李紅（化名）萬(wàn)萬(wàn)沒(méi)想到，詐騙人員從她的交通銀行卡偷走近43萬(wàn)元，如入無(wú)人之境。

要想從交通銀行卡中轉(zhuǎn)賬，需要用戶在手機(jī)銀行App上進(jìn)行人臉識(shí)別，并進(jìn)行短信驗(yàn)證。李紅陷入了詐騙分子的圈套，她的手機(jī)短信被攔截，手機(jī)號(hào)被設(shè)置了呼叫轉(zhuǎn)移，令她的驗(yàn)證碼落入他人手中，且無(wú)法接聽(tīng)銀行的確認(rèn)電話。

【資料圖】

更嚴(yán)重的是，“人臉識(shí)別”被攻破了。銀行系統(tǒng)后臺(tái)顯示，在進(jìn)行密碼重置和大額轉(zhuǎn)賬時(shí)，“李紅”進(jìn)行了6次人臉識(shí)別比對(duì)，均顯示“活檢成功”。

那幾次人臉識(shí)別并不是身在北京的李紅本人操作，登錄者的IP地址顯示在臺(tái)灣。當(dāng)李紅本人登錄手機(jī)銀行時(shí)，卡里的錢已被悉數(shù)轉(zhuǎn)走。她去派出所報(bào)案，警察很快認(rèn)定她遭遇了電信詐騙，并立案?jìng)刹椤?/p>

既然不是本人操作，為何還能“活檢成功”？李紅懷疑交通銀行人臉識(shí)別系統(tǒng)的安全性，并以“借記卡糾紛”為由將交通銀行告上法庭，要求賠償。

圖/IC

2022年6月30日，北京市豐臺(tái)區(qū)人民法院一審駁回了李紅的全部訴求。她準(zhǔn)備繼續(xù)上訴。

每個(gè)人只有一張臉，因其不易被仿冒，人臉識(shí)別被認(rèn)為具有較高安全性，近年來(lái)被普遍適用于銀行驗(yàn)證中，用來(lái)保障資金安全。但超出普通人認(rèn)知的是，人臉具有唯一性的生物識(shí)別信息，是敏感個(gè)人信息，它裸露在無(wú)處不在的攝像頭下，極易獲得。在如今人臉識(shí)別系統(tǒng)并不成熟的情況下，用合成活動(dòng)人臉騙過(guò)審核系統(tǒng)的案例屢見(jiàn)不鮮。

長(zhǎng)期關(guān)注個(gè)人信息保護(hù)的專家，都對(duì)人臉識(shí)別的濫用充滿憂慮。清華大學(xué)法學(xué)院教授勞東燕指出，從制度框架的合理設(shè)定來(lái)考慮，制造更多風(fēng)險(xiǎn)、獲取更多收益的一方，理應(yīng)承擔(dān)更多的風(fēng)險(xiǎn)與責(zé)任，“人臉識(shí)別是銀行引進(jìn)的，其是作為風(fēng)險(xiǎn)制造的參與方，通過(guò)這種方式銀行也獲益更多，應(yīng)該承擔(dān)和其所獲收益成比例的風(fēng)險(xiǎn)責(zé)任”。

她還指出，隨著人工智能的發(fā)展，詐騙手段科技含量更高，銀行應(yīng)當(dāng)與時(shí)俱進(jìn)，使其安保技術(shù)超過(guò)犯罪手段的技術(shù)。如果銀行因人臉識(shí)別技術(shù)存在的漏洞而相應(yīng)承擔(dān)責(zé)任，會(huì)有助于敦促銀行堵住技術(shù)上的安全漏洞，對(duì)可能發(fā)生的詐騙犯罪起到預(yù)防作用。

被騙42.9萬(wàn)元

從接通電話那刻起，李紅就陷入“協(xié)助破案”的迷局中。那是2021年6月19日上午10：30，電話那頭自稱“北京市公安局戶政科陳杰警官”的人告訴李紅，她的護(hù)照此前在哈爾濱涉嫌非法入境，讓她向哈爾濱市公安局報(bào)案。對(duì)方輕易地報(bào)出了李紅身份證號(hào)，這令她開(kāi)始相信電話那頭的“警官”。

