站在銀行ATM機(jī)前,只看一眼攝像頭,然后再輸入取款金額、手機(jī)號(hào),就能自動(dòng)吐鈔拿走現(xiàn)金。整個(gè)過(guò)程只要一張臉就能完成,殊不知消費(fèi)者在享受人臉識(shí)別技術(shù)帶來(lái)便利的同時(shí),也要清楚認(rèn)識(shí)到人臉識(shí)別帶來(lái)的信息泄露風(fēng)險(xiǎn)。11月28日,記者梳理發(fā)現(xiàn),開(kāi)年至今已有平安銀行(000001)、光大銀行(601818)、綿陽(yáng)市商業(yè)銀行、平輿農(nóng)商銀行、確山農(nóng)商行等多銀行發(fā)布防范人臉識(shí)別的風(fēng)險(xiǎn)提醒,稱(chēng)應(yīng)減少人臉信息被利用的風(fēng)險(xiǎn),同時(shí),提醒消費(fèi)者保管好金融賬戶(hù)個(gè)人社???、銀行卡及賬戶(hù),切勿出租或出借給他人使用。
多家銀行發(fā)布風(fēng)險(xiǎn)提示
近年來(lái),隨著金融科技的不斷升級(jí),人臉識(shí)別已經(jīng)在消費(fèi)者遠(yuǎn)程購(gòu)買(mǎi)金融產(chǎn)品、享受金融服務(wù)中得到廣泛應(yīng)用,但由于人臉識(shí)別屬于個(gè)人敏感信息,一旦泄露、非法提供或者濫用將極易危害消費(fèi)者人身和財(cái)產(chǎn)安全。
為了保護(hù)消費(fèi)者人臉信息,11月28日,記者梳理發(fā)現(xiàn),開(kāi)年至今已有平安銀行、光大銀行、綿陽(yáng)市商業(yè)銀行、平輿農(nóng)商銀行、確山農(nóng)商行等多家銀行發(fā)布防范人臉識(shí)別的風(fēng)險(xiǎn)提醒。
“人臉信息具有唯一性和不可更改性,一旦泄露,帶來(lái)的風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)超過(guò)密碼泄露?!逼桨层y行在公告中表示,建議消費(fèi)者從官方正規(guī)渠道下載軟件和應(yīng)用;切勿通過(guò)不明鏈接上傳提供身份證照片、個(gè)人影像信息等;謹(jǐn)防冒充公檢法詐騙,對(duì)涉及到需要收集照片、面部特征或要求遠(yuǎn)程人臉認(rèn)證、屏幕分享等操作,提高警惕性。切勿輕易把手機(jī)交給他人操作,或把支付密碼、短信驗(yàn)證碼等關(guān)鍵敏感信息泄露他人。
確山農(nóng)商行也在風(fēng)險(xiǎn)提示中稱(chēng),應(yīng)增強(qiáng)個(gè)人信息保護(hù)意識(shí),不要輕易在不明軟件、小程序上泄露自己的人臉照、動(dòng)態(tài)視頻、手持身份證照片等,減少人臉信息被利用的風(fēng)險(xiǎn)。同時(shí)在社交平臺(tái)發(fā)布日常動(dòng)態(tài)時(shí),不要泄露自己的車(chē)票、護(hù)照、身份證照片等。同時(shí),保管好金融賬戶(hù)個(gè)人社保卡、銀行卡及賬戶(hù),切勿出租或出借給他人使用,防止身份信息被他人冒用。
綿陽(yáng)市商業(yè)銀行表示,金融消費(fèi)者應(yīng)當(dāng)認(rèn)識(shí)到人臉識(shí)別采集的生物特征信息十分重要,要像保護(hù)身份證一樣保護(hù)好自己的生物特征信息。消費(fèi)者如果遇到一些“拍照”場(chǎng)景有搖頭、張嘴等特殊動(dòng)作要求的情況,就應(yīng)該提高警惕,看清屏幕中是“拍照”還是“人臉識(shí)別”。
華東師范大學(xué)交叉創(chuàng)新實(shí)驗(yàn)室主任劉峰在接受記者采訪(fǎng)時(shí)指出,銀行發(fā)布風(fēng)險(xiǎn)的原因主要還是在于大量原本通過(guò)柜臺(tái)、ATM密碼取款的傳統(tǒng)現(xiàn)金業(yè)務(wù)依賴(lài)六位密碼和實(shí)體卡,現(xiàn)今隨著數(shù)字化業(yè)務(wù)的融合,大量的業(yè)務(wù)開(kāi)始使用更便利的人臉識(shí)別業(yè)務(wù),導(dǎo)致相關(guān)業(yè)務(wù)面臨潛在危險(xiǎn),需要客戶(hù)提高風(fēng)險(xiǎn)意識(shí)。
