人臉識別6次都成功　台灣駭客盜取北京女43萬人民幣

中國新聞周刊報導，李紅（化名）萬萬沒想到，詐騙人員從她的交通銀行卡偷走近43萬元（人民幣，下同），如入無人之境。要想從交通銀行卡中轉帳，需要用戶在手機銀行App上進行人臉識別，並進行簡訊驗證。李紅陷入了詐騙分子的圈套，她的手機簡訊被攔截，手機號被設置了呼叫轉移，令她的驗證碼落入他人手中，且無法接聽銀行的確認電話。

更嚴重的是，「人臉識別」被攻破了。銀行系統後台顯示，在進行密碼重置和大額轉帳時，「李紅」進行了6次人臉識別比對，均顯示「活檢成功」。

那幾次人臉識別並不是身在北京的李紅本人操作，登錄者的IP地址顯示在台灣。當李紅本人登錄手機銀行時，卡裡的錢已被悉數轉走。她去派出所報案，警察很快認定她遭遇了電信詐騙，並立案偵查。

既然不是本人操作，為何還能「活檢成功」？李紅懷疑交通銀行人臉識別系統的安全性，並以「借記卡糾紛」為由將交通銀行告上法庭，要求賠償。

2022年6月30日，北京市豐台區人民法院一審駁回了李紅的全部訴求。她準備繼續上訴。

每個人只有一張臉，因其不易被仿冒，人臉識別被認為具有較高安全性，近年來被普遍適用於銀行驗證中，用來保障資金安全。但超出普通人認知的是，人臉具有唯一性的生物識別信息，是敏感個人信息，它裸露在無處不在的攝像頭下，極易獲得。在如今人臉識別系統並不成熟的情況下，用合成活動人臉騙過審核系統的案例屢見不鮮。

長期關注個人信息保護的專家，都對人臉識別的濫用充滿憂慮。清華大學法學院教授勞東燕指出，從制度框架的合理設定來考慮，製造更多風險、獲取更多收益的一方，理應承擔更多的風險與責任，「人臉識別是銀行引進的，其是作為風險製造的參與方，通過這種方式銀行也獲益更多，應該承擔和其所獲收益成比例的風險責任」。

她還指出，隨著人工智能的發展，詐騙手段科技含量更高，銀行應當與時俱進，使其安保技術超過犯罪手段的技術。如果銀行因人臉識別技術存在的漏洞而相應承擔責任，會有助於敦促銀行堵住技術上的安全漏洞，對可能發生的詐騙犯罪起到預防作用。

從接通電話那刻起，李紅就陷入「協助破案」的迷局中。那是2021年6月19日上午10：30，電話那頭自稱「北京市公安局戶政科陳傑警官」的人告訴李紅，她的護照此前在哈爾濱涉嫌非法入境，讓她向哈爾濱市公安局報案。對方輕易地報出了李紅身份證號，這令她開始相信電話那頭的「警官」。

李紅被轉接給哈爾濱市公安局的「劉警官」。對方告訴她，她涉嫌「李燕反洗錢案」，並讓她登錄一個網站查看「公文」。李紅用手機登錄對方提供的網站後，發現在一張藍底的「通緝公告」上，印著自己的身份證照片、身份證號等戶籍信息。

這令她陷入恐慌，因為在她平常的認知中，這些信息只有公安內部的人才能獲得。接下來，她對「警官」的指揮百依百順。按照指示，她從網站下載了「公安防護」App和視頻會議App「矚目」。

「公安防護」是一款詐騙人員常用的手機App，其設計模仿「國家反詐中心」，如果受害者在裡面輸入銀行卡和密碼，詐騙人員就可在後台獲取這些信息。

而「矚目」雖然是普通的視頻會議App，但提供共享屏幕功能。在「劉警官」的要求下，李紅通過「矚目」，向對方共享了自己的手機屏幕，令其掌握了她安裝的App種類信息，對方還通過這項功能遠程操控她的手機，令她的手機號設置了呼叫轉移，無法接收簡訊和電話。

最容易被忽略的是「露臉」。對方告訴李紅，為了驗證她是本人操作，她要通過「矚目」開啓會議模式，於是李紅的人臉信息輕易暴露在對方面前。這也成為對方實施詐騙的關鍵一環。

