交通银行一储户被偷走近43万元，当银行人脸识别系统被攻破

　　来源：中国新闻周刊
　　李红（化名）万万没想到，诈骗人员从她的交通银行卡偷走近43万元，如入无人之境。
　　要想从交通银行卡中转账，需要用户在手机银行App上进行人脸识别，并进行短信验证。李红陷入了诈骗分子的圈套，她的手机短信被拦截，手机号被设置了呼叫转移，令她的验证码落入他人手中，且无法接听银行的确认电话。
　　更严重的是，＂人脸识别＂被攻破了。银行系统后台显示，在进行密码重置和大额转账时，＂李红＂进行了6次人脸识别比对，均显示＂活检成功＂。
　　那几次人脸识别并不是身在北京的李红本人操作，登录者的IP地址显示在台湾。当李红本人登录手机银行时，卡里的钱已被悉数转走。她去派出所报案，警察很快认定她遭遇了电信诈骗，并立案侦查。
　　既然不是本人操作，为何还能＂活检成功＂？李红怀疑交通银行人脸识别系统的安全性，并以＂借记卡纠纷＂为由将交通银行告上法庭，要求赔偿。
　　2022年6月30日，北京市丰台区人民法院一审驳回了李红的全部诉求。她准备继续上诉。
　　每个人只有一张脸，因其不易被仿冒，人脸识别被认为具有较高安全性，近年来被普遍适用于银行验证中，用来保障资金安全。但超出普通人认知的是，人脸具有唯一性的生物识别信息，是敏感个人信息，它裸露在无处不在的摄像头下，极易获得。在如今人脸识别系统并不成熟的情况下，用合成活动人脸骗过审核系统的案例屡见不鲜。
　　长期关注个人信息保护的专家，都对人脸识别的滥用充满忧虑。清华大学法学院教授劳东燕指出，从制度框架的合理设定来考虑，制造更多风险、获取更多收益的一方，理应承担更多的风险与责任，＂人脸识别是银行引进的，其是作为风险制造的参与方，通过这种方式银行也获益更多，应该承担和其所获收益成比例的风险责任＂。
　　她还指出，随着人工智能的发展，诈骗手段科技含量更高，银行应当与时俱进，使其安保技术超过犯罪手段的技术。如果银行因人脸识别技术存在的漏洞而相应承担责任，会有助于敦促银行堵住技术上的安全漏洞，对可能发生的诈骗犯罪起到预防作用。
　　被骗42.9万元
　　从接通电话那刻起，李红就陷入＂协助破案＂的迷局中。那是2021年6月19日上午10：30，电话那头自称＂北京市公安局户政科陈杰警官＂的人告诉李红，她的护照此前在哈尔滨涉嫌非法入境，让她向哈尔滨市公安局报案。对方轻易地报出了李红身份证号，这令她开始相信电话那头的＂警官＂。
　　李红被转接给哈尔滨市公安局的＂刘警官＂。对方告诉她，她涉嫌＂李燕反洗钱案＂，并让她登录一个网站查看＂公文＂。李红用手机登录对方提供的网站后，发现在一张蓝底的＂通缉公告＂上，印着自己的身份证照片、身份证号等户籍信息。
　　这令她陷入恐慌，因为在她平常的认知中，这些信息只有公安内部的人才能获得。接下来，她对＂警官＂的指挥百依百顺。按照指示，她从网站下载了＂公安防护＂软件和视频会议软件＂瞩目＂。
　　＂公安防护＂是一款诈骗人员常用的＂李鬼＂手机软件，其设计模仿＂国家反诈中心＂，如果受害者在里面输入银行卡和密码，诈骗人员就可在后台获取这些信息。
　　而＂瞩目＂虽然是普通的视频会议软件，但提供共享屏幕功能。在＂刘警官＂的要求下，李红通过＂瞩目＂，向对方共享了自己的手机屏幕，令其掌握了她安装的App种类信息，对方还通过这项功能远程操控她的手机，令她的手机号设置了呼叫转移，无法接收短信和电话。
　　最容易被忽略的是＂露脸＂。对方告诉李红，为了验证她是本人操作，她要通过＂瞩目＂开启会议模式，于是李红的人脸信息轻易暴露在对方面前。这也成为对方实施诈骗的关键一环。
