(相關資料圖)

近年來，“刷臉”被運用到銀行業務工作中，要清楚的是，銀行“刷臉”業務辦理不同于其他行業，涉及的是資金業務，一旦出現問題，不但給客戶造成損失，也會給銀行帶來聲譽風險。因此，銀行要特別重視“刷臉”的安全性。

“刷臉”業務存在風險

案例一：人臉信息丟失導致“被貸款”

2021年，廣州客戶王蘭（化名）在遺失身份證后，被人冒用身份信息，通過銀行的“人臉識別”功能貸款，導致王蘭因“逾期貸款”被告上了法庭。廣州互聯網法院判定此案屬“刷臉”引發的借款糾紛，最終經司法筆跡鑒定，認為涉案客戶簽名并非本人簽署，手機號碼亦未曾登記在客戶名下，由此駁回銀行上訴。

類似“刷臉”貸款案，四川警方查處了一個上百人的詐騙團伙。該團伙購買大量人臉視頻，借助“僵尸企業”“空殼公司”，為6000多人包裝公積金信息，然后向多家銀行申請公積金貸款，最終帶來10億多元的壞賬。

案例二：異地盜“刷”，存款不翼而飛

不久前，一篇“儲戶近200萬元巨款不翼而飛，人臉識別漏洞成騙子作案工具”的報道，引起不小的震動。

因為存款被“刷臉”轉走，馬某起訴某銀行。起因是：一年前，他妻子剛把50萬元存進剛開的某銀行卡中，不久賬戶中的資金就不翼而飛。報警、聯系銀行，馬某很快得知，存款被盜刷。相關銀行不承認存在過失，拒絕承擔任何責任，被馬某告上法庭。不久，馬某的起訴被法院駁回。法院判定，此案對于銀行來說，未見存在明顯的過錯和過失。馬某認為，法院回避了某銀行人臉識別漏洞問題，表示會堅持上訴。

從多起銀行用戶被盜刷數百萬元存款案例的共同點來看，都是被犯罪分子利用個人信息作為輔助，在“人臉識別”上做文章，采取誘騙客戶將錢存入某銀行，通過銀行“人臉識別”這一方法實施轉賬。

“刷臉”風險剖析

銀行“刷臉”業務導致客戶資金被盜或者是“被貸款”，從表面上看銀行沒有過錯，但從實際操作中可以看到，“刷臉”成為登錄、確認、申請、修改等銀行業務環節中重要的驗證技術，一旦人臉識別被偽造、網絡受攻擊，會給銀行、儲戶帶來嚴重的資金損失。事實證明，有些銀行“刷臉”業務技術缺乏嚴謹性，也是金融科技應用中的漏洞。

對于“被貸款”事件，暴露了銀行在貸款“三查”制度上的短板，對“僵尸企業”和“空殼公司”，其經營場地和市場監督管理部門、稅務等管理機關的相關報表、納稅記錄、營業執照年審等信息記錄中，一定會有明顯的特征。比如，一段時間沒有經營收入、沒有納稅、營業執照沒有進行年審等記錄，就能清楚了解所涉企業是否正常經營。從上述案例可以看到，在貸款管理方面，銀行工作的嚴謹性需要提高。

“刷臉”導致客戶“被貸款”或者是資金被盜，原因是，不法分子冒用客戶身份，通過銀行的“人臉識別”功能，實施犯罪。主要技術是通過把靜態照片變成動態照片、利用視頻植入、遠端視頻驗證等手段，攻破人臉識別和活體檢測算法；或者是通過與客戶取得聯系，用視頻聊天方式采集客戶的人臉識別重要信息：如張嘴、搖頭、眨眼等人臉關鍵性特征信息等，獲得人臉識別的條件，獲取盜刷客戶資金或者是“被貸款”“人臉識別”功能的關鍵要素。

還有些不法分子，為達到獲取客戶信息的目的，以公檢法等人員身份，以保護客戶權益、身份信息驗證等所謂名正言順的理由，讓客戶下載登錄詐騙軟件、提供個人身份信息、銀行卡賬戶和交易密碼等信息，達到詐騙的目的。

多措并舉，為客戶提供安全的金融科技服務

中國人民大學法學院副教授郭銳認為，在法律上，即便是由于技術本身無法實現百分之百的精確，對于造成的損失，銀行也應該承擔責任，不能以用戶信息泄漏的說法逃避責任，除非能夠證明用戶和犯罪分子互相配合，導致了損失。為此，對于銀行“刷臉”業務，無論從保護銀行自身信譽，還是從維護消費者權益的角度考慮，銀行都應該為客戶提供安全的金融科技服務。重點需關注以下幾個方面：

一是要建立金融科技安全體系。金融科技部門應本著安全的角度去研發使用“刷臉”金融業務技術，可以與相關計算機網絡科研部門、相關大專院校計算機網絡專業開展技術合作，研發成熟可用、安全可靠的“刷臉”金融業務應用系統，沒有安全保證、沒有過硬防盜刷臉能力的科技軟件不可盲目上馬，避免由于系統漏洞給銀行、消費者帶來經濟損失。

二是做好銀行“刷臉”業務風險知識宣傳。通過網絡、微信群、媒體、線下宣傳等方式，讓金融消費者認識到人臉識別采集生物特征信息的重要性，每個人要像保護身份證一樣保護好自己的生物特征信息。消費者如果遇到外來任何方式（線上和線下）所謂“拍照”場景，如搖頭、張嘴、眨眼等特殊動作信息采集要求的情況，要提高警惕，在沒有弄清事情緣由前，應終止信息采集（特別是對于陌生人或者是通過網絡方式的上述信息采集）。同時，在辦理金融業務時，在使用銀行、保險等金融相關APP時，要下載官方APP，不要隨意下載不明來源的APP，不要將手機輕易交給他人操作，更不要將辦理業務的驗證碼、賬戶支付密碼泄露給他人。

三是銀行要推廣使用安全成熟的業務運用系統。各商業銀行在投入和更新“刷臉”業務系統前，要通過專業人員，制造多種假想盜刷臉業務場景進行測試驗證，查找不足，彌補短板，增加多層次防范盜刷臉風險的防護網。同時，要細化人臉識別系統的精準度和安全性，增加信息驗證：如指紋驗證、實行登錄設備備案制、登錄地點備案制等多種制約方法，保護好消費者的資金不受損失。為更進一步明確責任，應增加預留簽字驗證功能，作為本人操作的依據，也是杜絕防盜刷存款、防盜刷臉貸款明確責任的重要手段。

四是防范客戶信息泄露。銀行保險業、電信業、人力資源社會保障等涉及受理客戶個人信息的單位，要做好客戶信息保護工作，嚴防信息泄露，避免不法分子使用獲得的個人信息，通過電話、視頻等方式與客戶聯系，獲得客戶的關鍵信息，從而實施犯罪活動。

五是嚴格執行內控制度。要嚴格落實貸前調查制度，了解個人或者企業貸款用途的真實性、借款企業的運營情況，杜絕“刷臉”業務引發的“被貸款”事件發生。對于企業貸款，可以運用大數據，實現稅務、市場監督管理局等部門信息共享，查閱貸款申請單位的營業執照年檢和最新納稅情況，通過上述兩種方式，可以掌握企業的經營和真實存在情況，防止以“空殼公司”“僵尸企業”為名貸款，有效防范“被貸款”風險。

（作者單位：山東巨野農商銀行）