站在銀行ATM機(jī)前,只看一眼攝像頭,然后再輸入取款金額、手機(jī)號,就能自動吐鈔拿走現(xiàn)金。整個(gè)過程只要一張臉就能完成,殊不知消費(fèi)者在享受人臉識別技術(shù)帶來便利的同時(shí),也要清楚認(rèn)識到人臉識別帶來的信息泄露風(fēng)險(xiǎn)。11月28日,記者梳理發(fā)現(xiàn),開年至今已有平安銀行(000001)、光大銀行(601818)、綿陽市商業(yè)銀行、平輿農(nóng)商銀行、確山農(nóng)商行等多銀行發(fā)布防范人臉識別的風(fēng)險(xiǎn)提醒,稱應(yīng)減少人臉信息被利用的風(fēng)險(xiǎn),同時(shí),提醒消費(fèi)者保管好金融賬戶個(gè)人社???、銀行卡及賬戶,切勿出租或出借給他人使用。
多家銀行發(fā)布風(fēng)險(xiǎn)提示
近年來,隨著金融科技的不斷升級,人臉識別已經(jīng)在消費(fèi)者遠(yuǎn)程購買金融產(chǎn)品、享受金融服務(wù)中得到廣泛應(yīng)用,但由于人臉識別屬于個(gè)人敏感信息,一旦泄露、非法提供或者濫用將極易危害消費(fèi)者人身和財(cái)產(chǎn)安全。
為了保護(hù)消費(fèi)者人臉信息,11月28日,記者梳理發(fā)現(xiàn),開年至今已有平安銀行、光大銀行、綿陽市商業(yè)銀行、平輿農(nóng)商銀行、確山農(nóng)商行等多家銀行發(fā)布防范人臉識別的風(fēng)險(xiǎn)提醒。
“人臉信息具有唯一性和不可更改性,一旦泄露,帶來的風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)超過密碼泄露。”平安銀行在公告中表示,建議消費(fèi)者從官方正規(guī)渠道下載軟件和應(yīng)用;切勿通過不明鏈接上傳提供身份證照片、個(gè)人影像信息等;謹(jǐn)防冒充公檢法詐騙,對涉及到需要收集照片、面部特征或要求遠(yuǎn)程人臉認(rèn)證、屏幕分享等操作,提高警惕性。切勿輕易把手機(jī)交給他人操作,或把支付密碼、短信驗(yàn)證碼等關(guān)鍵敏感信息泄露他人。
確山農(nóng)商行也在風(fēng)險(xiǎn)提示中稱,應(yīng)增強(qiáng)個(gè)人信息保護(hù)意識,不要輕易在不明軟件、小程序上泄露自己的人臉照、動態(tài)視頻、手持身份證照片等,減少人臉信息被利用的風(fēng)險(xiǎn)。同時(shí)在社交平臺發(fā)布日常動態(tài)時(shí),不要泄露自己的車票、護(hù)照、身份證照片等。同時(shí),保管好金融賬戶個(gè)人社???、銀行卡及賬戶,切勿出租或出借給他人使用,防止身份信息被他人冒用。
綿陽市商業(yè)銀行表示,金融消費(fèi)者應(yīng)當(dāng)認(rèn)識到人臉識別采集的生物特征信息十分重要,要像保護(hù)身份證一樣保護(hù)好自己的生物特征信息。消費(fèi)者如果遇到一些“拍照”場景有搖頭、張嘴等特殊動作要求的情況,就應(yīng)該提高警惕,看清屏幕中是“拍照”還是“人臉識別”。
