中文字幕亚洲欧美日韩在线不卡,亚洲欧美日产综合在线网性色,思思久久精品6一本打道,综合视频中文字幕

如今，使用人臉識別進行身份驗證似乎已經(jīng)變成了一件理所當然的事情。然而，當人臉識別被偽造、被攻擊，我們的個人財產(chǎn)很可能隨之受損——近日，兩大國有銀行的多名儲戶稱賬戶遭遇了盜刷，他們認為，銀行采用的人臉識別系統(tǒng)難辭其咎。

南都記者結合公開報道梳理發(fā)現(xiàn)，這些儲戶先是被誘騙交出了銀行卡信息，有的還與詐騙分子進行了視頻通話，然后詐騙分子利用上述信息通過了人臉識別驗證，又攔截了手機驗證碼，從而把錢取走。

事情發(fā)酵至今，越來越多的爭議聚焦在銀行的人臉識別系統(tǒng)是否存在漏洞、銀行應不應該擔責上。銀行認為，采用手機驗證碼和人臉識別結合的驗證方式已經(jīng)盡到安全保護義務，儲戶們則堅持銀行的人臉識別系統(tǒng)并不足以保證資金安全。

有技術專家告訴南都記者，詐騙犯能破解人臉識別驗證，說明銀行的人臉識別系統(tǒng)確實存在技術漏洞。還有專家認為，由于相應風險是銀行引進人臉識別所導致，原則上就應該由銀行承擔責任，只有這樣，才能倒逼銀行提高安全技術保障。

1

本人未登錄、未操作，20萬被轉走

近日，某國有大行儲戶馬琳（化名）對南都記者爆料稱，自己遭遇了電信詐騙——她的銀行賬戶在本人未登錄、未操作、未進行人臉識別的情況下，被轉走了20萬元。

去年8月，馬琳在北京辦理簽證期間，接到了一個自稱是公安局的電話。對方稱她涉嫌境外洗錢，口氣強硬。馬琳起先也有懷疑，但對方不但準確地說出了她在辦理簽證時提交給中介的信息，還通過視頻電話的方式，向她“證實”了自己的警察身份，基本打消了她的懷疑。

隨后，對方發(fā)來一個帶鏈接的短信，讓馬琳確認自己的身份信息。她點開鏈接，網(wǎng)頁顯示了她的身份證正面照片，這進一步加深了她的信任——為了辦理護照，馬琳幾天前剛去辦理了新身份證。據(jù)她回憶，自己只在該銀行辦理業(yè)務時使用過這張新身份證。

馬琳照做后，就沒有再收到對方或銀行發(fā)來的任何短信。沒過多久，她反應過來不對，于是登錄手機銀行查看，這才發(fā)現(xiàn)，她的銀行賬戶在她本人未登錄、未操作、未進行人臉識別的情況下，被轉走了20多萬元。

馬琳遇到的騙局并不鮮見，她主動把重要的人臉信息交給詐騙分子也是事實。但令她想不通的是，登錄她賬戶的設備IP地址是中國臺灣，而她那一段時間一直在北京——銀行不是應該對異地登錄有嚴格防范嗎？

對此，該國有大行回應稱，查到的驗證視頻是馬琳本人的，也發(fā)了手機驗證碼到她的手機上，驗證流程沒有問題?！暗聦嵣系谝晃覜]有收到手機驗證碼，第二我沒有進行過任何的人臉識別檢測，我本人我不可能自己去黑自己的賬戶對吧？”

“我最開始也不太理解（為什么會通過），我就拍了一段視頻，其中包括了點頭搖頭，然后去其他銀行的人臉識別功能試了試，一次都沒通過，都提示說‘請確保是您本人’?！瘪R琳告訴南都記者，在她和銀行的交涉過程中，也有相關人員提到，如果使用視頻，是有可能攻破人臉識別的。

不滿于銀行的回復，馬琳進而向北京銀保監(jiān)會投訴。經(jīng)調(diào)查發(fā)現(xiàn)，詐騙發(fā)生當天，馬琳賬戶里的20萬被分成8筆轉走，其中7筆發(fā)送了手機交易碼短信，5筆觸發(fā)了人臉識別，1筆觸發(fā)了外呼（電話通過電腦自動往外撥打用戶電話，將錄制好的語音通過電腦播放給用戶），但她從未收到任何相關告知。

