“被刷脸”贷款要还吗?法院:不用还,银行放贷审核不严
随着人脸识别技术的普及,人们已经习惯将人脸信息作为诸多业务的身份验证手段。但实际上,人脸识别是否真的像其看起来那样安全无虞?
近日,广州互联网法院公布了一起案件——广州的王女士因为身份证被盗用,莫名其妙地“被申办“了借记卡、背上了上万元贷款,甚至因此吃了官司。不过,经法院判决,由于银行未能举证证明系王女士本人“刷脸”申办借记卡并申请贷款,王女士无需还款。
有专家告诉南都记者,将举证责任分配给更容易提供证据证明其处理行为合法的信息处理者,更有利于强化信息主体权益保护。随着法律法规的进一步明确,下到小区、物业等具有公共属性的生活场景,上到金融机构的信息收集、应用和保护过程都将受到影响。
女子被冒用身份贷款,法院:不用还
据了解,2019年11月25日,借款人“王女士”在某银行线下营业网点申请设立借记卡账户。按照该银行要求,“王女士”现场填写了开户签约申请表,随后在该银行营业厅的STM自助柜员机,经人脸识别核验身份后,自助办理了借记卡账户业务,并开通了手机银行功能。
同年12月18日,“王女士”通过手机银行App,成功在线申请借款11300元,但其后一直未还款。多次催促未果,该银行将王女士诉至法院,请求判令王女士一次性清偿尚欠的贷款本息。
然而,经调查,开卡和借款的其实不是王女士本人。原来,真正的王女士在2019年10月丢失了身份证。她向法官辩称,此后一系列的操作都不是她本人所谓,而是他人冒充的,不应该由她承担还款责任。而在对比签名字迹后,司法鉴定意见也认为案涉客户签名并非王女士本人签署。
为什么已经通过了银行的人脸识别核验,依然出现了身份冒用的情况?
法院审理认为,STM自助柜员机交易信息上有开卡人进行人脸识别时捕获的现场照片,虽然该现场照片与王女士的相似度达到72%,但在银行未能提供其他影像资料予以辅证的情况下,不能凭该照片认定开卡人是王女士本人。除此之外,银行也未能向法院提供王女士办理涉案业务时进行人脸识别比对的完整影像源。
综上,在王女士的身份证被盗遗失的合理期间内,案涉银行借记卡的开卡以及借款流程均不是由王女士本人完成的,银行要求其还款没有依据,应该由银行承担放贷审核不严造成的法律后果。
“本案判决驳回某银行的诉讼请求,并非否定人脸识别技术的安全性和可靠性。”此案主审法官甘尚钊指出,本案“被刷脸”背后反映的是传统借贷机构放款时“形式审查”的弊病,以“身份证照片和本人看起来差不多”便审核通过。
他还强调,随着科技发展,以银行为代表的广大金融机构在各核心业务环节运用人脸识别技术时,应综合手机验证码、指纹等信息的身份识别系统进行交叉核验,给金融消费者提供一个安全、可信赖的交易环境。
专家:人脸识别新规明确企业应承担举证责任
其实,人脸识别技术的准确率和安全性受到质疑并不鲜见。
2017年的3·15晚会上,主持人在现场使用两部手机、一张随机正面照片及一个换脸App,便成功骗过了人脸识别系统。而“别人用他们的脸解锁了自己的手机”等案例的不时出现,进一步刺激痛了消费者的神经。
在Apple社区中,有用户反映自己的手机可以用别人的脸解锁,反映同样有此问题的人数达到52个。
不过,最高人民法院已经对人脸识别做出规范。今年8月1日施行的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称《规定》)明确,“信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任”。其中民法典对应的条款规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并应征得该自然人或者其监护人同意,法律、行政法规另有规定的除外。
也就是说,未来在类似于王女士的案例中,举证责任将更多的落在银行方身上,而随着举证责任的重新分配,也许传统借贷机构放款时,“身份证照片和本人看起来差不多”就不再能成为审核通过的理由。而银行最终败诉,也是因为没能提供足够有力的证明——王女士办理涉案业务时进行人脸识别比对的完整影像源。
“在现场办理手续时留下的痕迹有很多,如从外部进入银行的柜台,应该会有公共场合安保监控留下的记录。”浙江垦丁律师事务所创始合伙人麻策评论,“如果银行不能拿出足够的证据,那应该自身承担举证不利的后果。”
“由于在信息处理过程中,信息主体对于信息处理者如何处理信息并不了解,让其承担信息处理者信息处理行为违法的证明责任,将面临知识和信息上的障碍。”中国人民大学法学院教授 朱虎指出,“将举证责任分配给更容易提供证据证明其处理行为合法的信息处理者,更有利于强化信息主体权益保护的同时,不会不当增加信息处理者负担,也符合民事诉讼法中举证责任分配的便利性原则。”
另外,麻策认为,随着《个人信息保护法》将在11月开始实行,所有的举证责任都可能出现一些“反转”——“过去我们会比较注重个人的举证,以此来证明企业是否(在案件中)有责任。但现在个人保护领域可能更倾向用过错推进举证。”
“这就意味着,在个人信息受到损害的情况下,相关企业需要先证明自己有尽到个体信息保护的责任。包括搜集信息时是否有尽到告知义务,签署的相关协议是否合规,而在保存这些信息的过程中是否对敏感信息进行更严格的保护等等。“麻策说,”这样的改变可能会重塑各行业整体的信息收集、应用和保护过程,而其中下到小区、物业等具有公共属性的生活场景,上到金融机构都会受到影响。“