要闻：【以案说法】银行须确保“刷脸”安全

□田忠华

(相关资料图)

近年来，“刷脸”被运用到银行业务工作中，要清楚的是，银行“刷脸”业务办理不同于其他行业，涉及的是资金业务，一旦出现问题，不但给客户造成损失，也会给银行带来声誉风险。因此，银行要特别重视“刷脸”的安全性。

“刷脸”业务存在风险

案例一：人脸信息丢失导致“被贷款”

2021年，广州客户王兰（化名）在遗失身份证后，被人冒用身份信息，通过银行的“人脸识别”功能贷款，导致王兰因“逾期贷款”被告上了法庭。广州互联网法院判定此案属“刷脸”引发的借款纠纷，最终经司法笔迹鉴定，认为涉案客户签名并非本人签署，手机号码亦未曾登记在客户名下，由此驳回银行上诉。

类似“刷脸”贷款案，四川警方查处了一个上百人的诈骗团伙。该团伙购买大量人脸视频，借助“僵尸企业”“空壳公司”，为6000多人包装公积金信息，然后向多家银行申请公积金贷款，最终带来10亿多元的坏账。

案例二：异地盗“刷”，存款不翼而飞

不久前，一篇“储户近200万元巨款不翼而飞，人脸识别漏洞成骗子作案工具”的报道，引起不小的震动。

因为存款被“刷脸”转走，马某起诉某银行。起因是：一年前，他妻子刚把50万元存进刚开的某银行卡中，不久账户中的资金就不翼而飞。报警、联系银行，马某很快得知，存款被盗刷。相关银行不承认存在过失，拒绝承担任何责任，被马某告上法庭。不久，马某的起诉被法院驳回。法院判定，此案对于银行来说，未见存在明显的过错和过失。马某认为，法院回避了某银行人脸识别漏洞问题，表示会坚持上诉。

从多起银行用户被盗刷数百万元存款案例的共同点来看，都是被犯罪分子利用个人信息作为辅助，在“人脸识别”上做文章，采取诱骗客户将钱存入某银行，通过银行“人脸识别”这一方法实施转账。

“刷脸”风险剖析

银行“刷脸”业务导致客户资金被盗或者是“被贷款”，从表面上看银行没有过错，但从实际操作中可以看到，“刷脸”成为登录、确认、申请、修改等银行业务环节中重要的验证技术，一旦人脸识别被伪造、网络受攻击，会给银行、储户带来严重的资金损失。事实证明，有些银行“刷脸”业务技术缺乏严谨性，也是金融科技应用中的漏洞。

对于“被贷款”事件，暴露了银行在贷款“三查”制度上的短板，对“僵尸企业”和“空壳公司”，其经营场地和市场监督管理部门、税务等管理机关的相关报表、纳税记录、营业执照年审等信息记录中，一定会有明显的特征。比如，一段时间没有经营收入、没有纳税、营业执照没有进行年审等记录，就能清楚了解所涉企业是否正常经营。从上述案例可以看到，在贷款管理方面，银行工作的严谨性需要提高。

“刷脸”导致客户“被贷款”或者是资金被盗，原因是，不法分子冒用客户身份，通过银行的“人脸识别”功能，实施犯罪。主要技术是通过把静态照片变成动态照片、利用视频植入、远端视频验证等手段，攻破人脸识别和活体检测算法；或者是通过与客户取得联系，用视频聊天方式采集客户的人脸识别重要信息：如张嘴、摇头、眨眼等人脸关键性特征信息等，获得人脸识别的条件，获取盗刷客户资金或者是“被贷款”“人脸识别”功能的关键要素。

还有些不法分子，为达到获取客户信息的目的，以公检法等人员身份，以保护客户权益、身份信息验证等所谓名正言顺的理由，让客户下载登录诈骗软件、提供个人身份信息、银行卡账户和交易密码等信息，达到诈骗的目的。

多措并举，为客户提供安全的金融科技服务

中国人民大学法学院副教授郭锐认为，在法律上，即便是由于技术本身无法实现百分之百的精确，对于造成的损失，银行也应该承担责任，不能以用户信息泄漏的说法逃避责任，除非能够证明用户和犯罪分子互相配合，导致了损失。为此，对于银行“刷脸”业务，无论从保护银行自身信誉，还是从维护消费者权益的角度考虑，银行都应该为客户提供安全的金融科技服务。重点需关注以下几个方面：

一是要建立金融科技安全体系。金融科技部门应本着安全的角度去研发使用“刷脸”金融业务技术，可以与相关计算机网络科研部门、相关大专院校计算机网络专业开展技术合作，研发成熟可用、安全可靠的“刷脸”金融业务应用系统，没有安全保证、没有过硬防盗刷脸能力的科技软件不可盲目上马，避免由于系统漏洞给银行、消费者带来经济损失。

二是做好银行“刷脸”业务风险知识宣传。通过网络、微信群、媒体、线下宣传等方式，让金融消费者认识到人脸识别采集生物特征信息的重要性，每个人要像保护身份证一样保护好自己的生物特征信息。消费者如果遇到外来任何方式（线上和线下）所谓“拍照”场景，如摇头、张嘴、眨眼等特殊动作信息采集要求的情况，要提高警惕，在没有弄清事情缘由前，应终止信息采集（特别是对于陌生人或者是通过网络方式的上述信息采集）。同时，在办理金融业务时，在使用银行、保险等金融相关APP时，要下载官方APP，不要随意下载不明来源的APP，不要将手机轻易交给他人操作，更不要将办理业务的验证码、账户支付密码泄露给他人。

三是银行要推广使用安全成熟的业务运用系统。各商业银行在投入和更新“刷脸”业务系统前，要通过专业人员，制造多种假想盗刷脸业务场景进行测试验证，查找不足，弥补短板，增加多层次防范盗刷脸风险的防护网。同时，要细化人脸识别系统的精准度和安全性，增加信息验证：如指纹验证、实行登录设备备案制、登录地点备案制等多种制约方法，保护好消费者的资金不受损失。为更进一步明确责任，应增加预留签字验证功能，作为本人操作的依据，也是杜绝防盗刷存款、防盗刷脸贷款明确责任的重要手段。

四是防范客户信息泄露。银行保险业、电信业、人力资源社会保障等涉及受理客户个人信息的单位，要做好客户信息保护工作，严防信息泄露，避免不法分子使用获得的个人信息，通过电话、视频等方式与客户联系，获得客户的关键信息，从而实施犯罪活动。

五是严格执行内控制度。要严格落实贷前调查制度，了解个人或者企业贷款用途的真实性、借款企业的运营情况，杜绝“刷脸”业务引发的“被贷款”事件发生。对于企业贷款，可以运用大数据，实现税务、市场监督管理局等部门信息共享，查阅贷款申请单位的营业执照年检和最新纳税情况，通过上述两种方式，可以掌握企业的经营和真实存在情况，防止以“空壳公司”“僵尸企业”为名贷款，有效防范“被贷款”风险。

（作者单位：山东巨野农商银行）

关键词： 营业执照 不翼而飞 个人信息