馬琳后來又去了北京來廣營派出所報案。對于馬琳的訴求，銀行給出的說法是“錢財?shù)霓D出在安全的機制內(nèi)”，讓她去起訴。這讓她感到不可思議：“按照常理來說，人臉識別肯定是要本人”，她說，“身在異地的犯罪分子能通過活檢，這本來就是一種不合理?！?/p>

在損失了這筆積蓄之后，馬琳的簽證已經(jīng)很難繼續(xù)辦理，她離開了北京?！拔蚁Ｍy行的漏洞能堵一下，不要給更多的人帶來更大的損失。這個事情對銀行來說，可能確實沒有什么損失。但是從儲戶的角度來說，這個就是一個人生的大災難?！?/p>

2

至少6名另一國有大行的儲戶也有類似遭遇

這不是唯一一家被曝人臉識別系統(tǒng)可被破解的銀行。就在前不久，南都曾報道，另一家國有大行的儲戶也有過相似的遭遇——他們中的部分人也和馬琳一樣，遇到的盜刷者IP地址顯示為中國臺灣，手機型號則為摩托羅拉XT1686。

銀行儲戶小雪（化名）向南都記者提供的一份北京市豐臺區(qū)人民法院民事裁判書顯示，2021年6月19日上午，小雪接到自稱是公安方面打來的電話，稱其在哈爾濱涉嫌非法入境，還涉嫌反洗錢案，要求小雪下載“公安防護App”“矚目App”，開啟會議模式通過視頻驗證是否為本人，并進行手機屏幕共享，指示其將手機攔截電話、短信等功能開啟。

隨后，對方還以“國有大行安全措施比較好”為借口要求小雪辦理一張新的銀行卡，并把所有銀行存款全部轉入內(nèi)，以此“核實個人資產(chǎn)”。為此，小雪特意將近50萬的儲蓄資金從其他銀行轉入到該國有大行賬戶。而后，這筆資金便不知去向。

據(jù)警方調(diào)查，密碼重置和大額轉賬的IP地址為中國臺灣，驗證方式為短信驗證+人臉識別，且當天銀行系統(tǒng)有7次通過人臉識別的記錄，其中6次通過活檢。也就是說，騙子攔截了小雪的短信驗證碼，通過短信和偽造人臉識別完成了密碼重置、限額調(diào)整、大額轉賬的全過程。

法院一審判決認為，整個過程中是小雪自己按外人的指令下載了相關App、開啟電話及短信攔截等，才導致發(fā)生身份識別信息、交易驗證信息泄露的風險，因此認定該案是小雪不審慎所致，判銀行不承擔責任。

值得注意的是，根據(jù)鳳凰網(wǎng)《新視界》7月5日的報道，2020年10月至2021年10月期間，有至少6位該國有大行儲戶被犯罪分子誘騙、將錢存入銀行后被盜刷，金額高達數(shù)百萬元。

“6次人臉識別，銀行一次都沒識別出來犯罪分子使用的是假人臉。”“銀行存在支付安全漏洞，沒有辦法識別出是不是真的人臉?！庇斜槐I刷的銀行儲戶認為，犯罪分子指定該國有大行而不是其他銀行，是因為他們發(fā)現(xiàn)并利用了其人臉識別漏洞。

自被盜刷以來，銀行儲戶馬躍（化名）曾多次上訴至法院，但法院駁回了他的申請。和小雪得到的判決相似，法院認定，銀行已通過多個登錄密碼、驗證碼、人臉識別的合理方式識別使用人身份，未見存在明顯的過錯和過失。

圖源：鳳凰網(wǎng)《新視界》

針對上述事件，該國有大行北京長辛店支行的工作人員向南都記者表示不接受采訪。

3

銀行的人臉識別驗證系統(tǒng)是否存在漏洞？

人臉識別被破解、手機驗證碼被攔截，是儲戶們認為銀行存在漏洞的關鍵環(huán)節(jié)。那么，上述兩家國有大行采用的人臉識別系統(tǒng)是否建立了足夠的安全防范機制，又是否達到了監(jiān)管要求呢？

根據(jù)兩家國有大行官網(wǎng)信息，為其提供人臉識別技術支持的分別是云從科技和北京眼神科技有限公司（下稱“眼神科技”）。

據(jù)了解，云從科技和眼神科技的客戶均涵蓋國有六大行。此外，云從科技的客戶還包括12家股份制銀行以及城農(nóng)商行，服務超過400家金融機構、10余萬個銀行網(wǎng)點；眼神科技服務的銀行機構則近150家。

