上接08版记者观察
银行安全防护应高于犯罪手段
　　储户账户被盗刷，谁该负责？
　　翻阅中国裁判文书网，以“借记卡纠纷”为名的案件大多因盗刷而起，法院判罚大多聚焦于两点：一、储户有无做到妥善保护密码；二、银行有没有完善的安全防护手段。
　　一则早期案例显示，某储户的银行卡被犯罪分子伪造后，在异地盗刷，最后法院认为，银行应保证银行卡具有唯一性和不可复制性，其未能采取技术手段防范银行卡被复制或伪造，故其应当对发行的银行卡存在安全漏洞、技术风险承担责任。
　　银行的防护能力关系到储户的资金安全，当银行业务逐步转移至线上时，判责的逻辑并不应该发生变化。
　　但现实问题是，生物识别认证还没有形成统一的标准，银行使用人脸识别却已相当普遍，各家银行的技术能力参差不齐，在风险防控方面也面临着诸多挑战。《IT时报》曾多次报道因生物识别技术不完善导致真假莫辨，或者因个人生物信息泄露导致存在长期风险的案例。2021年10月，清华大学的一个团队，仅用一副框架眼镜、一张A4纸，便成功解锁了19款安卓手机。
　　当手机的生物识别系统并不是“固若金汤”时，银行允许甚至推荐用户将其作为支付、转账等关键操作的密码时，可能产生风险，谁来承担责任？记者在登录某些银行App时，便多次被主动询问，是否要使用面容ID登录或支付。
　　清华大学法学院教授劳东燕曾表示，由于相应风险是银行引进人脸识别所导致，也即银行参与了风险的创设，在法律上，谁创设风险，谁原则上就应当对风险现实化的结果承担责任；其次银行在相关业务领域里获益最大，理应承担与获益相称的风险责任；再次，银行防范风险的能力比个人更强，能力越强者责任越大。她建议，全国人大及其常委会有必要考虑对生物识别信息进行单独立法，不应放在《个人信息保护法》的框架下来进行保护。“如果真的是因为光大银行在转账过程中，只是比对机主生物信息而非卡主生物信息造成用户财产损失，银行的责任更大些。”上述银行业人士向《IT时报》记者表示，对于金融机构来说，远程交易过程中的生物识别是其面临的一大课题。在生物识别验证方面，金融行业应建立统一的标准，技术水平各不相同的银行可以参照执行。此外，风险防控是一种立体的思维方式，银行需要通过技术手段加强一整套风险监测、风险处置的流程。
　　对于银行而言，使用生物信息对用户进行验证，前提是对生物信息的验证和保护必须超过一般的犯罪技术手段，否则，用户财产不翼而飞的事态将会更加严峻。