李紅被轉(zhuǎn)接給哈爾濱市公安局的“劉警官”。對(duì)方告訴她，她涉嫌“李燕反洗錢案”，并讓她登錄一個(gè)網(wǎng)站查看“公文”。李紅用手機(jī)登錄對(duì)方提供的網(wǎng)站后，發(fā)現(xiàn)在一張藍(lán)底的“通緝公告”上，印著自己的身份證照片、身份證號(hào)等戶籍信息。

這令她陷入恐慌，因?yàn)樵谒匠５恼J(rèn)知中，這些信息只有公安內(nèi)部的人才能獲得。接下來(lái)，她對(duì)“警官”的指揮百依百順。按照指示，她從網(wǎng)站下載了“公安防護(hù)”軟件和視頻會(huì)議軟件“矚目”。

“公安防護(hù)”是一款詐騙人員常用的“李鬼”手機(jī)軟件，其設(shè)計(jì)模仿“國(guó)家反詐中心”，如果受害者在里面輸入銀行卡和密碼，詐騙人員就可在后臺(tái)獲取這些信息。

而“矚目”雖然是普通的視頻會(huì)議軟件，但提供共享屏幕功能。在“劉警官”的要求下，李紅通過(guò)“矚目”，向?qū)Ψ焦蚕砹俗约旱氖謾C(jī)屏幕，令其掌握了她安裝的App種類信息，對(duì)方還通過(guò)這項(xiàng)功能遠(yuǎn)程操控她的手機(jī)，令她的手機(jī)號(hào)設(shè)置了呼叫轉(zhuǎn)移，無(wú)法接收短信和電話。

最容易被忽略的是“露臉”。對(duì)方告訴李紅，為了驗(yàn)證她是本人操作，她要通過(guò)“矚目”開(kāi)啟會(huì)議模式，于是李紅的人臉信息輕易暴露在對(duì)方面前。這也成為對(duì)方實(shí)施詐騙的關(guān)鍵一環(huán)。

李紅始終沒(méi)能掛斷電話，“劉警官”故意令她與外界隔絕。下午13：46，按照要求，李紅趕到交通銀行北京長(zhǎng)辛店支行，開(kāi)設(shè)了一張借記卡。銀行開(kāi)卡記錄顯示，李紅預(yù)留了自己的手機(jī)號(hào)，并允許借記卡通過(guò)“網(wǎng)上銀行、手機(jī)銀行、自助設(shè)備”三種方式轉(zhuǎn)賬，也允許這張卡進(jìn)行境外取現(xiàn)和消費(fèi)，但在其他功能中，她選擇了“小額免密免簽不開(kāi)通”。

這意味著，當(dāng)她進(jìn)行5萬(wàn)元以內(nèi)的轉(zhuǎn)賬時(shí)，仍需要驗(yàn)證。此外，李紅還設(shè)置了轉(zhuǎn)賬限額，每日只能累計(jì)轉(zhuǎn)賬5萬(wàn)元。

在辦理借記卡的過(guò)程中，交通銀行向李紅發(fā)放《北京市公安局防范電信詐騙安全提示單》。這份提示單中，載明了業(yè)務(wù)類型為“開(kāi)通網(wǎng)銀或手機(jī)銀行”，并提示她可能存在有冒充公檢法的人員，以打電話的方式告知她涉及案件，要求她向?qū)Ψ教峁┑馁~號(hào)轉(zhuǎn)賬，或是告知網(wǎng)銀密碼。李紅在這份提示單上簽字。

李紅剛剛辦好的借記卡，這張卡就被詐騙人員所掌控了。銀行后臺(tái)顯示，當(dāng)天13：51，即李紅開(kāi)卡15分鐘后，就有詐騙人員通過(guò)人臉識(shí)別驗(yàn)證，重置了李紅的用戶名和密碼，登錄了她的手機(jī)銀行。但李紅對(duì)此并不知情，她正按照“劉警官”的要求，為了“清查個(gè)人財(cái)產(chǎn)”，向卡轉(zhuǎn)入所有積蓄，以及所有能夠貸款獲得的現(xiàn)金。

