手動輸入繁瑣密碼和抬頭面向攝像頭刷下人臉，你更傾向于哪一項?

近日，持續(xù)刷屏的“銀行人臉識別系統(tǒng)被攻破”的消息備受關(guān)注，讓不少消費者都慌了神。

除了涉案金額之大、操作手法翻新外，更讓消費者緊張的是，大家頻繁使用的人臉識別，到底還安不安全?為何不是本人操作還能活檢成功?人臉識別究竟還有哪些隱藏風險?后續(xù)又該如何防范?

誰的責任

根據(jù)消息，某大行一位儲戶陷入詐騙分子圈套，導致銀行卡和密碼等信息被獲取、手機短信被攔截，此后又登錄了對方的視頻會議軟件，在屏幕共享的方式下被對方“盜臉”，最終，該儲戶被詐騙分子轉(zhuǎn)走了42.9萬元。

這一事件存在多個爭議。一是犯罪分子的IP地址為中國臺灣，受害者本人并未離京，其中遠在臺灣的犯罪分子轉(zhuǎn)賬使用了短信+人臉識別的方式，且6次通過人臉識別，但銀行卻一次都沒識別出來為假人臉，其中是何原因?銀行是否有過失?

另外該案件也牽出了一家為銀行提供人臉識別服務的科技公司北京眼神科技有限公司(以下簡稱“眼神科技”)，該公司業(yè)務覆蓋銀行內(nèi)部風控、授權(quán)管理、智慧網(wǎng)點、網(wǎng)絡金融等，服務了包括6家國有銀行在內(nèi)的近150家銀行機構(gòu)，客戶覆蓋率高達80%。雖然類似風險事件為偶發(fā)性案例，但也讓不少消費者擔心，背后科技公司產(chǎn)品技術(shù)是否過關(guān)?與其合作的其他銀行人臉識別系統(tǒng)是否安全?

針對此次事件與后續(xù)應對方案，北京商報記者向相關(guān)銀行與眼神科技求證采訪，后者表示不便回應。

不過，有銀行工作人員向北京商報記者提醒，要避免類似風險事件，自身不要登錄第三方風險網(wǎng)站，也不要隨意點擊不明鏈接，切記不能將密碼外露給他人，保護好個人信息。

另外，一位與多家銀行合作刷臉認證的科技公司人員告訴北京商報記者，從技術(shù)的角度來看，沒有完全安全的系統(tǒng)，人臉識別系統(tǒng)被攻破，也說明了道高一尺魔高一丈。

在他看來，對于本次事件涉及的科技公司，最直接的責任就是提供的產(chǎn)品有一個簡單而致命的問題，就是在產(chǎn)品交付的時候沒有提前發(fā)現(xiàn)，而銀行負責驗收的部門也沒有發(fā)現(xiàn)。另外也有儲戶自身問題，就是警覺性不高，防詐意識不強。

此事也反映了目前銀行在技術(shù)安全存在方面的多個痛點。前述科技公司人員坦言，目前大多銀行沒有屬于自己的核心技術(shù)公司，大多以外包服務的形式獲得支持，但這一過程中，一旦出現(xiàn)技術(shù)問題，銀行與第三方公司的責任如何厘清?另外，由于并不是銀行自身進行人臉識別，第三方公司在設計這種人臉識別系統(tǒng)時，是否又會存在考慮不全等問題?多個問題仍待商榷。

北京市中聞律師事務所律師李亞同樣指出，這個事件說明人臉識別技術(shù)應用在金融領(lǐng)域尚存在一定的風險。“從科技公司的角度來說，如果并非單純的技術(shù)原因?qū)е氯四樧R別系統(tǒng)出現(xiàn)問題，則不用承擔責任;但銀行作為使用該技術(shù)手段的一方，其安全體系設計有漏洞，對于造成的儲戶損失，我認為是不能免責的，不能將責任完全推給儲戶自身。”李亞稱。

南開大學金融學院博士、金融科技專業(yè)人士李姿璇則認為，此事件中，生物識別技術(shù)公司會以簽署戰(zhàn)略合作協(xié)議的形式為銀行提供技術(shù)支持，如果出現(xiàn)識別系統(tǒng)被攻破的問題，銀行或應直接對儲戶負責，科技公司則依協(xié)議對銀行負責。

風險在哪

雖然這些案例幾乎都被定性為電信詐騙，但從大眾反映來看，更關(guān)切的是背后的人臉識別風險。

如今，數(shù)字經(jīng)濟時代的到來使人們存取和支付的方式由線下轉(zhuǎn)到了線上，相應地，不法分子盜取財產(chǎn)的方式也從偷竊搶劫轉(zhuǎn)為了詐騙和程序破解。

前述與多家銀行合作刷臉認證的科技公司人員告訴北京商報記者，人臉識別和線上交易大大提高了效率，但也肯定存在一定風險，這種效率的提高對銀行和用戶來說都有所受益。但對于隱藏風險，銀行是否應提前告知客戶?

