手動輸入繁瑣密碼和抬頭面向攝像頭刷下人臉，你更傾向于哪一項?

近日，持續(xù)刷屏的“銀行人臉識別系統(tǒng)被攻破”的消息備受關(guān)注，讓不少消費者都慌了神。

除了涉案金額之大、操作手法翻新外，更讓消費者緊張的是，大家頻繁使用的人臉識別，到底還安不安全?為何不是本人操作還能活檢成功?人臉識別究竟還有哪些隱藏風(fēng)險?后續(xù)又該如何防范?

誰的責(zé)任

根據(jù)消息，某大行一位儲戶陷入詐騙分子圈套，導(dǎo)致銀行卡和密碼等信息被獲取、手機短信被攔截，此后又登錄了對方的視頻會議軟件，在屏幕共享的方式下被對方“盜臉”，最終，該儲戶被詐騙分子轉(zhuǎn)走了42.9萬元。

這一事件存在多個爭議。一是犯罪分子的IP地址為中國臺灣，受害者本人并未離京，其中遠在臺灣的犯罪分子轉(zhuǎn)賬使用了短信+人臉識別的方式，且6次通過人臉識別，但銀行卻一次都沒識別出來為假人臉，其中是何原因?銀行是否有過失?

另外該案件也牽出了一家為銀行提供人臉識別服務(wù)的科技公司北京眼神科技有限公司(以下簡稱“眼神科技”)，該公司業(yè)務(wù)覆蓋銀行內(nèi)部風(fēng)控、授權(quán)管理、智慧網(wǎng)點、網(wǎng)絡(luò)金融等，服務(wù)了包括6家國有銀行在內(nèi)的近150家銀行機構(gòu)，客戶覆蓋率高達80%。雖然類似風(fēng)險事件為偶發(fā)性案例，但也讓不少消費者擔(dān)心，背后科技公司產(chǎn)品技術(shù)是否過關(guān)?與其合作的其他銀行人臉識別系統(tǒng)是否安全?

針對此次事件與后續(xù)應(yīng)對方案，北京商報記者向相關(guān)銀行與眼神科技求證采訪，后者表示不便回應(yīng)。

不過，有銀行工作人員向北京商報記者提醒，要避免類似風(fēng)險事件，自身不要登錄第三方風(fēng)險網(wǎng)站，也不要隨意點擊不明鏈接，切記不能將密碼外露給他人，保護好個人信息。

另外，一位與多家銀行合作刷臉認證的科技公司人員告訴北京商報記者，從技術(shù)的角度來看，沒有完全安全的系統(tǒng)，人臉識別系統(tǒng)被攻破，也說明了道高一尺魔高一丈。

在他看來，對于本次事件涉及的科技公司，最直接的責(zé)任就是提供的產(chǎn)品有一個簡單而致命的問題，就是在產(chǎn)品交付的時候沒有提前發(fā)現(xiàn)，而銀行負責(zé)驗收的部門也沒有發(fā)現(xiàn)。另外也有儲戶自身問題，就是警覺性不高，防詐意識不強。

此事也反映了目前銀行在技術(shù)安全存在方面的多個痛點。前述科技公司人員坦言，目前大多銀行沒有屬于自己的核心技術(shù)公司，大多以外包服務(wù)的形式獲得支持，但這一過程中，一旦出現(xiàn)技術(shù)問題，銀行與第三方公司的責(zé)任如何厘清?另外，由于并不是銀行自身進行人臉識別，第三方公司在設(shè)計這種人臉識別系統(tǒng)時，是否又會存在考慮不全等問題?多個問題仍待商榷。

北京市中聞律師事務(wù)所律師李亞同樣指出，這個事件說明人臉識別技術(shù)應(yīng)用在金融領(lǐng)域尚存在一定的風(fēng)險。“從科技公司的角度來說，如果并非單純的技術(shù)原因?qū)е氯四樧R別系統(tǒng)出現(xiàn)問題，則不用承擔(dān)責(zé)任;但銀行作為使用該技術(shù)手段的一方，其安全體系設(shè)計有漏洞，對于造成的儲戶損失，我認為是不能免責(zé)的，不能將責(zé)任完全推給儲戶自身。”李亞稱。

南開大學(xué)金融學(xué)院博士、金融科技專業(yè)人士李姿璇則認為，此事件中，生物識別技術(shù)公司會以簽署戰(zhàn)略合作協(xié)議的形式為銀行提供技術(shù)支持，如果出現(xiàn)識別系統(tǒng)被攻破的問題，銀行或應(yīng)直接對儲戶負責(zé)，科技公司則依協(xié)議對銀行負責(zé)。

風(fēng)險在哪

雖然這些案例幾乎都被定性為電信詐騙，但從大眾反映來看，更關(guān)切的是背后的人臉識別風(fēng)險。

如今，數(shù)字經(jīng)濟時代的到來使人們存取和支付的方式由線下轉(zhuǎn)到了線上，相應(yīng)地，不法分子盜取財產(chǎn)的方式也從偷竊搶劫轉(zhuǎn)為了詐騙和程序破解。

前述與多家銀行合作刷臉認證的科技公司人員告訴北京商報記者，人臉識別和線上交易大大提高了效率，但也肯定存在一定風(fēng)險，這種效率的提高對銀行和用戶來說都有所受益。但對于隱藏風(fēng)險，銀行是否應(yīng)提前告知客戶?