交易記錄顯示，14：06至14：09，李紅向這張卡轉(zhuǎn)賬5筆共計(jì)25萬(wàn)元，14：11和14：13，又分兩筆轉(zhuǎn)入5萬(wàn)元，此時(shí)李紅卡內(nèi)已有30萬(wàn)元。短短幾分鐘后，14：20詐騙人員就通過(guò)掌握的李紅的手機(jī)銀行，將這30萬(wàn)元轉(zhuǎn)了出去。此后在14：30，李紅又向卡內(nèi)匯入12.9萬(wàn)元，這些錢在14：40被悉數(shù)轉(zhuǎn)出。至此詐騙人員轉(zhuǎn)走了李紅42.9萬(wàn)元。

詐騙人員掌握了李紅的“人臉識(shí)別+動(dòng)態(tài)密碼”后，通過(guò)修改密碼，登錄了她的手機(jī)銀行，此后便如入無(wú)人之境，即使李紅設(shè)置了每日5萬(wàn)元轉(zhuǎn)賬限額，也在詐騙人員登錄后被輕易修改，之后每筆大額轉(zhuǎn)賬也都通過(guò)“人臉識(shí)別+動(dòng)態(tài)密碼”驗(yàn)證通過(guò)。

交通銀行北京長(zhǎng)辛店支行在法庭上回應(yīng)稱，“交易密碼、動(dòng)態(tài)密碼以及輔助人臉識(shí)別的客戶鑒別模式”符合監(jiān)管要求，并且在李紅轉(zhuǎn)賬過(guò)程中，銀行對(duì)她進(jìn)行了風(fēng)險(xiǎn)提示，包括通過(guò)運(yùn)營(yíng)商向她發(fā)送了短信密碼、短信風(fēng)險(xiǎn)提示，以及在內(nèi)部系統(tǒng)大數(shù)據(jù)分析發(fā)現(xiàn)異常后，撥打了李紅的手機(jī)，對(duì)轉(zhuǎn)賬人身份及轉(zhuǎn)賬情況進(jìn)行核實(shí)。

但李紅稱，對(duì)于銀行所稱發(fā)送了22條短信密碼及短信風(fēng)險(xiǎn)提示，她只收到了其中的11條，而銀行的來(lái)電她并未接到。這背后的原因在于她的短信被詐騙人員攔截，電話也呼叫轉(zhuǎn)移到了詐騙人員的手機(jī)上。

銀行提供的通話錄音顯示，在當(dāng)天14：23，在詐騙人員正將李紅銀行卡中的30萬(wàn)元轉(zhuǎn)出時(shí)，銀行客服撥通李紅預(yù)留的手機(jī)號(hào)，詢問(wèn)對(duì)方是否是李紅本人、轉(zhuǎn)賬是否本人操作、收款人信息、與收款人的關(guān)系、轉(zhuǎn)賬的用途等，接電話的人均認(rèn)可系本人操作，還稱與收款人是朋友關(guān)系。

下午16：00，李紅察覺(jué)到“劉警官”的反常態(tài)度，她在16：39用自己的手機(jī)首次登錄了手機(jī)銀行，卻發(fā)現(xiàn)錢已被盜刷，她意識(shí)到自己被騙，前往派出所報(bào)警，并聯(lián)系銀行掛失銀行卡。

銀行出具的通話錄音顯示，當(dāng)天17：08至17：25，銀行三次撥通李紅預(yù)留的手機(jī)號(hào)，接電話的人起先稱自己是李紅，認(rèn)可辦理過(guò)業(yè)務(wù)，否認(rèn)辦理銀行卡掛失，但后來(lái)否認(rèn)自己是李紅，稱客服“打錯(cuò)了”。

銀行后臺(tái)記錄顯示，詐騙人員“假人臉”6次操作，均顯示活檢結(jié)果成功。圖/受訪者提供

蹊蹺的“活檢成功”

民警追查到，2021年6月19日在13：51至14：42之間，李紅手機(jī)銀行登錄者的IP地址在臺(tái)灣，使用的設(shè)備是摩托羅拉XT1686，而當(dāng)時(shí)李紅在北京，她的手機(jī)型號(hào)是小米8。

