来源:中国银行保险报
□田忠华
近年来,“刷脸”被运用到银行业务工作中,要清楚的是,银行“刷脸”业务办理不同于其他行业,涉及的是资金业务,一旦出现问题,不但给客户造成损失,也会给银行带来声誉风险。因此,银行要特别重视“刷脸”的安全性。
“刷脸”业务存在风险
案例一:人脸信息丢失导致“被贷款”
2021年,广州客户王兰(化名)在遗失身份证后,被人冒用身份信息,通过银行的“人脸识别”功能贷款,导致王兰因“逾期贷款”被告上了法庭。广州互联网法院判定此案属“刷脸”引发的借款纠纷,最终经司法笔迹鉴定,认为涉案客户签名并非本人签署,手机号码亦未曾登记在客户名下,由此驳回银行上诉。
类似“刷脸”贷款案,四川警方查处了一个上百人的诈骗团伙。该团伙购买大量人脸视频,借助“僵尸企业”“空壳公司”,为6000多人包装公积金信息,然后向多家银行申请公积金贷款,最终带来10亿多元的坏账。
案例二:异地盗“刷”,存款不翼而飞
不久前,一篇“储户近200万元巨款不翼而飞,人脸识别漏洞成骗子作案工具”的报道,引起不小的震动。
因为存款被“刷脸”转走,马某起诉某银行。起因是:一年前,他妻子刚把50万元存进刚开的某银行卡中,不久账户中的资金就不翼而飞。报警、联系银行,马某很快得知,存款被盗刷。相关银行不承认存在过失,拒绝承担任何责任,被马某告上法庭。不久,马某的起诉被法院驳回。法院判定,此案对于银行来说,未见存在明显的过错和过失。马某认为,法院回避了某银行人脸识别漏洞问题,表示会坚持上诉。
从多起银行用户被盗刷数百万元存款案例的共同点来看,都是被犯罪分子利用个人信息作为辅助,在“人脸识别”上做文章,采取诱骗客户将钱存入某银行,通过银行“人脸识别”这一方法实施转账。
“刷脸”风险剖析
银行“刷脸”业务导致客户资金被盗或者是“被贷款”,从表面上看银行没有过错,但从实际操作中可以看到,“刷脸”成为登录、确认、申请、修改等银行业务环节中重要的验证技术,一旦人脸识别被伪造、网络受攻击,会给银行、储户带来严重的资金损失。事实证明,有些银行“刷脸”业务技术缺乏严谨性,也是金融科技应用中的漏洞。
对于“被贷款”事件,暴露了银行在贷款“三查”制度上的短板,对“僵尸企业”和“空壳公司”,其经营场地和市场监督管理部门、税务等管理机关的相关报表、纳税记录、营业执照年审等信息记录中,一定会有明显的特征。比如,一段时间没有经营收入、没有纳税、营业执照没有进行年审等记录,就能清楚了解所涉企业是否正常经营。从上述案例可以看到,在贷款管理方面,银行工作的严谨性需要提高。
“刷脸”导致客户“被贷款”或者是资金被盗,原因是,不法分子冒用客户身份,通过银行的“人脸识别”功能,实施犯罪。主要技术是通过把静态照片变成动态照片、利用视频植入、远端视频验证等手段,攻破人脸识别和活体检测算法;或者是通过与客户取得联系,用视频聊天方式采集客户的人脸识别重要信息:如张嘴、摇头、眨眼等人脸关键性特征信息等,获得人脸识别的条件,获取盗刷客户资金或者是“被贷款”“人脸识别”功能的关键要素。
还有些不法分子,为达到获取客户信息的目的,以公检法等人员身份,以保护客户权益、身份信息验证等所谓名正言顺的理由,让客户下载登录诈骗软件、提供个人身份信息、银行卡账户和交易密码等信息,达到诈骗的目的。
多措并举,为客户提供安全的金融科技服务
中国人民大学法学院副教授郭锐认为,在法律上,即便是由于技术本身无法实现百分之百的精确,对于造成的损失,银行也应该承担责任,不能以用户信息泄漏的说法逃避责任,除非能够证明用户和犯罪分子互相配合,导致了损失。为此,对于银行“刷脸”业务,无论从保护银行自身信誉,还是从维护消费者权益的角度考虑,银行都应该为客户提供安全的金融科技服务。重点需关注以下几个方面:
一是要建立金融科技安全体系。金融科技部门应本着安全的角度去研发使用“刷脸”金融业务技术,可以与相关计算机网络科研部门、相关大专院校计算机网络专业开展技术合作,研发成熟可用、安全可靠的“刷脸”金融业务应用系统,没有安全保证、没有过硬防盗刷脸能力的科技软件不可盲目上马,避免由于系统漏洞给银行、消费者带来经济损失。
二是做好银行“刷脸”业务风险知识宣传。通过网络、微信群、媒体、线下宣传等方式,让金融消费者认识到人脸识别采集生物特征信息的重要性,每个人要像保护身份证一样保护好自己的生物特征信息。消费者如果遇到外来任何方式(线上和线下)所谓“拍照”场景,如摇头、张嘴、眨眼等特殊动作信息采集要求的情况,要提高警惕,在没有弄清事情缘由前,应终止信息采集(特别是对于陌生人或者是通过网络方式的上述信息采集)。同时,在办理金融业务时,在使用银行、保险等金融相关APP时,要下载官方APP,不要随意下载不明来源的APP,不要将手机轻易交给他人操作,更不要将办理业务的验证码、账户支付密码泄露给他人。
三是银行要推广使用安全成熟的业务运用系统。各商业银行在投入和更新“刷脸”业务系统前,要通过专业人员,制造多种假想盗刷脸业务场景进行测试验证,查找不足,弥补短板,增加多层次防范盗刷脸风险的防护网。同时,要细化人脸识别系统的精准度和安全性,增加信息验证:如指纹验证、实行登录设备备案制、登录地点备案制等多种制约方法,保护好消费者的资金不受损失。为更进一步明确责任,应增加预留签字验证功能,作为本人操作的依据,也是杜绝防盗刷存款、防盗刷脸贷款明确责任的重要手段。
四是防范客户信息泄露。银行保险业、电信业、人力资源社会保障等涉及受理客户个人信息的单位,要做好客户信息保护工作,严防信息泄露,避免不法分子使用获得的个人信息,通过电话、视频等方式与客户联系,获得客户的关键信息,从而实施犯罪活动。
五是严格执行内控制度。要严格落实贷前调查制度,了解个人或者企业贷款用途的真实性、借款企业的运营情况,杜绝“刷脸”业务引发的“被贷款”事件发生。对于企业贷款,可以运用大数据,实现税务、市场监督管理局等部门信息共享,查阅贷款申请单位的营业执照年检和最新纳税情况,通过上述两种方式,可以掌握企业的经营和真实存在情况,防止以“空壳公司”“僵尸企业”为名贷款,有效防范“被贷款”风险。
(作者单位:山东巨野农商银行)