9月25日,北京金融法院司法指导中心公益普法节目——“融小法·呵护碎银双月谈”第七期播出。北京金融法院审一庭法官甘琳与中国人民大学法学院助理教授阮神裕、北京互联网法院综合审判三庭副庭长颜君一起,通过对金融交易中涉及“人脸识别”“AI换脸”等技术应用中存在的法律风险问题进行详细梳理,就金融机构在处理个人信息中如何履行安全保障义务、金融消费者如何保护个人信息安全等问题进行精彩解读。
近年来,随着信息技术的迅猛发展,人脸识别技术应用加速落地,已渗透到人们生活的各个方面。大到智慧城市建设,小到手机登陆解锁,各种场景下都能见到人脸识别技术应用的身影。刷脸支付、刷脸打卡等人脸识别技术在为社会生活带来便利的同时,一些不法分子也开始利用人脸识别技术侵害金融消费者的合法权益,引发了社会公众的普遍关注和担忧。今年以来,北京金融法院先后受理了数起有关“人脸识别”的银行卡盗刷案件。在这些案件中,不法分子假冒公检法机关的工作人员,利用非法收集的银行卡号、贷款额度等信息,通过电话、社交软件等联系消费者并骗取信任,谎称消费者有相关违法记录,如要消除记录,需向指定的专用账户转入资金进行验证。一旦消费者信以为真按照指示进行操作,不法分子就迅速转移资金并藏匿。
01
什么是人脸信息?人脸信息具有哪些法律属性?
阮神裕老师介绍,根据《个人信息保护法》第4条第1款的规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,包括自然人的姓名、出生日期、身份证件号码、住址、电话号码、电子邮箱、健康信息、行踪信息,以及人脸信息。根据《个人信息保护法》第28条的规定,敏感个人信息是指一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。因此,人脸信息不仅仅是一种个人信息,还是一种敏感个人信息。
02
人脸识别技术应用是否存在安全隐患和风险?
阮神裕老师认为,人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。人脸识别作为一种生物识别技术,被广泛运用于多种场景,主要作用是实现在线身份认证。当前,人脸识别技术存在的安全隐患主要集中在两个方面:一是人脸信息可能被泄露;二是人脸识别系统可能遭到恶意攻击。金融交易中的人脸识别技术安全性要高得多。首先,按照金融监管部门的要求,金融机构在将人脸识别系统投入使用过程前要进行健全的安全评测。其次,金融交易中的人脸识别要求必须进行活体检测,无法采用静态照片通过验证。第三,金融机构在进行交易验证时,除通过人脸识别系统进行验证以外,还同时要求在登录密码、短信验证码、U盾等多种认证要素全部匹配的情况下才能完成交易。但是,如果金融消费者的风险防范意识不高,没有妥善保管好自己的身份识别信息、交易验证信息等个人敏感信息,也可能会给自己的财产带来极大的安全风险。
03
法律、行政法规对于人脸信息等个人信息保护有哪些重要规定?
颜君法官介绍,《个人信息保护法》第14条和《民法典》第1035条构建了以“告知同意”为核心的个人信息处理规则。告知同意原则,是指信息业者应当充分告知信息主体有关个人信息被收集、处理和利用的情况,并征得信息主体的明确同意。告知是处理人脸信息的前提,遵循公开透明原则。根据《民法典》第1035条第1款第2项和第3项、《个人信息保护法》第7条和第48条、《人脸识别技术处理个人信息若干规定》第2条第4项的规定,处理人脸信息应当严守公开透明原则,明示目的、方式和范围,且个人有权要求处理者解释说明个人信息处理规则。《个人信息保护法》第29条在一般知情同意规则的基础上,要求人脸信息主体作出单独同意。《人脸识别技术处理个人信息若干规定》第2条第3项规定,未经单独同意处理人脸信息,属于侵害自然人人格权益的行为。信息处理者不得以一揽子告知的方式,将人脸信息与一般个人信息一并告知信息主体,而应当采取分别单独告知方式。单独同意条款也应当特殊显示,采用足以引起用户注意的方式,例如加粗、变换颜色、字体等途径。同时,同意内容应当避免概括同意或者批量同意,用户接受单独同意的选项不应默认勾选,而交由信息主体主动勾选。根据《网络交易监督管理办法》第13条第2款和《人脸识别技术处理个人信息若干规定》第4条,信息处理者不得强迫或者变相强迫个人同意处理人脸信息,具体方式包括与其他授权捆绑、停止安装使用等。强迫或者变相强迫同意,有悖信息主体的真实意愿,其效果相当于未取得同意。
04
“AI换脸”技术应用涉及哪些法律问题?