華東師范大學(xué)交叉創(chuàng)新實(shí)驗(yàn)室主任劉峰在接受記者采訪時(shí)指出,銀行發(fā)布風(fēng)險(xiǎn)的原因主要還是在于大量原本通過柜臺、ATM密碼取款的傳統(tǒng)現(xiàn)金業(yè)務(wù)依賴六位密碼和實(shí)體卡,現(xiàn)今隨著數(shù)字化業(yè)務(wù)的融合,大量的業(yè)務(wù)開始使用更便利的人臉識別業(yè)務(wù),導(dǎo)致相關(guān)業(yè)務(wù)面臨潛在危險(xiǎn),需要客戶提高風(fēng)險(xiǎn)意識。
濫用、盜刷風(fēng)險(xiǎn)曾引監(jiān)管機(jī)構(gòu)提示
近年來,因認(rèn)識不足而在不知情或者在被誤導(dǎo)情況下使用人臉識別技術(shù)的風(fēng)險(xiǎn),給不法分子可乘之機(jī)的新聞見諸報(bào)端。
人臉信息是如何泄露的呢?在多家銀行發(fā)布的風(fēng)險(xiǎn)提示中,記者注意到,除了較為常見的不法分子通過發(fā)送欺詐鏈接等方式,非法套取受騙者的個(gè)人信息,誘導(dǎo)受騙者通過不明鏈接上傳提供身份證照片、影像信息之外,還有在用戶使用某些娛樂性的換臉軟件、人像合成等小程序的過程中,運(yùn)營方會收集用戶的照片、面部特征,若保管不當(dāng)或
服務(wù)器被入侵,則會造成人臉數(shù)據(jù)泄露。
今年10月,上海銀保監(jiān)局曾發(fā)布關(guān)于防范人臉識別技術(shù)使用風(fēng)險(xiǎn)的消費(fèi)提示列舉了人臉識別信息被盜刷的案例,“馬先生65歲的母親不熟悉手機(jī)操作,經(jīng)常讓保姆張某幫忙。一段時(shí)間后,老人告訴馬先生當(dāng)月商業(yè)養(yǎng)老保險(xiǎn)金未到賬,馬先生隨后去保險(xiǎn)公司查詢保單,發(fā)現(xiàn)保單已被質(zhì)押,目前現(xiàn)金價(jià)值已經(jīng)歸零。馬先生十分震驚,趕緊與保險(xiǎn)公司溝通調(diào)查,發(fā)現(xiàn)保姆張某以幫拍照名義讓老人通過人臉識別核驗(yàn),并同時(shí)通過操作老人手機(jī)獲取驗(yàn)證碼,突破了‘人臉識別+手機(jī)號驗(yàn)證’雙重防線,在手機(jī)端完成了保單質(zhì)押貸款操作。隨后馬先生報(bào)警”。
針對此類風(fēng)險(xiǎn),上海銀保監(jiān)局鄭重提醒,金融消費(fèi)者要做到“人臉識別有了解,生物信息應(yīng)保護(hù),手機(jī)操作莫予人”,讓人臉識別技術(shù)真正便民、利民、護(hù)民。光大銀行科技創(chuàng)新實(shí)驗(yàn)室在人臉識別技術(shù)的風(fēng)險(xiǎn)和防范一文中指出,目前對于人臉識別在銀行業(yè)的應(yīng)用產(chǎn)生較大隱患的對抗攻擊為Impersonation攻擊的黑盒攻擊。該攻擊可以在不知道目標(biāo)銀行所使用的人臉識別算法的情況下,僅僅憑借攻擊目標(biāo)的人臉信息以及賬戶信息攻破銀行的人臉識別系統(tǒng),進(jìn)而騙取貸款或者竊取賬戶資金。
在金樂函數(shù)分析師廖鶴凱看來,人臉信息對于個(gè)人具有唯一性,是當(dāng)下識別個(gè)人身份、個(gè)人支付核驗(yàn)的重要手段,人臉信息的泄露對于個(gè)人的信息安全甚至金融安全都會造成較大影響,有潛在造成重大經(jīng)濟(jì)損失的可能。
應(yīng)用標(biāo)準(zhǔn)不一、數(shù)據(jù)管理存挑戰(zhàn)
