刷脸核实身份登陆手机银行APP是我们再平常不过的应用场景了，但这一做法是否合理合法，是否真如银行所言，可以保障资金安全？

 

《商学院》记者为此下载招商银行APP、工商银行APP、建设银行APP、浦发银行APP进行登录比较。经测试，招商银行APP在登录时强行要求记者进行人脸识别，而工商银行、建设银行以及浦发银行通过密码即可登录。为验证登录后的操作是否需要生物信息识别，记者在工行、建行以及浦发APP上进行转账，并未要求进行生物信息识别（人脸或指纹）。

 

为此，记者致电招行客服，为什么在登陆手机APP时强行要求人脸识别。客服的回复是：人脸识别是系统的安全策略，是系统综合判断的结果。人脸识别主要是为账户安全，想确定登录的是不是客户本人。一般在新设备上登录，都要进行人脸识别确认是否是本人操作。当记者问同一个手机，曾经是密码登录，后为什么强制改为刷脸登录？客服说将此问题反馈至上级部门。

 

2020年1月29日，记者接到招行客服再次来电。在沟通中，招行表示已经将记者的问题反馈至相关业务部门，目前正在开发不同的验证方式登录，后续有可能会上线，由客户自行选择。目前确实是由系统自行判断要采用哪种验证方式。
 

当记者进一步询问系统自行判断用户必须用个人生物信息作为登录方式是否有相关的法律法规为依据？客服没有举出相关条例。

 

 

由于金融服务的特殊性，很多人对于人脸认证和银行账户安全之间的相关性认识模糊。金融机构APP的人脸认证要遵循怎样的规范？

 

上海财经大学法学院副院长胡凌博士说，目前颁布的相关法律法规有《民法典》《网络安全法》，行业标准有《信息安全技术个人信息安全规范》（2020版）（下称《安全规范》），与金融行业有关的是2020年2月中国人民银行发布实施的《个人金融信息保护技术规范》。另外，《个人信息保护法（草案）》和《数据安全法（草案）》也在征求意见审议中。

 

其中，2020版《安全规范》是对2017版的修订，短短一年多时间，新增了“不得强迫收集个人信息的要求”、“个性化展示及退出”、“基于不同业务所收集的个人信息的汇聚融合”、“第三方接入点管理”等内容，让标准更加完善，从而更好地指导企业实践。

 

胡凌说，《个人信息保护法》的具体执行标准体现在《安全规范》中，解决APP“强制索权、捆绑授权、过度索权、超范围收集”的问题。同时，针对当前APP运营管理的一些不合理现象，如告知目的不明确、注销账户难、滥用用户画像、无法关闭个性化推送信息、第三方接入缺乏有效管理、内部管理职责不明等问题，进一步梳理完善条款。

 

《安全规范》规定，个人信息控制者不得强迫收集个人信息的具体要求，用户具有自主选择权利，并对“个人信息”和“个人敏感信息”做出明确的定义。

 

个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。包括姓名、身份证件号码、个人生物识别信息、通信通讯联系方式、健康生理信息等，也包括个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，也属于个人信息。

 

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容等，另外个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的，属于个人敏感信息。

 

由此可见，生物识别信息不仅属于个人信息还属于个人敏感信息。

 

胡凌说，另据《个人金融信息保护技术规范》，个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。C3 类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更，会对个人金融信息主体的信息安全与财产安全造成严重危害，其中包括用于用户鉴别的个人生物识别信息。

 

对此，《安全规范》将“用户同意隐私政策”与“用户使用其产品或服务”强制绑定的情况进行了规范，避免因为使用服务而被迫勾选的情况，对个人信息控制者明确了如下具体要求，主要内容如下：

 

a)不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求； 

b)

c)应把个人信息主体自主作出的肯定性动作，如主动点击、勾选、填写等，作为产品或服务的特定业务功能的开启条件。 

d)

c) 关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。

 

查询工行、建行、交行和招行的隐私政策，对于生物识别信息如面容和指纹登录、支付均为“选择开通”项目，的确满足了“不得强迫要求”的《安全规范》。《招商银行App用户隐私政策》在如何收集和使用个人信息中，也明确表示面容登录可“选择开通”，但遗憾的是，在实践中并未实现。

 

 

根据《机器之心》报道，清华 RealAI（瑞莱智慧）公司近日采用含有对抗样本图案的眼镜，破解了20款手机中的19款手机，使用2D人脸识别的国产安卓手机无一幸免，覆盖不同价位的低端机与旗舰机。

