據媒體報道,近日,陜西西安一名八旬老人接到自稱是北京公檢法工作人員的電話,稱其涉嫌洗黑錢,要求其將238萬元打到所謂的“安全賬戶”,並指揮她使用遠端控制軟體完成人臉識別認證,隨後將錢轉走。老人意識到被騙後報警,目前案件已告破。
本質上説,此番案件仍屬傳統的電信詐騙,即行騙者通過電話騙術操縱受害人實施轉賬匯款的行為。但不同的是,行騙者借助了當下十分流行的人臉識別方式。
眾所週知,手機銀行轉賬可以設置安全驗證環節,比如指紋、人臉、數字密碼或圖案密碼等,這本是為了讓資金更安全,然而卻被一些騙子惡意利用。以往,騙子要麼騙取受害人密碼後自己操作轉賬,要麼指揮受害人到銀行窗口或ATM機轉賬,但銀行增加了轉賬確認、延時到賬環節後,騙子得逞幾率大大下降。而操縱人臉這種“密碼”可以實時轉賬,可以減少“節外生枝”。上述被騙的老人就是因為不知道什麼是人臉識別,才會輕易按要求“眨眨眼”“動動嘴”,幫助騙子提交“密碼”。
一系列與人臉識別有關的財産損失案件,已經引起人們對資訊安全尤其是指紋、人臉等不可更改的生物資訊安全的焦慮。不久前,廣西南寧十幾位業主委託某仲介賣房,在不知情的情況下刷臉查詢房産資訊後,房子就莫名其妙地過戶給了別人。如今,此案雖已告破,但給人們帶來的陰影恐怕一時難以消散。
以人臉識別為代表的新技術濫用、個人資訊採集過度,必須用“猛藥”來規制。
目前,有關方面對人臉識別技術濫用的危害已有明確認識,相關政策、法律也在不斷完善,如網路安全法規定,網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。但有些規定和約束還是比較粗線條,在部分案例和實踐中,仍存在“缺乏具體參照和依據”的情況。
在資訊使用層面,人臉資訊採集方往往不會向用戶説明使用規則及範圍,後續存儲等環節也缺乏有效措施,甚至不具備相關風險抵禦能力。對此,監管部門應當從源頭規制過度採集個人資訊的行為,明確能夠採集個人資訊的主體,監管使用流通過程,同時要著力探索個人資訊洩露後的補救和止損機制。
今年3月,國家市場監督管理總局、國家標準化管理委員會發佈《資訊安全技術個人資訊安全規範》,其中明確要求個人生物識別資訊需單獨告知使用目的、方式和範圍。此前,江蘇南京要求多家售樓處拆除人臉識別系統,一些城市也擬立法保護人臉等個人資訊。這些都是規制過度採集個人資訊的積極信號。希望相關防線可以儘快築好築牢。