李紅始終沒能掛斷電話，「劉警官」故意令她與外界隔絕。下午13：46，按照要求，李紅趕到交通銀行北京長辛店支行，開設了一張借記卡。銀行開卡記錄顯示，李紅預留了自己的手機號，並允許借記卡通過「網上銀行、手機銀行、自助設備」三種方式轉帳，也允許這張卡進行境外取現和消費，但在其他功能中，她選擇了「小額免密免簽不開通」。

這意味著，當她進行5萬元以內的轉帳時，仍需要驗證。此外，李紅還設置了轉帳限額，每日只能累計轉帳5萬元。

在辦理借記卡的過程中，交通銀行向李紅發放《北京市公安局防範電信詐騙安全提示單》。這份提示單中，載明瞭業務類型為「開通網銀或手機銀行」，並提示她可能存在有冒充公檢法的人員，以打電話的方式告知她涉及案件，要求她向對方提供的帳號轉賬，或是告知網銀密碼。李紅在這份提示單上簽字。

李紅剛剛辦好的借記卡，這張卡就被詐騙人員所掌控了。銀行後台顯示，當天13：51，即李紅開卡15分鐘後，就有詐騙人員通過人臉識別驗證，重置了李紅的用戶名和密碼，登錄了她的手機銀行。但李紅對此並不知情，她正按照「劉警官」的要求，為了「清查個人財產」，向卡轉入所有積蓄，以及所有能夠貸款獲得的現金。

交易記錄顯示，14：06至14：09，李紅向這張卡轉帳5筆共計25萬元，14：11和14：13，又分兩筆轉入5萬元，此時李紅卡內已有30萬元。短短幾分鐘後，14：20詐騙人員就通過掌握的李紅的手機銀行，將這30萬元轉了出去。此後在14：30，李紅又向卡內匯入12.9萬元，這些錢在14：40被悉數轉出。至此詐騙人員轉走了李紅42.9萬元。

詐騙人員掌握了李紅的「人臉識別＋動態密碼」後，通過修改密碼，登錄了她的手機銀行，此後便如入無人之境，即使李紅設置了每日5萬元轉帳限額，也在詐騙人員登錄後被輕易修改，之後每筆大額轉帳也都通過「人臉識別＋動態密碼」驗證通過。

交通銀行北京長辛店支行在法庭上回應稱，「交易密碼、動態密碼以及輔助人臉識別的客戶鑒別模式」符合監管要求，並且在李紅轉賬過程中，銀行對她進行了風險提示，包括通過運營商向她發送了簡訊密碼、簡訊風險提示，以及在內部系統大數據分析發現異常後，撥打了李紅的手機，對轉帳人身份及轉帳情況進行核實。

但李紅稱，對於銀行所稱發送了22條簡訊密碼及簡訊風險提示，她只收到了其中的11條，而銀行的來電她並未接到。這背後的原因在於她的手機簡訊被詐騙人員攔截，電話也呼叫轉移到了詐騙人員的手機上。

銀行提供的通話錄音顯示，在當天14：23，在詐騙人員正將李紅銀行卡中的30萬元轉出時，銀行客服撥通李紅預留的手機號，詢問對方是否是李紅本人、轉帳是否本人操作、收款人信息、與收款人的關係、轉帳的用途等，接電話的人均認可是本人操作，還稱與收款人是朋友關係。

下午16：00，李紅察覺到「劉警官」的反常態度，她在16：39用自己的手機首次登錄了手機銀行，卻發現錢已被盜刷，她意識到自己被騙，前往派出所報警，並聯繫銀行掛失銀行卡。

銀行出具的通話錄音顯示，當天17：08至17：25，銀行三次撥通李紅預留的手機號，接電話的人起先稱自己是李紅，認可辦理過業務，否認辦理銀行卡掛失，但後來否認自己是李紅，稱客服「打錯了」。

蹊蹺的「活檢成功」

警察追查到，2021年6月19日在13：51至14：42之間，李紅手機銀行登錄者的IP地址在台灣，使用的設備是摩托羅拉XT1686，而當時李紅在北京，她的手機型號是小米8。

