近日,陜西西安一名八旬老人接到自稱是北京公檢法工作人員的電話,稱其涉嫌洗黑錢,要求其將238萬元打到所謂的“安全賬戶”,并指揮她使用遠程控制軟件完成人臉識別認證,隨后將錢轉走。老人意識到被騙后報警,目前案件已告破。

  本質上說,此番案件仍屬傳統的電信詐騙,即行騙者通過電話騙術操縱受害人實施轉賬匯款的行為。但不同的是,行騙者借助了當下十分流行的人臉識別方式。

  眾所周知,手機銀行轉賬可以設置安全驗證環節,比如指紋、人臉、數字密碼或圖案密碼等,這本是為了讓資金更安全,然而卻被一些騙子惡意利用。以往,騙子要么騙取受害人密碼后自己操作轉賬,要么指揮受害人到銀行窗口或ATM機轉賬,但銀行增加了轉賬確認、延時到賬環節后,騙子得逞幾率大大下降。而操縱人臉這種“密碼”可以實時轉賬,可以減少“節外生枝”。上述被騙的老人就是因為不知道什么是人臉識別,才會輕易按要求“眨眨眼”“動動嘴”,幫助騙子提交“密碼”。

  一系列與人臉識別有關的財產損失案件,已經引起人們對信息安全尤其是指紋、人臉等不可更改的生物信息安全的焦慮。不久前,廣西南寧十幾位業主委托某中介賣房,在不知情的情況下刷臉查詢房產信息后,房子就莫名其妙地過戶給了別人。如今,此案雖已告破,但給人們帶來的陰影恐怕一時難以消散。

  以人臉識別為代表的新技術濫用、個人信息采集過度,必須用“猛藥”來規制。

  目前,有關方面對人臉識別技術濫用的危害已有明確認識,相關政策、法律也在不斷完善,如網絡安全法規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。但有些規定和約束還是比較粗線條,在部分案例和實踐中,仍存在“缺乏具體參照和依據”的情況。

  在信息使用層面,人臉信息采集方往往不會向用戶說明使用規則及范圍,后續存儲等環節也缺乏有效措施,甚至不具備相關風險抵御能力。對此,監管部門應當從源頭規制過度采集個人信息的行為,明確能夠采集個人信息的主體,監管使用流通過程,同時要著力探索個人信息泄露后的補救和止損機制。

  今年3月,國家市場監督管理總局、國家標準化管理委員會發布《信息安全技術個人信息安全規范》,其中明確要求個人生物識別信息需單獨告知使用目的、方式和范圍。此前,江蘇南京要求多家售樓處拆除人臉識別系統,一些城市也擬立法保護人臉等個人信息。這些都是規制過度采集個人信息的積極信號。希望相關防線可以盡快筑好筑牢。