南都記者以儲戶身份分別致電云從科技和眼神科技。云從科技方面稱，若犯罪分子使用視頻通話的方式，確實有可能攻破人臉識別系統(tǒng)，但除此之外不愿透露更多信息。

眼神科技方面則表示，根據(jù)現(xiàn)有的司法判決，犯罪分子是獲取了短信驗證碼等多個隱私信息，所以才出現(xiàn)了這種事，而人臉識別只是整個流程中的一個驗證環(huán)節(jié)，所以并不能明確地說就是人臉識別的問題?！般y行方面對安全性的要求是很高的，也是基于我們的產(chǎn)品（的正確率），銀行這邊才會選擇我們的?！笨头娬{(diào)。

一位人工智能安全領域的技術專家也告訴南都記者，從整個流程來看，詐騙分子是劫持了受害人的電話和短信，才導致后續(xù)銀行無法通過短信、電話對轉賬人身份及轉賬情況進行核實，這部分與人臉識別系統(tǒng)的安全風險無直接關聯(lián)。

不過他也表示，儲戶即使被誘騙給出個人信息，但事實是儲戶本人并未前往外地，而詐騙犯肯定是用某種手段“通過了人臉識別的活體檢測”，這就說明銀行的線上人臉身份核驗系統(tǒng)確實存在被假體攻擊、注入攻擊的技術漏洞——這并不是說“活體檢測”這一技術本身不合格，很有可能是犯罪分子“繞過”了活體檢測的環(huán)境。

去年1月，依托清華大學人工智能研究院成立的團隊瑞萊智慧RealAI就曾通過對抗樣本攻擊，一舉破解19款安卓手機的人臉識別解鎖系統(tǒng)。即便是搭載了交互式活體檢測功能的十余款金融和政務服務類App，也都被輕易破解。

瑞萊智慧RealAI高級產(chǎn)品經(jīng)理張旭東曾以銀行類App為例向南都記者表示，雖然現(xiàn)在的支付轉賬操作都需要多因素驗證，但一旦用戶的個人信息全部泄露，不法分子就可能同時完成刷臉、輸入手機驗證碼等操作，使得多因素驗證失效。

當時，研究人員提到，目前業(yè)界主流的人臉識別算法都具備了活體檢測能力，之前常見的用一張照片、一段視頻來完成刷臉的做法已經(jīng)行不通。但對抗樣本攻擊針對的是算法模型底層的漏洞，完全不受活體檢測限制。攻擊者在臉上添加了局部擾動，導致算法產(chǎn)生了錯誤識別。

上述技術專家則用“受害人被詐騙分子誘導進行視頻通話”的案件來舉例表示，這種情況下，受害人很有可能被錄制下指令動作的畫面視頻，或者詐騙分子直接基于儲戶的照片，通過合成軟件偽造的動態(tài)視頻。

“但偽造的視頻不會直接拿手機平板放到攝像頭前，按照正常流程通過人臉識別系統(tǒng)，而是使用某種黑客手段入侵了人臉識別的底層系統(tǒng)。比如通過劫持攝像頭，讓系統(tǒng)不啟動攝像頭，直接從底層注入提前準備好的動態(tài)視頻，完全就能繞過活體檢測。這種注入攻擊是針對人臉識別系統(tǒng)的應用軟件層面的安全漏洞。”他說。

這位技術專家表示，由于目前大多識別系統(tǒng)是用神經(jīng)網(wǎng)絡+大數(shù)據(jù)訓練的方法實現(xiàn)，所以黑盒性和不可控性是一定存在的。他認為，技術方需要進一步提高對新型算法安全風險的研究水平。

4

儲戶、銀行、人臉識別提供方，責任如何劃分？

截至目前，上述遭遇盜刷的儲戶得到的法院判決均認定，銀行沒有明顯過錯，不承擔責任。銀行的技術提供方也認為，是儲戶先泄露隱私，才導致事件發(fā)生。但在儲戶看來，即便自己被誘騙交出了部分個人信息，也不應影響銀行通過人臉識別驗證出詐騙分子并非儲戶本人。

“既然人臉識別是銀行所引進，而且往往是變相強制儲戶使用，一旦出現(xiàn)存款被騙，銀行不承擔任何責任顯然也是有問題。完全讓儲戶個人來當冤大頭，既不公平，也無助于對犯罪的預防。”馬琳說，“技術如果不夠先進、不夠完備，那就不應該投入使用，而不是已經(jīng)造成各個方面的損失，然后現(xiàn)在又說銀行的系統(tǒng)還在升級。系統(tǒng)不完備的損失誰來承擔，不是銀行來承擔嗎？雖然銀行自己也是受害者，但是他改善系統(tǒng)的能力比儲戶大得多?！?/p>