濫用、盜刷風(fēng)險(xiǎn)曾引監(jiān)管機(jī)構(gòu)提示
近年來(lái),因認(rèn)識(shí)不足而在不知情或者在被誤導(dǎo)情況下使用人臉識(shí)別技術(shù)的風(fēng)險(xiǎn),給不法分子可乘之機(jī)的新聞見(jiàn)諸報(bào)端。
人臉信息是如何泄露的呢?在多家銀行發(fā)布的風(fēng)險(xiǎn)提示中,記者注意到,除了較為常見(jiàn)的不法分子通過(guò)發(fā)送欺詐鏈接等方式,非法套取受騙者的個(gè)人信息,誘導(dǎo)受騙者通過(guò)不明鏈接上傳提供身份證照片、影像信息之外,還有在用戶(hù)使用某些娛樂(lè)性的換臉軟件、人像合成等小程序的過(guò)程中,運(yùn)營(yíng)方會(huì)收集用戶(hù)的照片、面部特征,若保管不當(dāng)或
服務(wù)器被入侵,則會(huì)造成人臉數(shù)據(jù)泄露。
今年10月,上海銀保監(jiān)局曾發(fā)布關(guān)于防范人臉識(shí)別技術(shù)使用風(fēng)險(xiǎn)的消費(fèi)提示列舉了人臉識(shí)別信息被盜刷的案例,“馬先生65歲的母親不熟悉手機(jī)操作,經(jīng)常讓保姆張某幫忙。一段時(shí)間后,老人告訴馬先生當(dāng)月商業(yè)養(yǎng)老保險(xiǎn)金未到賬,馬先生隨后去保險(xiǎn)公司查詢(xún)保單,發(fā)現(xiàn)保單已被質(zhì)押,目前現(xiàn)金價(jià)值已經(jīng)歸零。馬先生十分震驚,趕緊與保險(xiǎn)公司溝通調(diào)查,發(fā)現(xiàn)保姆張某以幫拍照名義讓老人通過(guò)人臉識(shí)別核驗(yàn),并同時(shí)通過(guò)操作老人手機(jī)獲取驗(yàn)證碼,突破了‘人臉識(shí)別+手機(jī)號(hào)驗(yàn)證’雙重防線(xiàn),在手機(jī)端完成了保單質(zhì)押貸款操作。隨后馬先生報(bào)警”。
針對(duì)此類(lèi)風(fēng)險(xiǎn),上海銀保監(jiān)局鄭重提醒,金融消費(fèi)者要做到“人臉識(shí)別有了解,生物信息應(yīng)保護(hù),手機(jī)操作莫予人”,讓人臉識(shí)別技術(shù)真正便民、利民、護(hù)民。光大銀行科技創(chuàng)新實(shí)驗(yàn)室在人臉識(shí)別技術(shù)的風(fēng)險(xiǎn)和防范一文中指出,目前對(duì)于人臉識(shí)別在銀行業(yè)的應(yīng)用產(chǎn)生較大隱患的對(duì)抗攻擊為Impersonation攻擊的黑盒攻擊。該攻擊可以在不知道目標(biāo)銀行所使用的人臉識(shí)別算法的情況下,僅僅憑借攻擊目標(biāo)的人臉信息以及賬戶(hù)信息攻破銀行的人臉識(shí)別系統(tǒng),進(jìn)而騙取貸款或者竊取賬戶(hù)資金。
在金樂(lè)函數(shù)分析師廖鶴凱看來(lái),人臉信息對(duì)于個(gè)人具有唯一性,是當(dāng)下識(shí)別個(gè)人身份、個(gè)人支付核驗(yàn)的重要手段,人臉信息的泄露對(duì)于個(gè)人的信息安全甚至金融安全都會(huì)造成較大影響,有潛在造成重大經(jīng)濟(jì)損失的可能。
應(yīng)用標(biāo)準(zhǔn)不一、數(shù)據(jù)管理存挑戰(zhàn)
