防范“人臉識別”風險，也應有“減法”思維

信海光

“人臉識別”是一項仍在持續演進中的技術，也需要正視其“不成熟”的一面。

據報道，某銀行儲戶李紅（化名），由于陷入電信詐騙圈套，其銀行卡被不法分子偷走近43萬元。該案特殊之處在于，在不法分子詐騙過程中，銀行的人臉識別系統被攻破，導致李紅在進行密碼重置和大額轉賬時，6次人臉識別比對均顯示“活檢成功”，但登錄者IP地址卻顯示在中國臺灣。李紅懷疑該銀行人臉識別系統的安全性，并以“借記卡糾紛”為由將其告上法庭，要求賠償。2022年6月30日，法院一審駁回了李紅的全部訴求。

輿論對于儲戶是否應獲得銀行賠償存在爭議。但法院一審判決也有其道理，因為“人臉識別”雖有高科技色彩，但在此案中本質上跟“密碼”的作用區別不大，儲戶主要還是因為自身輕信于詐騙分子，才導致密碼被重置，造成財產損失。當然，一審判決并非終點，當事儲戶也準備繼續上訴，案件后續或還有看點。

跟所有領域的“魔道之爭”一樣，“人臉識別”遭破解并不令專業人士意外，科技領域的很多進步，也正是在這種破解與反破解的不停角逐中發生。相信此案之后，相關銀行勢必會提升和完善“人臉識別”的技術應用，以更強的“盾”來保護儲戶權益。

但是，僅有做“加法”的思維是不夠的。此案中，當事儲戶自身的疏忽是重要原因，所以一審敗訴。但不妨假設，如果不法分子是以其擁有的技術直接破解了銀行的“人臉識別”系統，又當如何？

如果出于防患于未然，銀行方面除了做“加法”從正面提高技術之外，還應有“減法”思維，包括對“人臉識別”技術抱以更加謙抑的態度，對其使用采取更謹慎原則，至少不以其為唯一驗證方式，以使遭遇意外攻擊時的損失降到最小。

實際上，在現實社會中，就“人臉識別”所引發的潛在風險而言，少數不法分子“魔高一丈”所帶來的風險，遠遠不如人臉識別的濫用。

作為一種具有唯一性的生物識別信息，人臉屬于敏感個人信息，卻又裸露在眾多的公共攝像頭下，極易獲得。一旦擁有了“人臉大數據”，不法分子甚至不需要太高的技術就能完成其不法行為。

既然“人臉識別”是一項仍在持續演進中的技術，那就需要正視其“不成熟”的另一面。如果沒有把握高度掌控其使用安全性，在應用中就要一步一個腳印，在“安全”與“便捷”的取舍中，更多傾向于前者。

所以，相關部門才會在涉及收集使用人臉等個人敏感信息時，要求落實“最小必要”原則。這不只是“人臉識別”所應牢牢守住的法治底線，也是各種個人信息收集均應守住的底線。在此原則之下，我們每個個體同樣應對人臉等個人敏感信息的使用，保持足夠的警惕，共守一份安全。

摘編自《新京報》2022年7月18日