自我國全面開啟網絡實名制以來,身份證就成為日常生活中必不可少的“通行證”。你是否也會為了查看和取用方便,而習慣于在手機相冊中保存自己的身份證件?
近日,一位網友在小紅書上發文稱接到了國家反詐中心的電話,得知有人盜用自己的身份信息注冊了小額貸款,目前已被警方成功攔截。帖子寫道,這位網友曾在手機上下載一款名為“筆趣閣”的盜版小說App,該App監控其手機并從相冊中獲取了身份證,再利用攝像頭得到網友的人臉信息去注冊小額貸款。
這種操作手段在技術上是否行得通?侵權App可能要承擔哪些法律責任?作為用戶又該如何防范?有專家表示,這種操作是可行的,部分貸款公司通過活體識別進行用戶身份驗證時的不嚴謹給了不法分子可乘之機;而防范此類情況出現“最直接最好用”的辦法就是不輕易同意App的權限申請。
1
一網友被盜用身份證照和人臉后又“被貸款”
近日,一位昵稱為“溫溫”的網友在小紅書上發帖稱接到了國家反詐中心的電話,得知自己的個人信息被盜用并注冊了小額貸款。原來,這名網友曾長期在一款名為“筆趣閣”的App上閱讀盜版小說,該App監控其手機并從相冊中獲取了身份證,再利用攝像頭獲取“溫溫”的人臉信息進行刷臉注冊了小額貸款。
“警察叔叔已經幫我攔截下來了,App我也卸載了。”“溫溫”在帖子中感慨時還顯得心有余悸,“真沒想到它是一個這樣的App,還好有國家的幫忙,不然后果不堪設想。”
發布于小紅書上的帖子
“基本上大家都會留身份證在相冊”“我還單獨有個文件夾是所有證件”“小額貸款軟件居然只用身份證圖片和刷臉就可以貸出錢”……帖子發出后便引起了廣泛關注,還被轉載至微博等其它平臺。不少網友表示,為備不時之需,一直有在相冊中保存身份證照片的習慣,此時紛紛感慨“這也太嚇人了,防不勝防”。
身份證作為證明持有人身份的一種法定證件,在日常生活中的重要性不言而喻,戶口登記、入學就業、信貸公證等都離不開它。南都·隱私護衛隊梳理發現,因相冊內身份證照片被盜用而蒙受財產損失的事件近年來并不少見,除了盜用個人信息后去注冊小額貸款,還有受害者的電子賬戶直接被盜刷大筆錢款的先例。
據報道,去年4月,河北省石家莊市平山縣公安局就曾破獲一起類似案件。當事人李先生在乘坐網約車時不慎遺失手機,司機在撿到后翻看手機相冊,發現了李先生的身份證照片,于是利用身份證信息,通過手機驗證碼將其支付寶密碼更改,在賬戶中盜刷近三萬元。
2019年10月,浙江寧波的馮先生在遺失手機后發現自己的銀行卡被轉走一萬多元。警方調查發現,系撿到手機的嫌疑人在翻看馮先生手機相冊時發現了其身份證照片以及銀行卡照片,于是利用上面的信息修改了銀行卡的支付密碼,將卡內的錢轉出。
2
貸款審核不嚴隱患大,App涉多種法律責任
App通過監控用戶手機,從相冊中獲取其身份證,又利用攝像頭刷臉注冊小額貸款,這種手段在技術上是否可行?該事件中筆趣閣App存在哪些侵權行為?可能要承擔哪些法律責任?用戶又該如何進行防范?