銀行后臺(tái)記錄顯示，李紅的借記卡在6月19日那天共有7次操作涉及人臉識(shí)別，均顯示識(shí)別成功通過(guò)，其中1次為借記卡申請(qǐng)，1次為登錄密碼重置，5次為大額轉(zhuǎn)賬，除了第一次不涉及活檢，后6次操作“活檢結(jié)果”均為成功。

李紅并未親自操作，為何6次“活檢結(jié)果”均為成功？李紅的丈夫馬躍（化名）在金融系統(tǒng)工作多年，他成為妻子起訴交通銀行的代理人。他告訴《中國(guó)新聞周刊》，銀行定下的“人臉識(shí)別+短信驗(yàn)證碼”的驗(yàn)證模式，其本質(zhì)目的在于確保由用戶本人親自操作轉(zhuǎn)賬，他妻子在完全不知情的情況下，被詐騙人員從賬戶中轉(zhuǎn)走錢，銀行應(yīng)當(dāng)承擔(dān)保管不力的責(zé)任。

“這就好比，本來(lái)約定需要我本人去銀行才可以轉(zhuǎn)賬匯款，現(xiàn)在別人假冒我去銀行，銀行沒(méi)有發(fā)現(xiàn)，那么造成的損失不應(yīng)該由我完全承擔(dān)?！彼J(rèn)為，銀行與儲(chǔ)戶之間的關(guān)系是債權(quán)關(guān)系，銀行受騙，不應(yīng)讓儲(chǔ)戶承擔(dān)全部責(zé)任。

李紅以“借記卡糾紛”為案由起訴交通銀行后，要求銀行賠償存款損失，但北京市豐臺(tái)區(qū)人民法院一審駁回了她的訴求。

法院認(rèn)為，李紅在42.9萬(wàn)元被盜過(guò)程中“過(guò)錯(cuò)明顯”，交通銀行作為指令付款方，已通過(guò)多個(gè)登錄密碼、驗(yàn)證碼、人臉識(shí)別的合理方式識(shí)別使用人身份，未見(jiàn)存在明顯的錯(cuò)誤或過(guò)失。

馬躍認(rèn)為，李紅在北京剛辦理了借記卡，緊接著IP地址在臺(tái)灣的詐騙人員就能用不同的設(shè)備登錄，并頻繁操作大額轉(zhuǎn)賬，如此異常的操作，銀行本應(yīng)該識(shí)別出轉(zhuǎn)賬的非儲(chǔ)戶本人。

李紅的遭遇并非孤例。早在2020年10月，浙江的趙女士就遭遇了同樣的騙局，她的經(jīng)歷曾經(jīng)被杭州本地媒體報(bào)道。趙女士講述，在與假冒警察的犯罪分子視頻時(shí)，對(duì)方曾要求她做“張嘴”“眨眼”“搖頭”等動(dòng)作，疑似通過(guò)錄像來(lái)騙過(guò)銀行的人臉識(shí)別系統(tǒng)。

聯(lián)系上趙女士之后，馬躍又聯(lián)系到4名同樣的受騙者，他們6人都遭遇了同樣的詐騙套路，涉案金額超過(guò)200萬(wàn)元。

這6名受害者都為女性，受騙時(shí)間最晚的在2021年10月。她們都生活在大都市，具備一定知識(shí)水平，多人具備研究生學(xué)歷，還有人就是律師。

交通銀行的人臉識(shí)別服務(wù)商為北京眼神科技有限公司（下稱“眼神科技公司”）。這家公司成立于2016年6月，其創(chuàng)始人、董事長(zhǎng)兼CEO周軍曾公開(kāi)表示，其研究的“生物密碼”，令“用戶到哪里密碼就跟隨到哪里”“只有本人可用”。

其官網(wǎng)介紹，眼神科技是業(yè)內(nèi)較早將指紋識(shí)別、人臉識(shí)別、虹膜識(shí)別等生物識(shí)別技術(shù)引入金融行業(yè)的AI企業(yè)，在金融行業(yè)，其目前已服務(wù)于中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行、中國(guó)銀行、中國(guó)建設(shè)銀行、交通銀行、郵儲(chǔ)銀行、招商銀行、民生銀行等近150家銀行機(jī)構(gòu)，客戶覆蓋率達(dá)80％，實(shí)現(xiàn)柜面內(nèi)外應(yīng)用、手機(jī)銀行、自助銀行、風(fēng)控管理等金融業(yè)務(wù)場(chǎng)景的全面覆蓋。