在清律律師事務所首席合伙人熊定中看來，“銀行不擔責”的判決結果“不是很合理”。他認為，整個流程存在兩個問題：人臉識別系統(tǒng)被攻破是銀行的責任，而儲戶本身可能也存在手機被劫持的“防范不足”。從損失情況來看的話，應該是典型的雙方過錯，各自承擔責任。

他解釋道，整個流程中存在著兩組關系，一組是儲戶和銀行，另一組是技術提供方和銀行。儲戶和銀行之間，是銀行提供了技術驗證手段給儲戶，那么銀行本身肯定要對于人臉識別的結果有足夠的保證，如果特定的技術出了問題的話，責任當然是由銀行承擔。而技術提供方和銀行之間，要取決于銀行跟技術提供方的合同到底是如何約定的，“他們?nèi)绾稳ソ鉀Q這種因為技術使用導致的損失、如何約定責任的分擔問題，這是他們之間的問題，跟儲戶沒有關系?！?/p>

清華大學法學院教授勞東燕也有類似的看法。她認為，由于相應風險是銀行引進人臉識別所導致，也就是銀行參與了風險的創(chuàng)設。在法律上，誰創(chuàng)設風險，誰原則上就應當對風險現(xiàn)實化的結果承擔責任。其次，銀行在相關業(yè)務領域里獲益最大，理應承擔與獲益相稱的風險責任。再次，銀行防范風險的能力更強，能力越強者責任越大。最后，從對犯罪的預防來看，只有讓銀行承擔部分法律責任，才能倒逼其提高安全技術保障。

事實上，縱觀銀行使用的密碼、U盾、手機驗證碼等用戶安全措施，都有被攻破的案例，人臉識別也不例外。熊定中認為，使用人臉識別驗證技術并沒有放大原來就有的風險，只是“一個新的技術在使用過程中出現(xiàn)了問題”。

但廣東人民時代律師事務所律師王勝生認為，一旦陷入技術崇拜的怪圈，并對技術進行強制推廣，就會帶來風險?！斑@是一種讓技術的攻防在發(fā)展中共生共長，出現(xiàn)風險時又嚴重依賴技術防范的方案。唯獨沒有停下技術強制使用的想法，也沒有停下人臉識別濫用的做法?！?/p>

勞東燕還提出，對于個人生物識別信息這類高度敏感的信息，有進行專項立法的必要性，并采取以公法保護為主的方式。在專項立法的規(guī)定中，需要明確數(shù)據(jù)處理者才應當是個人信息保護責任的主要承擔者。

“在數(shù)據(jù)處理過程中，究竟是誰制造了相應的風險？”勞東燕說，“同時，誰是其中最大的獲益方？肯定不可能是個人，而是作為數(shù)據(jù)處理者的科技企業(yè)與監(jiān)管部門?！倍鴱娘L險預防能力與風險預防效果來看，也應該將“鞭子“打到數(shù)據(jù)處理者身上。相應地，立法對人臉信息技術的規(guī)制重心，應當從知情同意機制轉向數(shù)據(jù)處理者的合規(guī)義務體系。

王勝生則認為，要解決“人臉識別”這一技術帶來的諸多問題，“立法”只是其中一個環(huán)節(jié)。“雖然現(xiàn)在人臉識別已經(jīng)廣泛普及，但是對及技術局限和風險的公共教育和學界討論、對法律上的舉證責任、舉證能力、風險防范能力、司法公正的考量、對技術帶來的社會權力的對比和分析，各個環(huán)節(jié)都是缺失的?！?/p>

在他看來，首先，技術公司需要持續(xù)披露和明確告知技術的真實情況，包括風險，使得大眾對技術進行全面的認知；其次，大眾和個體對強制和變相強制的技術適用應該擁有“說不的能力”，非法律的社會力量制衡途徑需要存在；最后，方便適用的法律是否完備，司法公正性如何，才是最后一環(huán)的水波效應。

“或許微乎其微的舉動不能影響人臉識別的大道其行，但也或許會帶來溫和的振動，促成一些良性的審慎的改觀和發(fā)展?！彼f。

采寫：南都見習記者楊博雯 記者胡耕碩 余毅菁 實習生王睿

編輯：蔣琳