北京漢華飛天信安科技有限公司總經理彭根就此事表示,這種操作在技術上是可行的,但實現的前提是該App需具備較高的權限——即用戶曾授予App讀取相冊和照相機的權限。他直言,在操作系統層面,目前幾乎不存在用戶明確拒絕授權后App還能讀取相關信息的情況。
彭根還強調,小額貸款公司身份驗證程序的不嚴謹給了不法分子可乘之機。他指出,這類貸款公司進行身份驗證通常需要身份證照片和活體識別(身份驗證場景中通過眨眼、張嘴等動作確定對方為真實活體本人操作的方法),而這些公司采用的識別技術大多較為低級,很容易就能被不法分子“蒙混過關”。
他進一步解釋,首先,活體識別大多需通過眨眼、轉頭、張嘴等動作來驗證,而用戶在使用手機時,照相機通常不會正對其面部,而是存在一定的傾斜。其次,活體識別還需將人的面部擺放端正,與手機持平行狀態時才能很好地識別。
“App通過監控用戶手機要實現這一點其實挺難的,因為攝像頭對著的臉并不會像拍證件照一樣標準。”彭根指出,正規貸款平臺都需經過嚴格的活體識別,這類小額貸款公司不嚴謹的要求讓不法分子鉆了空子,“可能只要一張(人臉)照片再加一張身份證照片就給你放貸了。”
北京網絡行業協會法律委員會副主任王琮瑋向南都·隱私護衛隊分析,這款App在該事件中可能涉及多方面的法律責任。
她指出,如果該App讀取用戶相冊和照相機的行為與其提供的服務無關,即使有用戶授權,也涉嫌侵犯公民個人信息的合法權利,需承擔相應的民事責任;而從行政管理的角度來看,其超出合法性、正當性和必要性原則獲取公民個人信息的行為也要受到行政處罰。
“如果(App)獲取的用戶個人信息量比較大的話,還可能會構成刑事責任。”在王琮瑋看來,若App存在破解用戶手機或相冊上的防護措施來讀取相關信息的情況,還可能涉嫌破壞計算機信息系統罪或非法侵入計算機信息系統罪等刑事犯罪。“即使不構成刑事犯罪,也可能受到行政拘留、行政罰款等治安處罰。”
此外,王琮瑋還指出,不法分子盜用他人身份信息進行借貸,對小額貸款公司而言屬于“上當受騙”,如果數額達到刑事立案標準就可能構成詐騙罪。“如果涉案金額少的話,有可能是民事責任,比如說民事上的欺詐。”
談及貸款公司在該事件中的法律責任,她直言,如果在放貸環節中沒有過錯,小額貸款公司就屬于被欺詐的對象,在貸款無法收回的情況下屬于受害一方,無需承擔法律責任。然而,若其事先知道App運營主體有違法行為,并且合作完成了放貸流程,可能要與該App共同承擔民事或刑事責任。
不輕易同意權限申請“最直接3 最好用”用”
該網友的帖子在網絡上發酵后,評論區表示感到震驚、憤怒以及無奈的感慨占據了大多數。同時,也有不少網友在積極探討防范對策。
“別留在相冊,實在要用去支付寶截屏”“可以以pdf的形式存在文件夾里面,不要以圖片的形式”“放隱藏相冊里,App沒權限調用吧”……在分享經驗的網友中,“不要在相冊里存身份信息”的呼聲占據了主流。
對此,彭根給出了四點建議。
首先,用戶要在正規應用市場下載App,不要下載來路不明的盜版。“網上有一些視頻類、小說類App需要會員充值才能看到全部,如果去找它們的各種去會員版、免費版、破解版來用,是很容易出問題的。”
其次,不要在手機相冊內存儲身份證、房產證、學歷證,戶口本等包含敏感個人信息的重要證件照片,這種情況存在一定風險。而“最直接和最好用的辦法”就是不要輕易同意App的權限申請,“現在華為、蘋果、小米等品牌手機都有記錄App活動的功能了,如果發現其中有不想給的權限,把它關掉就可以了。”
南都個人信息保護研究中心曾在《個人信息安全年度報告(2021)》中提到,在被測評的150款App中,有89款都在用戶首次使用App時彈窗申請了超出其基本功能服務的非必要權限,占比近六成。30款App在用戶明確拒絕某權限后,仍然頻繁征求用戶同意使用該權限,甚至個別App在用戶連續拒絕11次后彈窗才消失。
這也意味著,向用戶申請非必要權限和變相“強制”獲取權限的情況在當下App市場并不鮮見,用戶通常會因難以忍受多至十幾次的連續彈窗申請而迫于無奈選擇同意授權,這便給了App可乘之機。
王琮瑋在談及用戶防范話題時指出,當下有關收集和使用個人信息的法律法規已經很多,但用戶在自己個人信息被侵犯時卻往往“后知后覺”。她認為,當下人們“很難能夠及時去發現自己的信息什么時候被非法獲取和使用了”,應在立法和監管層面建立起相關渠道,保障公民的知情權。
從用戶角度,王琮瑋認為防范的難度較大。她建議由手機的應用廠商對其內置軟件采取一些安全措施,對用戶下載的應用進行實時監控,因為“如果只靠用戶這些個體而不是靠計算機程序,是很難發現的。”
采寫:南都見習記者 樊文揚
