人脸信息一再失守,加固防线要时刻拉紧
最近,陕西省西安市一位八十多岁的老人接到一个电话,声称她是北京市公安局、检察院和法院的工作人员,说她涉嫌洗钱,要求她打238万元到所谓的"安全账户",并指示她用远程控制软件完成面部识别认证,然后把钱转走。这位老人意识到自己被骗了,打电话报警。这个案子现在已经解决了。
他说:"实质上,这宗案件仍然是一宗传统的电讯诈骗案,即欺诈者利用电话诈骗手法操纵受害人进行转账及汇款。但不同之处在于,骗徒利用现时很受欢迎的面部识别方法。
众所周知,流动银行转账可以建立安全验证链接,如指纹、人脸、数字密码或模式密码,其目的是使资金更加安全,但被一些骗子恶意使用。在过去,诈骗者要么欺骗受害人的密码并自行操作转账,要么指示受害人到银行窗口或自动取款机转帐,但银行增加了转账确认,延迟到账户链接,从而大大降低了欺诈成功的可能性。而操纵这个"密码"的脸可以实时传输,可以减少"掏出"的分支。上面提到的欺骗老年人,因为他们不知道面部识别是什么,会很容易"眨眼"和"移动他们的嘴根据要求帮助骗子提交"的要求,以帮助撒谎者提交"密码"。
一系列与人脸识别相关的财产损失案件,引起了人们对信息安全的担忧,尤其是指纹、人脸等不可改变的生物信息安全。不久前,广西南宁十几家业主委托中介出售房屋,不知道人脸扫描查询房地产信息,房屋莫名其妙地转移到他人手中。现在,虽然案件已经解决,但人们的阴影可能很难消散一段时间。
滥用新技术和过度收集以面部识别为代表的个人信息必须受到"激烈医学"的管制。
目前,有关方面对人脸识别技术滥用的危害有了明确的认识,相关的政策法规也在不断完善。例如,网络安全法规定,网络运营商收集和使用个人信息应遵循合法性、合法性和必要性的原则,公开收集和使用规则,明确收集和使用信息的目的、方式和范围,并征得收集人的同意。但是,有些规定和限制仍然比较粗略,在一些情况和做法中,仍然存在"缺乏具体参考和依据的情况"的情况。
在信息使用层面,面对信息收集者往往不向用户解释使用规则和使用范围,跟踪存储等环节也缺乏有效措施,甚至没有抵御相关风险的能力。在这方面,监管部门应规范从来源过度收集个人信息的行为,明确能够收集个人信息的主体,监督流通过程,同时注重探索个人信息披露后的恢复和停止丢失机制。
今年3月,国家市场监督管理局和国家标准化管理委员会发布了"信息安全技术个人信息安全规范",明确要求将个人生物识别信息的使用目的、方式和范围另行通知。在此之前,江苏省南京市要求多家销售处拆除人脸识别系统,部分城市还打算立法保护人脸等个人信息,这些都是规范过度收集个人信息的积极信号,希望尽快建立起相关的防线。