自我国全面开启网络实名制以来,身份证就成为日常生活中必不可少的“通行证”。你是否也会为了查看和取用方便,而习惯于在手机相册中保存自己的身份证件?
近日,一位网友在小红书上发文称接到了国家反诈中心的电话,得知有人盗用自己的身份信息注册了小额贷款,目前已被警方成功拦截。帖子写道,这位网友曾在手机上下载一款名为“笔趣阁”的盗版小说App,该App监控其手机并从相册中获取了身份证,再利用摄像头得到网友的人脸信息去注册小额贷款。
这种操作手段在技术上是否行得通?侵权App可能要承担哪些法律责任?作为用户又该如何防范?有专家表示,这种操作是可行的,部分贷款公司通过活体识别进行用户身份验证时的不严谨给了不法分子可乘之机;而防范此类情况出现“最直接最好用”的办法就是不轻易同意App的权限申请。
1
一网友被盗用身份证照和人脸后又“被贷款”
近日,一位昵称为“温温”的网友在小红书上发帖称接到了国家反诈中心的电话,得知自己的个人信息被盗用并注册了小额贷款。原来,这名网友曾长期在一款名为“笔趣阁”的App上阅读盗版小说,该App监控其手机并从相册中获取了身份证,再利用摄像头获取“温温”的人脸信息进行刷脸注册了小额贷款。
“警察叔叔已经帮我拦截下来了,App我也卸载了。”“温温”在帖子中感慨时还显得心有余悸,“真没想到它是一个这样的App,还好有国家的帮忙,不然后果不堪设想。”
发布于小红书上的帖子
“基本上大家都会留身份证在相册”“我还单独有个文件夹是所有证件”“小额贷款软件居然只用身份证图片和刷脸就可以贷出钱”……帖子发出后便引起了广泛关注,还被转载至微博等其它平台。不少网友表示,为备不时之需,一直有在相册中保存身份证照片的习惯,此时纷纷感慨“这也太吓人了,防不胜防”。
身份证作为证明持有人身份的一种法定证件,在日常生活中的重要性不言而喻,户口登记、入学就业、信贷公证等都离不开它。南都·隐私护卫队梳理发现,因相册内身份证照片被盗用而蒙受财产损失的事件近年来并不少见,除了盗用个人信息后去注册小额贷款,还有受害者的电子账户直接被盗刷大笔钱款的先例。
据报道,去年4月,河北省石家庄市平山县公安局就曾破获一起类似案件。当事人李先生在乘坐网约车时不慎遗失手机,司机在捡到后翻看手机相册,发现了李先生的身份证照片,于是利用身份证信息,通过手机验证码将其支付宝密码更改,在账户中盗刷近三万元。
2019年10月,浙江宁波的冯先生在遗失手机后发现自己的银行卡被转走一万多元。警方调查发现,系捡到手机的嫌疑人在翻看冯先生手机相册时发现了其身份证照片以及银行卡照片,于是利用上面的信息修改了银行卡的支付密码,将卡内的钱转出。
2
贷款审核不严隐患大,App涉多种法律责任
App通过监控用户手机,从相册中获取其身份证,又利用摄像头刷脸注册小额贷款,这种手段在技术上是否可行?该事件中笔趣阁App存在哪些侵权行为?可能要承担哪些法律责任?用户又该如何进行防范?
