(相關(guān)資料圖)

近年來，“刷臉”被運用到銀行業(yè)務(wù)工作中，要清楚的是，銀行“刷臉”業(yè)務(wù)辦理不同于其他行業(yè)，涉及的是資金業(yè)務(wù)，一旦出現(xiàn)問題，不但給客戶造成損失，也會給銀行帶來聲譽風(fēng)險。因此，銀行要特別重視“刷臉”的安全性。

“刷臉”業(yè)務(wù)存在風(fēng)險

案例一：人臉信息丟失導(dǎo)致“被貸款”

2021年，廣州客戶王蘭（化名）在遺失身份證后，被人冒用身份信息，通過銀行的“人臉識別”功能貸款，導(dǎo)致王蘭因“逾期貸款”被告上了法庭。廣州互聯(lián)網(wǎng)法院判定此案屬“刷臉”引發(fā)的借款糾紛，最終經(jīng)司法筆跡鑒定，認為涉案客戶簽名并非本人簽署，手機號碼亦未曾登記在客戶名下，由此駁回銀行上訴。

類似“刷臉”貸款案，四川警方查處了一個上百人的詐騙團伙。該團伙購買大量人臉視頻，借助“僵尸企業(yè)”“空殼公司”，為6000多人包裝公積金信息，然后向多家銀行申請公積金貸款，最終帶來10億多元的壞賬。

案例二：異地盜“刷”，存款不翼而飛

不久前，一篇“儲戶近200萬元巨款不翼而飛，人臉識別漏洞成騙子作案工具”的報道，引起不小的震動。

因為存款被“刷臉”轉(zhuǎn)走，馬某起訴某銀行。起因是：一年前，他妻子剛把50萬元存進剛開的某銀行卡中，不久賬戶中的資金就不翼而飛。報警、聯(lián)系銀行，馬某很快得知，存款被盜刷。相關(guān)銀行不承認存在過失，拒絕承擔(dān)任何責(zé)任，被馬某告上法庭。不久，馬某的起訴被法院駁回。法院判定，此案對于銀行來說，未見存在明顯的過錯和過失。馬某認為，法院回避了某銀行人臉識別漏洞問題，表示會堅持上訴。

從多起銀行用戶被盜刷數(shù)百萬元存款案例的共同點來看，都是被犯罪分子利用個人信息作為輔助，在“人臉識別”上做文章，采取誘騙客戶將錢存入某銀行，通過銀行“人臉識別”這一方法實施轉(zhuǎn)賬。

“刷臉”風(fēng)險剖析

銀行“刷臉”業(yè)務(wù)導(dǎo)致客戶資金被盜或者是“被貸款”，從表面上看銀行沒有過錯，但從實際操作中可以看到，“刷臉”成為登錄、確認、申請、修改等銀行業(yè)務(wù)環(huán)節(jié)中重要的驗證技術(shù)，一旦人臉識別被偽造、網(wǎng)絡(luò)受攻擊，會給銀行、儲戶帶來嚴(yán)重的資金損失。事實證明，有些銀行“刷臉”業(yè)務(wù)技術(shù)缺乏嚴(yán)謹(jǐn)性，也是金融科技應(yīng)用中的漏洞。

對于“被貸款”事件，暴露了銀行在貸款“三查”制度上的短板，對“僵尸企業(yè)”和“空殼公司”，其經(jīng)營場地和市場監(jiān)督管理部門、稅務(wù)等管理機關(guān)的相關(guān)報表、納稅記錄、營業(yè)執(zhí)照年審等信息記錄中，一定會有明顯的特征。比如，一段時間沒有經(jīng)營收入、沒有納稅、營業(yè)執(zhí)照沒有進行年審等記錄，就能清楚了解所涉企業(yè)是否正常經(jīng)營。從上述案例可以看到，在貸款管理方面，銀行工作的嚴(yán)謹(jǐn)性需要提高。

“刷臉”導(dǎo)致客戶“被貸款”或者是資金被盜，原因是，不法分子冒用客戶身份，通過銀行的“人臉識別”功能，實施犯罪。主要技術(shù)是通過把靜態(tài)照片變成動態(tài)照片、利用視頻植入、遠端視頻驗證等手段，攻破人臉識別和活體檢測算法；或者是通過與客戶取得聯(lián)系，用視頻聊天方式采集客戶的人臉識別重要信息：如張嘴、搖頭、眨眼等人臉關(guān)鍵性特征信息等，獲得人臉識別的條件，獲取盜刷客戶資金或者是“被貸款”“人臉識別”功能的關(guān)鍵要素。

