人脸信息一再失守，加固防线刻不容缓

据媒体报道，近日，陕西西安一名八旬老人接到自称是北京公检法工作人员的电话，称其涉嫌洗黑钱，要求其将238万元打到所谓的“安全账户”，并指挥她使用远程控制软件完成人脸识别认证，随后将钱转走。老人意识到被骗后报警，目前案件已告破。

本质上说，此番案件仍属传统的电信诈骗，即行骗者通过电话骗术操纵受害人实施转账汇款的行为。但不同的是，行骗者借助了当下十分流行的人脸识别方式。

众所周知，手机银行转账可以设置安全验证环节，比如指纹、人脸、数字密码或图案密码等，这本是为了让资金更安全，然而却被一些骗子恶意利用。以往，骗子要么骗取受害人密码后自己操作转账，要么指挥受害人到银行窗口或ATM机转账，但银行增加了转账确认、延时到账环节后，骗子得逞几率大大下降。而操纵人脸这种“密码”可以实时转账，可以减少“节外生枝”。上述被骗的老人就是因为不知道什么是人脸识别，才会轻易按要求“眨眨眼”“动动嘴”，帮助骗子提交“密码”。

一系列与人脸识别有关的财产损失案件，已经引起人们对信息安全尤其是指纹、人脸等不可更改的生物信息安全的焦虑。不久前，广西南宁十几位业主委托某中介卖房，在不知情的情况下刷脸查询房产信息后，房子就莫名其妙地过户给了别人。如今，此案虽已告破，但给人们带来的阴影恐怕一时难以消散。

以人脸识别为代表的新技术滥用、个人信息采集过度，必须用“猛药”来规制。

目前，有关方面对人脸识别技术滥用的危害已有明确认识，相关政策、法律也在不断完善，如网络安全法规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。但有些规定和约束还是比较粗线条，在部分案例和实践中，仍存在“缺乏具体参照和依据”的情况。

在信息使用层面，人脸信息采集方往往不会向用户说明使用规则及范围，后续存储等环节也缺乏有效措施，甚至不具备相关风险抵御能力。对此，监管部门应当从源头规制过度采集个人信息的行为，明确能够采集个人信息的主体，监管使用流通过程，同时要着力探索个人信息泄露后的补救和止损机制。

今年3月，国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术个人信息安全规范》，其中明确要求个人生物识别信息需单独告知使用目的、方式和范围。此前，江苏南京要求多家售楼处拆除人脸识别系统，一些城市也拟立法保护人脸等个人信息。这些都是规制过度采集个人信息的积极信号。希望相关防线可以尽快筑好筑牢。（刘兵）