對此，7月19日，北京商報記者親測了多家銀行的人臉識別操作，開啟該功能一般都需要勾選人臉授權(quán)或在安全中心開啟面容ID認證，為保證安全，在開啟面容ID轉(zhuǎn)賬、支付等功能時，銀行也會通過支付密碼、手機驗證碼等多個方式輔助驗證，驗證通過后，后續(xù)用戶在登錄App、進行支付時，部分銀行一般會優(yōu)先采用人臉識別的方式。

另外，北京商報記者在銀行人臉信息驗證授權(quán)協(xié)議中也發(fā)現(xiàn)，鮮有機構(gòu)披露背后的技術(shù)服務(wù)公司，不過協(xié)議中對相關(guān)風(fēng)險有提到，“由于技術(shù)水平限制及可能存在的各種惡意手段，銀行在使用人臉信息識別功能時，有可能因可控范圍外的因素而出現(xiàn)問題，例如計算機黑客襲擊、系統(tǒng)故障、電腦病毒、惡意程序攻擊等而導(dǎo)致用戶無法正常使用人臉信息驗證服務(wù)或造成其他損失的，銀行不承擔(dān)責(zé)任”。

李姿璇告訴北京商報記者，人臉識別存在的風(fēng)險主要可以分為權(quán)限風(fēng)險和技術(shù)風(fēng)險。權(quán)限風(fēng)險是指商家或個人通過非法采集掌握了相關(guān)數(shù)據(jù)，要規(guī)避這一風(fēng)險必須在法制層面進行加強，而技術(shù)風(fēng)險則是指通過對抗技術(shù)攻破了識別系統(tǒng)。

對此她補充道，“任何技術(shù)的進步都伴隨著其對抗破解技術(shù)的發(fā)展，我們不能因風(fēng)險的存在就否定生物識別技術(shù)的便捷性。雖然技術(shù)風(fēng)險很難避免，但科技公司或許可以利用對抗技術(shù)的延遲性，通過加快技術(shù)改進的速度來有效緩解”。

如何防范

此次風(fēng)險事件，也暴露了金融機構(gòu)和技術(shù)公司的人臉識別技術(shù)水平有待提升。

浙江大學(xué)國際聯(lián)合商學(xué)院數(shù)字經(jīng)濟與金融創(chuàng)新研究中心聯(lián)席主任、研究員盤和林介紹，當(dāng)前各家生物識別技術(shù)公司都是以技術(shù)支持、技術(shù)外包的方式和銀行展開合作，生物識別技術(shù)公司提供技術(shù)，銀行提供平臺接口。

這樣的合作模式下，后續(xù)針對此類風(fēng)險事件又該如何防范?

在盤和林看來，一方面，部分人臉識別企業(yè)的人臉識別技術(shù)還需要進一步完善，需要通過機器學(xué)習(xí)來增強人臉識別的識別率。另一方面，金融機構(gòu)也要對特殊情況做出細致的安全考慮和預(yù)防，不能單獨依賴人臉識別，還可以配合其他生物識別技術(shù)，例如聲紋識別、指紋識別等。

李姿璇認為，銀行有責(zé)任實時監(jiān)控風(fēng)險，保障儲戶資金安全;銀行儲戶也要有風(fēng)險防范意識，一方面保護自己的識別信息和密碼不泄露，另一方面可以將存款放置在不同銀行的不同賬戶，分散風(fēng)險。

李亞則指出，建議技術(shù)服務(wù)方不斷完善技術(shù)措施和水平。在相關(guān)技術(shù)水平未達到時，銀行作為使用方，有責(zé)任采納更成熟的技術(shù)，或提供更多的檢驗或確認身份的方案來確保交易的安全。對于用戶，需要謹慎對待個人敏感信息，不在任何非官方和非正規(guī)渠道輸入或保存?zhèn)€人敏感信息。

“人臉識別實際上可以歸為支付介質(zhì)中生物識別方式的一種，優(yōu)點在于加速了科技的應(yīng)用，提升了便利程度，也是支付介質(zhì)未來的發(fā)展方向，但同時也會衍生個人隱私保護、應(yīng)用安全以及數(shù)據(jù)安全等問題。”博通咨詢金融業(yè)資深分析師王蓬博認為，在遵守現(xiàn)有法律法規(guī)基礎(chǔ)上，后續(xù)對于人臉識別應(yīng)用要更加慎重地考慮個人隱私保護，應(yīng)用上也要尊重個人意愿，在支付驗證時可增加驗證維度和驗證方式，在便利性和安全性上找到一個更好的平衡點。

關(guān)鍵詞： 銀行人臉識別 人臉識別技術(shù) 信息泄露 資金安全