還有些不法分子，為達到獲取客戶信息的目的，以公檢法等人員身份，以保護客戶權(quán)益、身份信息驗證等所謂名正言順的理由，讓客戶下載登錄詐騙軟件、提供個人身份信息、銀行卡賬戶和交易密碼等信息，達到詐騙的目的。

多措并舉，為客戶提供安全的金融科技服務(wù)

中國人民大學(xué)法學(xué)院副教授郭銳認為，在法律上，即便是由于技術(shù)本身無法實現(xiàn)百分之百的精確，對于造成的損失，銀行也應(yīng)該承擔(dān)責(zé)任，不能以用戶信息泄漏的說法逃避責(zé)任，除非能夠證明用戶和犯罪分子互相配合，導(dǎo)致了損失。為此，對于銀行“刷臉”業(yè)務(wù)，無論從保護銀行自身信譽，還是從維護消費者權(quán)益的角度考慮，銀行都應(yīng)該為客戶提供安全的金融科技服務(wù)。重點需關(guān)注以下幾個方面：

一是要建立金融科技安全體系。金融科技部門應(yīng)本著安全的角度去研發(fā)使用“刷臉”金融業(yè)務(wù)技術(shù)，可以與相關(guān)計算機網(wǎng)絡(luò)科研部門、相關(guān)大專院校計算機網(wǎng)絡(luò)專業(yè)開展技術(shù)合作，研發(fā)成熟可用、安全可靠的“刷臉”金融業(yè)務(wù)應(yīng)用系統(tǒng)，沒有安全保證、沒有過硬防盜刷臉能力的科技軟件不可盲目上馬，避免由于系統(tǒng)漏洞給銀行、消費者帶來經(jīng)濟損失。

二是做好銀行“刷臉”業(yè)務(wù)風(fēng)險知識宣傳。通過網(wǎng)絡(luò)、微信群、媒體、線下宣傳等方式，讓金融消費者認識到人臉識別采集生物特征信息的重要性，每個人要像保護身份證一樣保護好自己的生物特征信息。消費者如果遇到外來任何方式（線上和線下）所謂“拍照”場景，如搖頭、張嘴、眨眼等特殊動作信息采集要求的情況，要提高警惕，在沒有弄清事情緣由前，應(yīng)終止信息采集（特別是對于陌生人或者是通過網(wǎng)絡(luò)方式的上述信息采集）。同時，在辦理金融業(yè)務(wù)時，在使用銀行、保險等金融相關(guān)APP時，要下載官方APP，不要隨意下載不明來源的APP，不要將手機輕易交給他人操作，更不要將辦理業(yè)務(wù)的驗證碼、賬戶支付密碼泄露給他人。

三是銀行要推廣使用安全成熟的業(yè)務(wù)運用系統(tǒng)。各商業(yè)銀行在投入和更新“刷臉”業(yè)務(wù)系統(tǒng)前，要通過專業(yè)人員，制造多種假想盜刷臉業(yè)務(wù)場景進行測試驗證，查找不足，彌補短板，增加多層次防范盜刷臉風(fēng)險的防護網(wǎng)。同時，要細化人臉識別系統(tǒng)的精準(zhǔn)度和安全性，增加信息驗證：如指紋驗證、實行登錄設(shè)備備案制、登錄地點備案制等多種制約方法，保護好消費者的資金不受損失。為更進一步明確責(zé)任，應(yīng)增加預(yù)留簽字驗證功能，作為本人操作的依據(jù)，也是杜絕防盜刷存款、防盜刷臉貸款明確責(zé)任的重要手段。

四是防范客戶信息泄露。銀行保險業(yè)、電信業(yè)、人力資源社會保障等涉及受理客戶個人信息的單位，要做好客戶信息保護工作，嚴(yán)防信息泄露，避免不法分子使用獲得的個人信息，通過電話、視頻等方式與客戶聯(lián)系，獲得客戶的關(guān)鍵信息，從而實施犯罪活動。

五是嚴(yán)格執(zhí)行內(nèi)控制度。要嚴(yán)格落實貸前調(diào)查制度，了解個人或者企業(yè)貸款用途的真實性、借款企業(yè)的運營情況，杜絕“刷臉”業(yè)務(wù)引發(fā)的“被貸款”事件發(fā)生。對于企業(yè)貸款，可以運用大數(shù)據(jù)，實現(xiàn)稅務(wù)、市場監(jiān)督管理局等部門信息共享，查閱貸款申請單位的營業(yè)執(zhí)照年檢和最新納稅情況，通過上述兩種方式，可以掌握企業(yè)的經(jīng)營和真實存在情況，防止以“空殼公司”“僵尸企業(yè)”為名貸款，有效防范“被貸款”風(fēng)險。

（作者單位：山東巨野農(nóng)商銀行）