北京汉华飞天信安科技有限公司总经理彭根就此事表示,这种操作在技术上是可行的,但实现的前提是该App需具备较高的权限——即用户曾授予App读取相册和照相机的权限。他直言,在操作系统层面,目前几乎不存在用户明确拒绝授权后App还能读取相关信息的情况。
彭根还强调,小额贷款公司身份验证程序的不严谨给了不法分子可乘之机。他指出,这类贷款公司进行身份验证通常需要身份证照片和活体识别(身份验证场景中通过眨眼、张嘴等动作确定对方为真实活体本人操作的方法),而这些公司采用的识别技术大多较为低级,很容易就能被不法分子“蒙混过关”。
他进一步解释,首先,活体识别大多需通过眨眼、转头、张嘴等动作来验证,而用户在使用手机时,照相机通常不会正对其面部,而是存在一定的倾斜。其次,活体识别还需将人的面部摆放端正,与手机持平行状态时才能很好地识别。
“App通过监控用户手机要实现这一点其实挺难的,因为摄像头对着的脸并不会像拍证件照一样标准。”彭根指出,正规贷款平台都需经过严格的活体识别,这类小额贷款公司不严谨的要求让不法分子钻了空子,“可能只要一张(人脸)照片再加一张身份证照片就给你放贷了。”
北京网络行业协会法律委员会副主任王琮玮向南都·隐私护卫队分析,这款App在该事件中可能涉及多方面的法律责任。
她指出,如果该App读取用户相册和照相机的行为与其提供的服务无关,即使有用户授权,也涉嫌侵犯公民个人信息的合法权利,需承担相应的民事责任;而从行政管理的角度来看,其超出合法性、正当性和必要性原则获取公民个人信息的行为也要受到行政处罚。
“如果(App)获取的用户个人信息量比较大的话,还可能会构成刑事责任。”在王琮玮看来,若App存在破解用户手机或相册上的防护措施来读取相关信息的情况,还可能涉嫌破坏计算机信息系统罪或非法侵入计算机信息系统罪等刑事犯罪。“即使不构成刑事犯罪,也可能受到行政拘留、行政罚款等治安处罚。”
此外,王琮玮还指出,不法分子盗用他人身份信息进行借贷,对小额贷款公司而言属于“上当受骗”,如果数额达到刑事立案标准就可能构成诈骗罪。“如果涉案金额少的话,有可能是民事责任,比如说民事上的欺诈。”
谈及贷款公司在该事件中的法律责任,她直言,如果在放贷环节中没有过错,小额贷款公司就属于被欺诈的对象,在贷款无法收回的情况下属于受害一方,无需承担法律责任。然而,若其事先知道App运营主体有违法行为,并且合作完成了放贷流程,可能要与该App共同承担民事或刑事责任。
不轻易同意权限申请“最直接3 最好用”用”
该网友的帖子在网络上发酵后,评论区表示感到震惊、愤怒以及无奈的感慨占据了大多数。同时,也有不少网友在积极探讨防范对策。
“别留在相册,实在要用去支付宝截屏”“可以以pdf的形式存在文件夹里面,不要以图片的形式”“放隐藏相册里,App没权限调用吧”……在分享经验的网友中,“不要在相册里存身份信息”的呼声占据了主流。
对此,彭根给出了四点建议。
首先,用户要在正规应用市场下载App,不要下载来路不明的盗版。“网上有一些视频类、小说类App需要会员充值才能看到全部,如果去找它们的各种去会员版、免费版、破解版来用,是很容易出问题的。”
其次,不要在手机相册内存储身份证、房产证、学历证,户口本等包含敏感个人信息的重要证件照片,这种情况存在一定风险。而“最直接和最好用的办法”就是不要轻易同意App的权限申请,“现在华为、苹果、小米等品牌手机都有记录App活动的功能了,如果发现其中有不想给的权限,把它关掉就可以了。”
南都个人信息保护研究中心曾在《个人信息安全年度报告(2021)》中提到,在被测评的150款App中,有89款都在用户首次使用App时弹窗申请了超出其基本功能服务的非必要权限,占比近六成。30款App在用户明确拒绝某权限后,仍然频繁征求用户同意使用该权限,甚至个别App在用户连续拒绝11次后弹窗才消失。
这也意味着,向用户申请非必要权限和变相“强制”获取权限的情况在当下App市场并不鲜见,用户通常会因难以忍受多至十几次的连续弹窗申请而迫于无奈选择同意授权,这便给了App可乘之机。
王琮玮在谈及用户防范话题时指出,当下有关收集和使用个人信息的法律法规已经很多,但用户在自己个人信息被侵犯时却往往“后知后觉”。她认为,当下人们“很难能够及时去发现自己的信息什么时候被非法获取和使用了”,应在立法和监管层面建立起相关渠道,保障公民的知情权。
从用户角度,王琮玮认为防范的难度较大。她建议由手机的应用厂商对其内置软件采取一些安全措施,对用户下载的应用进行实时监控,因为“如果只靠用户这些个体而不是靠计算机程序,是很难发现的。”
采写:南都见习记者 樊文扬