　　李红始终没能挂断电话，＂刘警官＂故意令她与外界隔绝。下午13：46，按照要求，李红赶到交通银行北京长辛店支行，开设了一张借记卡。银行开卡记录显示，李红预留了自己的手机号，并允许借记卡通过＂网上银行、手机银行、自助设备＂三种方式转账，也允许这张卡进行境外取现和消费，但在其他功能中，她选择了＂小额免密免签不开通＂。
　　这意味着，当她进行5万元以内的转账时，仍需要验证。此外，李红还设置了转账限额，每日只能累计转账5万元。
　　在办理借记卡的过程中，交通银行向李红发放《北京市公安局防范电信诈骗安全提示单》。这份提示单中，载明了业务类型为＂开通网银或手机银行＂，并提示她可能存在有冒充公检法的人员，以打电话的方式告知她涉及案件，要求她向对方提供的账号转账，或是告知网银密码。李红在这份提示单上签字。
　　李红刚刚办好的借记卡，这张卡就被诈骗人员所掌控了。银行后台显示，当天13：51，即李红开卡15分钟后，就有诈骗人员通过人脸识别验证，重置了李红的用户名和密码，登录了她的手机银行。但李红对此并不知情，她正按照＂刘警官＂的要求，为了＂清查个人财产＂，向卡转入所有积蓄，以及所有能够贷款获得的现金。
　　交易记录显示，14：06至14：09，李红向这张卡转账5笔共计25万元，14：11和14：13，又分两笔转入5万元，此时李红卡内已有30万元。短短几分钟后，14：20诈骗人员就通过掌握的李红的手机银行，将这30万元转了出去。此后在14：30，李红又向卡内汇入12.9万元，这些钱在14：40被悉数转出。至此诈骗人员转走了李红42.9万元。
　　诈骗人员掌握了李红的＂人脸识别+动态密码＂后，通过修改密码，登录了她的手机银行，此后便如入无人之境，即使李红设置了每日5万元转账限额，也在诈骗人员登录后被轻易修改，之后每笔大额转账也都通过＂人脸识别+动态密码＂验证通过。
　　交通银行北京长辛店支行在法庭上回应称，＂交易密码、动态密码以及辅助人脸识别的客户鉴别模式＂符合监管要求，并且在李红转账过程中，银行对她进行了风险提示，包括通过运营商向她发送了短信密码、短信风险提示，以及在内部系统大数据分析发现异常后，拨打了李红的手机，对转账人身份及转账情况进行核实。
　　但李红称，对于银行所称发送了22条短信密码及短信风险提示，她只收到了其中的11条，而银行的来电她并未接到。这背后的原因在于她的短信被诈骗人员拦截，电话也呼叫转移到了诈骗人员的手机上。
　　银行提供的通话录音显示，在当天14：23，在诈骗人员正将李红银行卡中的30万元转出时，银行客服拨通李红预留的手机号，询问对方是否是李红本人、转账是否本人操作、收款人信息、与收款人的关系、转账的用途等，接电话的人均认可系本人操作，还称与收款人是朋友关系。
　　下午16：00，李红察觉到＂刘警官＂的反常态度，她在16：39用自己的手机首次登录了手机银行，却发现钱已被盗刷，她意识到自己被骗，前往派出所报警，并联系银行挂失银行卡。
　　银行出具的通话录音显示，当天17：08至17：25，银行三次拨通李红预留的手机号，接电话的人起先称自己是李红，认可办理过业务，否认办理银行卡挂失，但后来否认自己是李红，称客服＂打错了＂。
　　蹊跷的＂活检成功＂
　　民警追查到，2021年6月19日在13：51至14：42之间，李红手机银行登录者的IP地址在台湾，使用的设备是摩托罗拉XT1686，而当时李红在北京，她的手机型号是小米8。