2020年9月，眼神科技公司宣布中標(biāo)交通銀行人臉識(shí)別項(xiàng)目，向交通銀行全行提供人臉識(shí)別產(chǎn)品，“在現(xiàn)金管理、支付結(jié)算及賬戶管理等業(yè)務(wù)場(chǎng)景中實(shí)現(xiàn)人臉活檢及身份識(shí)別功能”。

在2021年9月，李紅和其他女性被詐騙報(bào)案后，交通銀行曾公告停用過(guò)人臉識(shí)別。這不久，馬躍就發(fā)現(xiàn)交通銀行手機(jī)銀行系統(tǒng)進(jìn)行了改版升級(jí)。但在這年10月，仍有一名受害人的交通銀行賬戶被假人臉攻破。

目前，在交通銀行手機(jī)銀行用戶協(xié)議中，人臉識(shí)別技術(shù)提供方仍是眼神科技公司，記者就此事聯(lián)系了這家公司，但對(duì)方未給予答復(fù)。

板子該打在誰(shuí)身上？

人臉識(shí)別系統(tǒng)被攻破，銀行究竟有沒(méi)有責(zé)任？浙江理工大學(xué)法政學(xué)院副教授郭兵告訴《中國(guó)新聞周刊》，在李紅一案中，重點(diǎn)正是人臉識(shí)別系統(tǒng)被詐騙人員輕易攻破。

郭兵長(zhǎng)期關(guān)注人臉識(shí)別的安全性。他認(rèn)為，李紅的人臉信息有可能被詐騙人員仿造了，“詐騙人員掌握了她的人臉信息，通過(guò)技術(shù)手段可以生成動(dòng)態(tài)的人臉信息”。他說(shuō)，有一種人臉活化軟件，可分析照片和視頻中的人臉信息，生成一張可供人操控的“假人臉”，來(lái)騙過(guò)人臉識(shí)別軟件。

“我們的人臉識(shí)別技術(shù)不可能盡善盡美?！彼岢?，隨著人工智能的發(fā)展，人臉識(shí)別軟件和破解的活化軟件都在發(fā)展，要謹(jǐn)防“道高一尺魔高一丈”。

事實(shí)上，被廣泛應(yīng)用的人臉識(shí)別技術(shù)，其破解難度有時(shí)簡(jiǎn)單得出乎意料。郭兵說(shuō)，2019年，浙江有幾名小學(xué)生用照片破解了居民小區(qū)的快遞柜，輕易取走他人的快遞。而在2021年10月，清華大學(xué)的學(xué)生團(tuán)隊(duì)，僅用人臉照片就成功解鎖了20款手機(jī)。

“人臉的照片太容易獲得了。”郭兵說(shuō)，如果人臉識(shí)別系統(tǒng)用照片就能解鎖，在遍布攝像頭的當(dāng)下，可能預(yù)示著巨大的隱患。

“現(xiàn)在電信詐騙非常猖獗，盜用人臉信息的手段層出不窮，也給銀行的人臉識(shí)別系統(tǒng)帶來(lái)挑戰(zhàn)。”郭兵說(shuō)，近期學(xué)界也對(duì)活化軟件展開(kāi)了研究，“這都是釜底抽薪的手段”。

他更擔(dān)心的是，隨著技術(shù)的發(fā)展，犯罪分子可能掌握了照片，就可“活化”出動(dòng)態(tài)人臉，騙過(guò)人臉識(shí)別系統(tǒng)。

銀行的防護(hù)能力關(guān)系到儲(chǔ)戶的資金安全。郭兵認(rèn)為，應(yīng)當(dāng)對(duì)銀行的人臉識(shí)別系統(tǒng)提出更高的要求。