記者在測(cè)評(píng)中發(fā)現(xiàn),目前人臉識(shí)別較為常見(jiàn)的應(yīng)用方式就是身份權(quán)限認(rèn)證。例如,在一家股份制銀行手機(jī)銀行新用戶(hù)登錄頁(yè)面,該行就提醒稱(chēng),可以將賬戶(hù)設(shè)置為常用設(shè)備以及可信設(shè)備,在常用設(shè)備上發(fā)起轉(zhuǎn)賬,采用人臉識(shí)別認(rèn)證方式日累計(jì)限額為20萬(wàn)元;采用可信設(shè)備方式發(fā)起轉(zhuǎn)賬,人臉識(shí)別認(rèn)證方式日累計(jì)限額為50萬(wàn)元。
其次就是刷臉取款,客戶(hù)如需取款,首先在ATM屏幕首頁(yè)點(diǎn)擊選擇“刷臉取款”功能,系統(tǒng)將自動(dòng)抓拍現(xiàn)場(chǎng)照片,在后臺(tái)與銀行的可信照片源進(jìn)行比對(duì),驗(yàn)證通過(guò)后,客戶(hù)輸入手機(jī)號(hào)碼進(jìn)一步確認(rèn)身份,接著輸入取款金額、密碼,最后拿取現(xiàn)金,整個(gè)過(guò)程不需要插入實(shí)體卡片。
“現(xiàn)在人臉識(shí)別已經(jīng)作為金融消費(fèi)者身份輔助認(rèn)證的重要手段,原因就是銀行客戶(hù)數(shù)量龐大,人臉識(shí)別能快速精準(zhǔn)地識(shí)別用戶(hù)?!币晃慌c銀行合作刷臉認(rèn)證的科技公司人員向記者透露稱(chēng),目前人臉識(shí)別技術(shù)對(duì)環(huán)境的要求較嚴(yán)格,例如在強(qiáng)光或者弱光環(huán)境下會(huì)影響識(shí)別的準(zhǔn)確性。在識(shí)別過(guò)程中,也高度依賴(lài)網(wǎng)絡(luò)傳輸?shù)哪芰?,如果?dāng)前環(huán)境網(wǎng)絡(luò)傳輸出現(xiàn)丟包的情況,導(dǎo)致系統(tǒng)獲取的圖片有問(wèn)題,同樣會(huì)存在類(lèi)似的問(wèn)題。
從安全性方面,上述科技公司人員進(jìn)一步指出,“大部分的人臉識(shí)別系統(tǒng)都是從提高準(zhǔn)確度的角度去開(kāi)發(fā),很少?gòu)奶岣邔?duì)反樣本的對(duì)抗進(jìn)行開(kāi)發(fā)。例如有研究發(fā)現(xiàn)基于深度學(xué)習(xí)開(kāi)發(fā)的識(shí)別系統(tǒng)很容易被其他因素,比如遮擋或者故意用特定顏色的背景影響,如果有專(zhuān)業(yè)的犯罪團(tuán)體使用對(duì)抗樣本進(jìn)行破解,很可能給儲(chǔ)戶(hù)帶來(lái)較大的經(jīng)濟(jì)損失。同樣還有類(lèi)似于整容或者3D合成的頭套等特殊情況。除此之外,銀行的主力儲(chǔ)戶(hù)大部分都是中老年人,他們可能更喜歡傳統(tǒng)的認(rèn)證合一的離線(xiàn)驗(yàn)證方式。因此怎么做好人臉識(shí)別的宣傳也是一個(gè)重大的問(wèn)題”。
正如廖鶴凱所言,當(dāng)前人臉識(shí)別在銀行運(yùn)用中還存在應(yīng)用標(biāo)準(zhǔn)不一致,導(dǎo)致重復(fù)投入巨大且程序多樣;應(yīng)用場(chǎng)景廣泛,數(shù)據(jù)管理存在挑戰(zhàn);活體檢測(cè)能力有待提升等多種問(wèn)題。銀行應(yīng)與外部公共安全數(shù)據(jù)聯(lián)合,搭建統(tǒng)一的平臺(tái)來(lái)管理人臉數(shù)據(jù)?;蚩山⒋髷?shù)據(jù)中心采用分布式存儲(chǔ)、多重加密保存提升人臉數(shù)據(jù)的安全性,同時(shí)進(jìn)一步提升算力和補(bǔ)充人臉識(shí)別的關(guān)鍵選點(diǎn)能力。
談及未來(lái)銀行如何防范盜刷風(fēng)險(xiǎn),光大銀行科技創(chuàng)新實(shí)驗(yàn)室指出,需要配合硬件終端、軟件邏輯、模型組合、風(fēng)控策略等綜合作用,才可以最大程度保護(hù)用戶(hù)的人臉安全。