)時,未能提供足夠的證據(jù)證明——女士有完整的圖像來源進行人臉識別比對,最終敗訴。
“現(xiàn)場辦理手續(xù)時留下的痕跡很多。比如從外面進入銀行的柜臺,公共場所的安保監(jiān)控應(yīng)該會留下記錄?!闭憬瓑ǘβ蓭熓聞?wù)所創(chuàng)始合伙人馬策評價,“如果銀行拿不出足夠的證據(jù),就應(yīng)該自己承擔舉證的不利后果?!?/p>
“因為在信息處理過程中,信息主體并不知道信息處理者是如何處理信息的,所以要承擔證明信息處理者的信息處理行為違法的舉證責任,就會面臨知識和信息上的障礙。”中國人民大學法學院教授朱虎指出,“將舉證責任分配給更有可能提供證據(jù)證明其處理行為合法的信息處理者,更有利于加強對信息主體權(quán)益的保護,同時不會過度增加信息處理者的負擔。也符合民事訴訟法舉證責任分配的便民原則。"
另外,麻策認為,隨著《個人信息保護法》將在11月開始實行,所有的舉證責任都可能出現(xiàn)一些“反轉(zhuǎn)”——“過去我們會比較注重個人的舉證,以此來證明企業(yè)是否(在案件中)有責任。但現(xiàn)在個人保護領(lǐng)域可能更傾向用過錯推進舉證?!?/p>
“這就意味著,在個人信息受到損害的情況下,相關(guān)企業(yè)需要先證明自己有盡到個體信息保護的責任。包括搜集信息時是否有盡到告知義務(wù),簽署的相關(guān)協(xié)議是否合規(guī),而在保存這些信息的過程中是否對敏感信息進行更嚴格的保護等等?!奥椴哒f,”這樣的改變可能會重塑各行業(yè)整體的信息收集、應(yīng)用和保護過程,而其中下到小區(qū)、物業(yè)等具有公共屬性的生活場景,上到金融機構(gòu)都會受到影響?!?/p>
采寫:南都見習記者胡耕碩