在立法層面上，對(duì)人臉信息的保護(hù)正在逐步加強(qiáng)。在李紅被詐騙幾個(gè)月后，《個(gè)人信息保護(hù)法》正式生效，其中突出了作為敏感個(gè)人信息的生物識(shí)別信息的特別保護(hù)，規(guī)定“處理個(gè)人敏感信息應(yīng)該進(jìn)行更多的告知，包括相應(yīng)的風(fēng)險(xiǎn)，以及應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意”。

在清華大學(xué)法學(xué)院教授勞東燕看來(lái)，銀行普遍存在變相強(qiáng)迫采集儲(chǔ)戶人臉信息的現(xiàn)象。她說(shuō)，“至少就我個(gè)人的體會(huì)，去銀行辦理存款等業(yè)務(wù)，人臉識(shí)別都是在強(qiáng)制之下弄的，如果不同意采集人臉就辦不了相應(yīng)業(yè)務(wù)?！?/p>

她告訴《中國(guó)新聞周刊》，盡管《個(gè)人信息保護(hù)法》強(qiáng)化了對(duì)人臉信息的保護(hù)，但這種強(qiáng)化其實(shí)只體現(xiàn)于征求同意的環(huán)節(jié)，其他地方和普通個(gè)人信息幾乎沒(méi)有差別，并沒(méi)有在實(shí)質(zhì)上抬高法律保護(hù)的門檻。

所以，她堅(jiān)持認(rèn)為，全國(guó)人大及其常委會(huì)有必要考慮對(duì)生物識(shí)別信息進(jìn)行單獨(dú)立法，不應(yīng)放在《個(gè)人信息保護(hù)法》的框架下來(lái)進(jìn)行保護(hù)。

她還提到，李紅在銀行辦卡時(shí)被要求簽署的《北京市公安局防范電信詐騙安全提示單》提示效果有限，“現(xiàn)在詐騙手段層出不窮，僅靠個(gè)人的警惕是很難防住的”。

在她看來(lái)，這個(gè)提示單對(duì)防范各種詐騙無(wú)法起到實(shí)質(zhì)性作用，當(dāng)儲(chǔ)戶被詐騙后，反而有可能起到讓銀行轉(zhuǎn)嫁責(zé)任的效果。

“防范和打擊犯罪，本應(yīng)由國(guó)家、銀行與相關(guān)單位承擔(dān)主要責(zé)任，現(xiàn)在越來(lái)越多變相地轉(zhuǎn)嫁到作為被害人的個(gè)人身上?！彼赋?，“過(guò)多地讓弱者承擔(dān)風(fēng)險(xiǎn)并不公平”。

勞東燕認(rèn)為，要防范此類詐騙犯罪，重要的是在制度框架層面重新來(lái)考慮合理分配風(fēng)險(xiǎn)的問(wèn)題。她說(shuō)，“風(fēng)險(xiǎn)跟責(zé)任有關(guān)，誰(shuí)制造的風(fēng)險(xiǎn)原則上就應(yīng)當(dāng)由誰(shuí)來(lái)承擔(dān)?！?/p>

她指出，人臉識(shí)別的推廣和帶來(lái)的風(fēng)險(xiǎn)，實(shí)際上是科技企業(yè)和銀行制造的，在這其中，銀行也比儲(chǔ)戶獲得了更多科技帶來(lái)的好處，“誰(shuí)在其中獲益最大，誰(shuí)就應(yīng)該承擔(dān)與獲益成比例的風(fēng)險(xiǎn)”。

“另外，還應(yīng)當(dāng)考慮預(yù)防能力與預(yù)防效果方面的因素，將板子打在誰(shuí)身上，預(yù)防效果是最好的呢？”在她看來(lái)，銀行的預(yù)防能力比儲(chǔ)戶要強(qiáng)得多，如果由銀行部分地或按比例地承擔(dān)因人臉識(shí)別風(fēng)險(xiǎn)造成的損失，將有助于督促銀行審慎采集與保護(hù)儲(chǔ)戶信息，加強(qiáng)人臉識(shí)別系統(tǒng)的安全技術(shù)保障。

“銀行對(duì)人臉信息的技術(shù)保障需要超過(guò)一般的犯罪手段，否則，銀行就不應(yīng)采集與使用儲(chǔ)戶的人臉信息。”她說(shuō)。