銀行後台記錄顯示，李紅的借記卡在6月19日那天共有7次操作涉及人臉識別，均顯示識別成功通過，其中1次為借記卡申請，1次為登錄密碼重置，5次為大額轉賬，除了第一次不涉及活檢，後6次操作「活檢結果」均為成功。

李紅並未親自操作，為何6次「活檢結果」均為成功？李紅的丈夫馬躍（化名）在金融系統工作多年，他成為妻子起訴交通銀行的代理人。他告訴《中國新聞周刊》，銀行定下的「人臉識別＋簡訊驗證碼」的驗證模式，其本質目的在於確保由用戶本人親自操作轉帳，他妻子在完全不知情的情況下，被詐騙人員從帳戶中轉走錢，銀行應當承擔保管不力的責任。

「這就好比，本來約定需要我本人去銀行才可以轉帳匯款，現在別人假冒我去銀行，銀行沒有發現，那麼造成的損失不應該由我完全承擔。」他認為，銀行與儲戶之間的關係是債權關係，銀行受騙，不應讓儲戶承擔全部責任。

李紅以「借記卡糾紛」為案由把交通銀行告上法院後，要求銀行賠償存款損失，但北京市豐台區人民法院一審駁回了她的訴求。

法院認為，李紅在42.9萬元被盜過程中「過錯明顯」，交通銀行作為指令付款方，已通過多個登錄密碼、驗證碼、人臉識別的合理方式識別使用人身份，未見存在明顯的錯誤或過失。

馬躍認為，李紅在北京剛辦理了借記卡，緊接著IP地址在台灣的詐騙人員就能用不同的設備登錄，並頻繁操作大額轉賬，如此異常的操作，銀行本應該識別出轉帳的非儲戶本人。

李紅的遭遇並非孤例。早在2020年10月，浙江的趙女士就遭遇了同樣的騙局，她的經歷曾經被杭州本地媒體報導。趙女士講述，在與假冒警察的犯罪分子視頻時，對方曾要求她做「張嘴」「眨眼」「搖頭」等動作，疑似通過錄影來騙過銀行的人臉識別系統。

聯繫上趙女士之後，馬躍又聯繫到4名同樣的受騙者，他們6人都遭遇了同樣的詐騙套路，涉案金額超過200萬元。

這6名受害者都為女性，受騙時間最晚的在2021年10月。她們都生活在大都市，具備一定知識水平，多人具備研究生學歷，還有人就是律師。

交通銀行的人臉識別服務商為北京眼神科技有限公司（下稱「眼神科技公司」）。這家公司成立於2016年6月，其創始人、董事長兼CEO周軍曾公開表示，其研究的「生物密碼」，令「用戶到哪裡密碼就跟隨到哪裡」、「只有本人可用」。

其官網介紹，眼神科技是業內較早將指紋識別、人臉識別、虹膜識別等生物識別技術引入金融行業的AI企業，在金融行業，其目前已服務於中國工商銀行、中國農業銀行、中國銀行、中國建設銀行、交通銀行、郵儲銀行、招商銀行、民生銀行等近150家銀行機構，客戶覆蓋率達80％，實現櫃面內外應用、手機銀行、自助銀行、風控管理等金融業務場景的全面覆蓋。

2020年9月，眼神科技公司宣佈中標交通銀行人臉識別項目，向交通銀行全行提供人臉識別產品，「在現金管理、支付結算及帳戶管理等業務場景中實現人臉活檢及身份識別功能」。

在2021年9月，李紅和其他女性被詐騙報案後，交通銀行曾公告停用過人臉識別。這不久，馬躍就發現交通銀行手機銀行系統進行了改版升級。但在這年10月，仍有一名受害人的交通銀行帳戶被假人臉攻破。