　　银行后台记录显示，李红的借记卡在6月19日那天共有7次操作涉及人脸识别，均显示识别成功通过，其中1次为借记卡申请，1次为登录密码重置，5次为大额转账，除了第一次不涉及活检，后6次操作＂活检结果＂均为成功。
　　李红并未亲自操作，为何6次＂活检结果＂均为成功？李红的丈夫马跃（化名）在金融系统工作多年，他成为妻子起诉交通银行的代理人。他告诉《中国新闻周刊》，银行定下的＂人脸识别+短信验证码＂的验证模式，其本质目的在于确保由用户本人亲自操作转账，他妻子在完全不知情的情况下，被诈骗人员从账户中转走钱，银行应当承担保管不力的责任。
　　＂这就好比，本来约定需要我本人去银行才可以转账汇款，现在别人假冒我去银行，银行没有发现，那么造成的损失不应该由我完全承担。＂他认为，银行与储户之间的关系是债权关系，银行受骗，不应让储户承担全部责任。
　　李红以＂借记卡纠纷＂为案由起诉交通银行后，要求银行赔偿存款损失，但北京市丰台区人民法院一审驳回了她的诉求。
　　法院认为，李红在42.9万元被盗过程中＂过错明显＂，交通银行作为指令付款方，已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份，未见存在明显的错误或过失。
　　马跃认为，李红在北京刚办理了借记卡，紧接着IP地址在台湾的诈骗人员就能用不同的设备登录，并频繁操作大额转账，如此异常的操作，银行本应该识别出转账的非储户本人。
　　李红的遭遇并非孤例。早在2020年10月，浙江的赵女士就遭遇了同样的骗局，她的经历曾经被杭州本地媒体报道。赵女士讲述，在与假冒警察的犯罪分子视频时，对方曾要求她做＂张嘴＂＂眨眼＂＂摇头＂等动作，疑似通过录像来骗过银行的人脸识别系统。
　　联系上赵女士之后，马跃又联系到4名同样的受骗者，他们6人都遭遇了同样的诈骗套路，涉案金额超过200万元。
　　这6名受害者都为女性，受骗时间最晚的在2021年10月。她们都生活在大都市，具备一定知识水平，多人具备研究生学历，还有人就是律师。
　　交通银行的人脸识别服务商为北京眼神科技有限公司（下称＂眼神科技公司＂）。这家公司成立于2016年6月，其创始人、董事长兼CEO周军曾公开表示，其研究的＂生物密码＂，令＂用户到哪里密码就跟随到哪里＂＂只有本人可用＂。
　　其官网介绍，眼神科技是业内较早将指纹识别、人脸识别、虹膜识别等生物识别技术引入金融行业的AI企业，在金融行业，其目前已服务于中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、邮储银行、招商银行、民生银行等近150家银行机构，客户覆盖率达80%，实现柜面内外应用、手机银行、自助银行、风控管理等金融业务场景的全面覆盖。
　　2020年9月，眼神科技公司宣布中标交通银行人脸识别项目，向交通银行全行提供人脸识别产品，＂在现金管理、支付结算及账户管理等业务场景中实现人脸活检及身份识别功能＂。
　　在2021年9月，李红和其他女性被诈骗报案后，交通银行曾公告停用过人脸识别。这不久，马跃就发现交通银行手机银行系统进行了改版升级。但在这年10月，仍有一名受害人的交通银行账户被假人脸攻破。
　　目前，在交通银行手机银行用户协议中，人脸识别技术提供方仍是眼神科技公司，记者就此事联系了这家公司，但对方未给予答复。
　　板子该打在谁身上？
　　人脸识别系统被攻破，银行究竟有没有责任？浙江理工大学法政学院副教授郭兵告诉《中国新闻周刊》，在李红一案中，重点正是人脸识别系统被诈骗人员轻易攻破。