颜君法官介绍,AI换脸拟声技术用于商业盈利时,极易引发肖像权、姓名权等人格权纠纷。自然人享有肖像权,有权依法制作、使用、公开或者许可他人使用自己的肖像。任何组织或者个人不得以丑化、污损,或者利用信息技术手段伪造等方式侵害他人的肖像权。未经肖像权人同意,不得制作、使用、公开肖像权人的肖像,但是法律另有规定的除外。未经肖像权人同意,肖像作品权利人不得以发表、复制、发行、出租、展览等方式使用或者公开肖像权人的肖像。
需要特别提示的是,通过“AI换脸”进行视频合成、实施诈骗的行为,是利用新技术进行的诈骗,与传统的诈骗行为在本质上没有区别。对于构成诈骗罪的,要依照我国《刑法》第266条的规定追究刑事责任。对于为利用“AI换脸”实施诈骗行为提供技术支持、帮助的,要根据《反电信网络诈骗法》的规定进行行政处罚,构成犯罪的,还要根据《刑法》第287条之二帮助信息网络犯罪活动罪等追究刑事责任。
05
金融机构在处理人脸信息等个人信息时应当作好哪些工作?
阮神裕老师认为,在开始处理个人信息之前,金融机构应当遵守“告知同意”的规则。第一,金融机构处理人脸信息须向客户进行充分告知。根据《个人信息保护法》第17条的规定,金融机构在处理人脸信息时,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知。第二,金融机构处理人脸信息须征得客户的“单独同意”。《民法典》和《个人信息保护法》等相关法律法规虽然没有明确规定,但是一般认为,个人信息处理者应当将敏感个人信息和其他个人信息进行分离,就敏感个人信息的处理行为单独取得同意。第三,金融机构取得的单独同意应当是个人“自愿”作出的。根据《个人信息保护法》第14条第1款的规定,个人同意应当是自愿作出的。建议避免在办理相关业务时单一使用人脸识别认证手段,可通过身份证、银行卡密码、手机短信、U盾、电子密码器验证等多种核验手段,给予客户充分的自主选择权利。
在开始处理个人信息之后,金融机构应当保证个人信息的质量,避免因人脸信息不准确、不完整对客户权益造成不利影响。一是在技术上更新迭代。金融机构需增加金融科技投入,优化算法,升级终端人脸设备,使人脸识别结果更加准确。二是在法律上响应客户提出的个人信息请求权。根据《个人信息保护法》的规定,客户有权向金融机构查阅或者复制其个人信息,发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。金融机构应当采取必要措施保证客户人脸信息安全,必要措施包括管理措施和技术措施。当发生或者可能发生个人信息泄露、篡改、丢失时,应当及时采取补救措施,按照规定告知客户并向有关主管部门报告。
06
金融消费者在生活中应该如何保护个人信息安全?