目前，在交通銀行手機銀行用戶協議中，人臉識別技術提供方仍是眼神科技公司，記者就此事聯繫了這家公司，但對方未給予答覆。

板子該打在誰身上？

人臉識別系統被攻破，銀行究竟有沒有責任？浙江理工大學法政學院副教授郭兵告訴《中國新聞周刊》，在李紅一案中，重點正是人臉識別系統被詐騙人員輕易攻破。

郭兵長期關注人臉識別的安全性。他認為，李紅的人臉信息有可能被詐騙人員仿造了，「詐騙人員掌握了她的人臉信息，通過技術手段可以生成動態的人臉信息」。他說，有一種人臉活化App，可分析照片和視頻中的人臉信息，生成一張可供人操控的「假人臉」，來騙過人臉識別App。

「我們的人臉識別技術不可能盡善盡美。」他提出，隨著人工智能的發展，人臉識別App和破解的活化App都在發展，要謹防「道高一尺魔高一丈」。

事實上，被廣泛應用的人臉識別技術，其破解難度有時簡單得出乎意料。郭兵說，2019年，浙江有幾名小學生用照片破解了居民小區的快遞櫃，輕易取走他人的快遞。而在2021年10月，清華大學的學生團隊，僅用人臉照片就成功解鎖了20款手機。

「人臉的照片太容易獲得了。」郭兵說，如果人臉識別系統用照片就能解鎖，在遍布攝像頭的當下，可能預示著巨大的隱患。

「現在電信詐騙非常猖獗，盜用人臉信息的手段層出不窮，也給銀行的人臉識別系統帶來挑戰。」郭兵說，近期學界也對活化App展開了研究，「這都是釜底抽薪的手段」。

他更擔心的是，隨著技術的發展，犯罪分子可能掌握了照片，就可「活化」出動態人臉，騙過人臉識別系統。

銀行的防護能力關係到儲戶的資金安全。郭兵認為，應當對銀行的人臉識別系統提出更高的要求。

在立法層面上，對人臉信息的保護正在逐步加強。在李紅被詐騙幾個月後，《個人信息保護法》正式生效，其中突出了作為敏感個人信息的生物識別信息的特別保護，規定「處理個人敏感信息應該進行更多的告知，包括相應的風險，以及應當取得個人的單獨同意」。

在清華大學法學院教授勞東燕看來，銀行普遍存在變相強迫採集儲戶人臉信息的現象。她說，「至少就我個人的體會，去銀行辦理存款等業務，人臉識別都是在強制之下弄的，如果不同意採集人臉就辦不了相應業務。」

她告訴《中國新聞周刊》，儘管《個人信息保護法》強化了對人臉信息的保護，但這種強化其實只體現於徵求同意的環節，其他地方和普通個人信息幾乎沒有差別，並沒有在實質上抬高法律保護的門檻。

所以，她堅持認為，全國人大及其常委會有必要考慮對生物識別信息進行單獨立法，不應放在《個人信息保護法》的框架下來進行保護。

她還提到，李紅在銀行辦卡時被要求籤署的《北京市公安局防範電信詐騙安全提示單》提示效果有限，「現在詐騙手段層出不窮，僅靠個人的警惕是很難防住的」。

在她看來，這個提示單對防範各種詐騙無法起到實質性作用，當儲戶被詐騙後，反而有可能起到讓銀行轉嫁責任的效果。

「防範和打擊犯罪，本應由國家、銀行與相關單位承擔主要責任，現在越來越多變相地轉嫁到作為被害人的個人身上。」她指出，「過多地讓弱者承擔風險並不公平」。

勞東燕認為，要防範此類詐騙犯罪，重要的是在制度框架層面重新來考慮合理分配風險的問題。她說，「風險跟責任有關，誰製造的風險原則上就應當由誰來承擔。」

她指出，人臉識別的推廣和帶來的風險，實際上是科技企業和銀行製造的，在這其中，銀行也比儲戶獲得了更多科技帶來的好處，「誰在其中獲益最大，誰就應該承擔與獲益成比例的風險」。

「另外，還應當考慮預防能力與預防效果方面的因素，將板子打在誰身上，預防效果是最好的呢？」在她看來，銀行的預防能力比儲戶要強得多，如果由銀行部分地或按比例地承擔因人臉識別風險造成的損失，將有助於督促銀行審慎採集與保護儲戶信息，加強人臉識別系統的安全技術保障。

「銀行對人臉信息的技術保障需要超過一般的犯罪手段，否則，銀行就不應採集與使用儲戶的人臉信息。」她說。