　　郭兵长期关注人脸识别的安全性。他认为，李红的人脸信息有可能被诈骗人员仿造了，＂诈骗人员掌握了她的人脸信息，通过技术手段可以生成动态的人脸信息＂。他说，有一种人脸活化软件，可分析照片和视频中的人脸信息，生成一张可供人操控的＂假人脸＂，来骗过人脸识别软件。
　　＂我们的人脸识别技术不可能尽善尽美。＂他提出，随着人工智能的发展，人脸识别软件和破解的活化软件都在发展，要谨防＂道高一尺魔高一丈＂。
　　事实上，被广泛应用的人脸识别技术，其破解难度有时简单得出乎意料。郭兵说，2019年，浙江有几名小学生用照片破解了居民小区的快递柜，轻易取走他人的快递。而在2021年10月，清华大学的学生团队，仅用人脸照片就成功解锁了20款手机。
　　＂人脸的照片太容易获得了。＂郭兵说，如果人脸识别系统用照片就能解锁，在遍布摄像头的当下，可能预示着巨大的隐患。
　　＂现在电信诈骗非常猖獗，盗用人脸信息的手段层出不穷，也给银行的人脸识别系统带来挑战。＂郭兵说，近期学界也对活化软件展开了研究，＂这都是釜底抽薪的手段＂。
　　他更担心的是，随着技术的发展，犯罪分子可能掌握了照片，就可＂活化＂出动态人脸，骗过人脸识别系统。
　　银行的防护能力关系到储户的资金安全。郭兵认为，应当对银行的人脸识别系统提出更高的要求。
　　在立法层面上，对人脸信息的保护正在逐步加强。在李红被诈骗几个月后，《个人信息保护法》正式生效，其中突出了作为敏感个人信息的生物识别信息的特别保护，规定＂处理个人敏感信息应该进行更多的告知，包括相应的风险，以及应当取得个人的单独同意＂。
　　在清华大学法学院教授劳东燕看来，银行普遍存在变相强迫采集储户人脸信息的现象。她说，＂至少就我个人的体会，去银行办理存款等业务，人脸识别都是在强制之下弄的，如果不同意采集人脸就办不了相应业务。＂
　　她告诉《中国新闻周刊》，尽管《个人信息保护法》强化了对人脸信息的保护，但这种强化其实只体现于征求同意的环节，其他地方和普通个人信息几乎没有差别，并没有在实质上抬高法律保护的门槛。
　　所以，她坚持认为，全国人大及其常委会有必要考虑对生物识别信息进行单独立法，不应放在《个人信息保护法》的框架下来进行保护。
　　她还提到，李红在银行办卡时被要求签署的《北京市公安局防范电信诈骗安全提示单》提示效果有限，＂现在诈骗手段层出不穷，仅靠个人的警惕是很难防住的＂。
　　在她看来，这个提示单对防范各种诈骗无法起到实质性作用，当储户被诈骗后，反而有可能起到让银行转嫁责任的效果。
　　＂防范和打击犯罪，本应由国家、银行与相关单位承担主要责任，现在越来越多变相地转嫁到作为被害人的个人身上。＂她指出，＂过多地让弱者承担风险并不公平＂。
　　劳东燕认为，要防范此类诈骗犯罪，重要的是在制度框架层面重新来考虑合理分配风险的问题。她说，＂风险跟责任有关，谁制造的风险原则上就应当由谁来承担。＂
　　她指出，人脸识别的推广和带来的风险，实际上是科技企业和银行制造的，在这其中，银行也比储户获得了更多科技带来的好处，＂谁在其中获益最大，谁就应该承担与获益成比例的风险＂。
　　＂另外，还应当考虑预防能力与预防效果方面的因素，将板子打在谁身上，预防效果是最好的呢？＂在她看来，银行的预防能力比储户要强得多，如果由银行部分地或按比例地承担因人脸识别风险造成的损失，将有助于督促银行审慎采集与保护储户信息，加强人脸识别系统的安全技术保障。
　　＂银行对人脸信息的技术保障需要超过一般的犯罪手段，否则，银行就不应采集与使用储户的人脸信息。＂她说。