記者在測評中發(fā)現(xiàn),目前人臉識別較為常見的應(yīng)用方式就是身份權(quán)限認(rèn)證。例如,在一家股份制銀行手機(jī)銀行新用戶登錄頁面,該行就提醒稱,可以將賬戶設(shè)置為常用設(shè)備以及可信設(shè)備,在常用設(shè)備上發(fā)起轉(zhuǎn)賬,采用人臉識別認(rèn)證方式日累計(jì)限額為20萬元;采用可信設(shè)備方式發(fā)起轉(zhuǎn)賬,人臉識別認(rèn)證方式日累計(jì)限額為50萬元。
其次就是刷臉取款,客戶如需取款,首先在ATM屏幕首頁點(diǎn)擊選擇“刷臉取款”功能,系統(tǒng)將自動抓拍現(xiàn)場照片,在后臺與銀行的可信照片源進(jìn)行比對,驗(yàn)證通過后,客戶輸入手機(jī)號碼進(jìn)一步確認(rèn)身份,接著輸入取款金額、密碼,最后拿取現(xiàn)金,整個(gè)過程不需要插入實(shí)體卡片。
“現(xiàn)在人臉識別已經(jīng)作為金融消費(fèi)者身份輔助認(rèn)證的重要手段,原因就是銀行客戶數(shù)量龐大,人臉識別能快速精準(zhǔn)地識別用戶。”一位與銀行合作刷臉認(rèn)證的科技公司人員向記者透露稱,目前人臉識別技術(shù)對環(huán)境的要求較嚴(yán)格,例如在強(qiáng)光或者弱光環(huán)境下會影響識別的準(zhǔn)確性。在識別過程中,也高度依賴網(wǎng)絡(luò)傳輸?shù)哪芰?,如果?dāng)前環(huán)境網(wǎng)絡(luò)傳輸出現(xiàn)丟包的情況,導(dǎo)致系統(tǒng)獲取的圖片有問題,同樣會存在類似的問題。
從安全性方面,上述科技公司人員進(jìn)一步指出,“大部分的人臉識別系統(tǒng)都是從提高準(zhǔn)確度的角度去開發(fā),很少從提高對反樣本的對抗進(jìn)行開發(fā)。例如有研究發(fā)現(xiàn)基于深度學(xué)習(xí)開發(fā)的識別系統(tǒng)很容易被其他因素,比如遮擋或者故意用特定顏色的背景影響,如果有專業(yè)的犯罪團(tuán)體使用對抗樣本進(jìn)行破解,很可能給儲戶帶來較大的經(jīng)濟(jì)損失。同樣還有類似于整容或者3D合成的頭套等特殊情況。除此之外,銀行的主力儲戶大部分都是中老年人,他們可能更喜歡傳統(tǒng)的認(rèn)證合一的離線驗(yàn)證方式。因此怎么做好人臉識別的宣傳也是一個(gè)重大的問題”。
正如廖鶴凱所言,當(dāng)前人臉識別在銀行運(yùn)用中還存在應(yīng)用標(biāo)準(zhǔn)不一致,導(dǎo)致重復(fù)投入巨大且程序多樣;應(yīng)用場景廣泛,數(shù)據(jù)管理存在挑戰(zhàn);活體檢測能力有待提升等多種問題。銀行應(yīng)與外部公共安全數(shù)據(jù)聯(lián)合,搭建統(tǒng)一的平臺來管理人臉數(shù)據(jù)?;蚩山⒋髷?shù)據(jù)中心采用分布式存儲、多重加密保存提升人臉數(shù)據(jù)的安全性,同時(shí)進(jìn)一步提升算力和補(bǔ)充人臉識別的關(guān)鍵選點(diǎn)能力。
談及未來銀行如何防范盜刷風(fēng)險(xiǎn),光大銀行科技創(chuàng)新實(shí)驗(yàn)室指出,需要配合硬件終端、軟件邏輯、模型組合、風(fēng)控策略等綜合作用,才可以最大程度保護(hù)用戶的人臉安全。