對此，7月19日，北京商報記者親測了多家銀行的人臉識別操作，開啟該功能一般都需要勾選人臉授權(quán)或在安全中心開啟面容ID認證，為保證安全，在開啟面容ID轉(zhuǎn)賬、支付等功能時，銀行也會通過支付密碼、手機驗證碼等多個方式輔助驗證，驗證通過后，后續(xù)用戶在登錄App、進行支付時，部分銀行一般會優(yōu)先采用人臉識別的方式。

另外，北京商報記者在銀行人臉信息驗證授權(quán)協(xié)議中也發(fā)現(xiàn)，鮮有機構(gòu)披露背后的技術(shù)服務公司，不過協(xié)議中對相關(guān)風險有提到，“由于技術(shù)水平限制及可能存在的各種惡意手段，銀行在使用人臉信息識別功能時，有可能因可控范圍外的因素而出現(xiàn)問題，例如計算機黑客襲擊、系統(tǒng)故障、電腦病毒、惡意程序攻擊等而導致用戶無法正常使用人臉信息驗證服務或造成其他損失的，銀行不承擔責任”。

李姿璇告訴北京商報記者，人臉識別存在的風險主要可以分為權(quán)限風險和技術(shù)風險。權(quán)限風險是指商家或個人通過非法采集掌握了相關(guān)數(shù)據(jù)，要規(guī)避這一風險必須在法制層面進行加強，而技術(shù)風險則是指通過對抗技術(shù)攻破了識別系統(tǒng)。

對此她補充道，“任何技術(shù)的進步都伴隨著其對抗破解技術(shù)的發(fā)展，我們不能因風險的存在就否定生物識別技術(shù)的便捷性。雖然技術(shù)風險很難避免，但科技公司或許可以利用對抗技術(shù)的延遲性，通過加快技術(shù)改進的速度來有效緩解”。

如何防范

此次風險事件，也暴露了金融機構(gòu)和技術(shù)公司的人臉識別技術(shù)水平有待提升。

浙江大學國際聯(lián)合商學院數(shù)字經(jīng)濟與金融創(chuàng)新研究中心聯(lián)席主任、研究員盤和林介紹，當前各家生物識別技術(shù)公司都是以技術(shù)支持、技術(shù)外包的方式和銀行展開合作，生物識別技術(shù)公司提供技術(shù)，銀行提供平臺接口。

這樣的合作模式下，后續(xù)針對此類風險事件又該如何防范?

在盤和林看來，一方面，部分人臉識別企業(yè)的人臉識別技術(shù)還需要進一步完善，需要通過機器學習來增強人臉識別的識別率。另一方面，金融機構(gòu)也要對特殊情況做出細致的安全考慮和預防，不能單獨依賴人臉識別，還可以配合其他生物識別技術(shù)，例如聲紋識別、指紋識別等。

李姿璇認為，銀行有責任實時監(jiān)控風險，保障儲戶資金安全;銀行儲戶也要有風險防范意識，一方面保護自己的識別信息和密碼不泄露，另一方面可以將存款放置在不同銀行的不同賬戶，分散風險。

李亞則指出，建議技術(shù)服務方不斷完善技術(shù)措施和水平。在相關(guān)技術(shù)水平未達到時，銀行作為使用方，有責任采納更成熟的技術(shù)，或提供更多的檢驗或確認身份的方案來確保交易的安全。對于用戶，需要謹慎對待個人敏感信息，不在任何非官方和非正規(guī)渠道輸入或保存?zhèn)€人敏感信息。

“人臉識別實際上可以歸為支付介質(zhì)中生物識別方式的一種，優(yōu)點在于加速了科技的應用，提升了便利程度，也是支付介質(zhì)未來的發(fā)展方向，但同時也會衍生個人隱私保護、應用安全以及數(shù)據(jù)安全等問題。”博通咨詢金融業(yè)資深分析師王蓬博認為，在遵守現(xiàn)有法律法規(guī)基礎(chǔ)上，后續(xù)對于人臉識別應用要更加慎重地考慮個人隱私保護，應用上也要尊重個人意愿，在支付驗證時可增加驗證維度和驗證方式，在便利性和安全性上找到一個更好的平衡點。(記者 劉四紅)