 

这则新闻让人对提交出去的敏感数据，尤其是人脸数据不能不引起警惕。当金融机构获得用户的敏感数据后，它们是否能真正保护好？对此，《商学院》记者采访了全知科技的CEO方兴。方兴是网络安全领域的世界级专家，历任启明星辰ADLAB副经理、EEYE高级研究员、微软全球特聘安全家、瀚海源CEO、阿里巴巴资源数据安全专家。曾经全球首发MS03-026漏洞 (冲击波使用漏洞) 细节，被《WINDOWS利用技术的过去现在未来》列为影响了WINDOWS安全技术发展进程里唯一的中国人。

 

方兴谈到，数据泄露的形式多种多样，有主观的问题，有合规的问题，也有安全的问题，归结起来主要有三种：内鬼、网络攻击以及数据共享。在非大数据时代，业务系统内部的数据受到保护，偷盗数据主要依靠黑客攻击和内鬼；但是在大数据时代，大量的数据泄露会来自数据的共享及应用，“只要企业给上下游业务主动分享数据，接口端就会发生泄露。黑客不需要攻破防火墙，只要在数据分享时，伪装成拿数据的下家或者找到系统缺陷就可以了，但很多企业没有认识到这个问题。”

 

由于接口端的数据容易暴露，企业方在毫不知情的情况下数据就被盗走，国外不断加强数据隐私保护立法，防范系统性的风险，更是很少把敏感数据用到开放的业务场景中。

 

方兴曾经参与过人脸识别的风险评估项目，测试下来在各种应用中基本可以拿到相应的人脸数据，并且用这些数据通过各种认证。“这正是我们担心的，企业对此的关注度远远不够。”

 

企业都有采集数据的冲动，而且希望采集得越多越好，以往数据存贮采用中心认证，但现在按法律法规要求，相关数据要进行散列存贮，不能把生物识别信息直接存在企业的中心存贮器上。数据只保留个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识。这相当于把整个程序架构推倒重来，增加企业的成本。方兴说，“生物识别认证首要关注的不是认证技术好不好，而是是否按照数据安全的要求进行存储。这些数据是不允许中心化存储的，但是国内基本上做不到。虽然标准有明确的要求。”

 

事物总有其两面性，方兴认为，人脸识别也有其价值，每增加一步，就是在增加窃取者的对抗成本。人脸识别之上还有“活体识别”，做动作眨眼睛，但是这些也能被模拟。反之，如果知道真人长相去数据库中匹配，理论上账户也是可以被攻破的。“人脸识别只是多一层认证手段，但不能保证这个认证手段是长期安全有效的。口令密码易于修改，但是生物识别信息改不了。”

 

数据泄露有多种方式，方兴认为比生物识别信息更敏感的其实是手机号。由于目前所有应用按安全管理的要求都必须绑定手机号，因此手机号留下的痕迹是最多的。关联通讯录中的手机号码本来是正常的功能应用，方便用户在应用中找到同伴，但是攻击者也可以凭借通讯录中的关系准确分析出个人，比如识别出微博上匿名的小号，通过分析微博上发布的内容、地点分析个人喜好，发布定向内容。方兴说，“手机号我们称为‘桥数据’，它是可以映射到个人的。一旦分析出个人的倾向，所发送的内容有可能会影响个人的偏好，甚至危害到国家安全。”

 

因而，数据的去标识化在数据管理中极为重要。《个人信息保护法》对去标识化的定义是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。

 

《安全规范》对于去标识化的具体操作是，收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。比如个人生物识别信息应与个人身份信息分开存储；在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

 

方兴指出，在数据的归属和使用上，按照国家法律规定，所有采集到的个人数据，只要还没有去掉标识，可以识别到用户的数据都属于个人。如果采集的数据通过加工匿名化，变成统计数据，或者说完全没办法映射到个人时才可以作为企业的数据来使用的。“还有一些数据，虽然没有具体的指向，但是在获取了详细的身高、民族、地域，甚至行动路线后，通过关联也能分析出个人，这种也可称为‘标识数据’。”

 

发生数据泄露后如何维权？胡凌说，一旦发生数据泄露，用户个人维权是一件极为困难的事，目前能够对数据控制者产生积极威慑的是，各地检察机关探索的将个人信息保护纳入民事公益诉讼范畴。