颜君法官提示,第一,要增强安全防范意识,避免个人信息不当泄露。身份证件、银行卡号、支付密码、支付二维码、短信验证码等重要个人信息,务必妥善保管,切勿轻易提供。在必须提供身份证件的场合,可在复印件上注明使用用途、有效期等内容,防止不法分子冒用个人信息。在使用社交网络平台时,可将姓名、电话、出行信息等涉及个人信息的部分隐去,谨慎分享含有个人信息的照片、火车票、飞机票等内容。切勿向他人透露个人金融信息、财产状况等基本信息,不要随意丢弃刷卡签购单、取款凭条、信用卡对账单等载有个人信息的重要资料。特别要对不明的电话、链接、邮件等保持警惕,不随意点击不明链接,不在可疑网站提供个人重要信息。安装并使用安全可靠的杀毒软件和防火墙等安全软件,保护计算机和手机等设备安全。
第二,要高度警惕非法采集人脸信息行为,防范“AI换脸”诈骗等新型犯罪。人脸识别采集的生物特征信息十分重要,要像保护身份证一样保护好自己的生物特征信息。如果遇到一些“拍照”场景有摇头、张嘴等特殊动作要求的情况,就应该提高警惕,看清屏幕中是“拍照”还是“人脸识别”。如果遇到“×××邀请您进入群聊/视频会议/直播间”情形,不要轻易加入陌生人的微信群聊、视频会议。如果遇“微信好友通过视频借款”情形,切记多渠道核实“好友”身份,勿轻易转账,如果已经转账,及时报警或拨打反诈中心电话96110。
第三,要选择正规机构的合法金融服务,切勿轻信虚假金融广告宣传。应当通过正规的营业场所、官方客服电话或APP等办理金融业务,办理业务时要仔细核实资质、认真阅读合同条款。不要轻信在营业网点以外遇到的所谓“贷款推广人员”或“贷款工作人员”,不随意签字授权,不轻信非法网络借贷虚假宣传。如果遇到“低风险高回报的投资理财”等承诺,不要存在侥幸和投机心理,切不可为了所谓高回报的收益,轻易将钱款转账至不明来路的“投资平台”。
第四,要选择正规渠道维权,拒绝非法维权代理。若对金融机构的产品或服务有异议或纠纷,应通过正当渠道如实客观反映情况、提出合理诉求。可以直接与金融机构平等协商,也可以通过向纠纷调解组织申请调解或向人民法院提起诉讼等途径解决。切勿轻信社会上一些“逾期铲单”“征信修复”“减免息费”等宣传广告,不要把个人信息轻易提供给所谓的“代理维权机构”,更不要参与到编造虚假信息、伪造证明材料等“恶意”投诉行为中,以免造成个人信息泄露和财产损失。一旦发现侵害自身合法权益行为,要及时报警,确保个人账户和资金安全。
07
如果遭遇被“AI换脸”等民事侵权行为,金融消费者应该如何捍卫自己的合法权益?
颜君法官认为,要积极通过法律途径维护自身合法权益。发生侵权纠纷时需要保留的重要证据通常有:一是认为构成侵权内容的网页截图以及视频、录音存证等。由于网络上的内容极易灭失,在发现侵权内容时要及时存证。常见快捷、经济的存证方式有时间戳存证、区块链存证等,也可以通过公证的方式对证据进行固定,以防证据灭失。二是对于网络账款或消费的资金走向过程予以留心,注意留痕。对于一些大笔款项支出,操作时应反复核对点击界面、即时截图留取凭证。部分金融消费者在遭遇网络诈骗后,往往只能提供最初的款项转账记录,对于资金的过程走向不大清楚,甚至对于转款过程都记忆模糊,难以复现,对于向法院主张侵权事实、认定侵权、追回款项,都会带来困难。三是核实交易相对方信息,并留存相应证据。网络空间是虚拟空间,往往需要通过网址、账户、卡号等信息确定交易对方身份,在网上转款或消费时要特别注意核实对方身份是否正确,是否存在伪网、伪账户等情况,也要注意保留交易相对方的账户号码或昵称等信息,可以通过工商查询网站、ICP查询网站等具有公信力的信息来源对网站或账户信息进行核实,如存在账户注册信息等身份信息取证困难的,可依法向平台或有关单位调取,以明确侵权主体,进而展开维权。
