站在银行ATM机前,只看一眼摄像头,然后再输入取款金额、手机号,就能自动吐钞拿走现金。整个过程只要一张脸就能完成,殊不知消费者在享受人脸识别技术带来便利的同时,也要清楚认识到人脸识别带来的信息泄露风险。11月28日,北京商报记者梳理发现,开年至今已有平安银行、光大银行、绵阳市商业银行、平舆农商银行、确山农商行等多银行发布防范人脸识别的风险提醒,称应减少人脸信息被利用的风险,同时,提醒消费者保管好金融账户个人社保卡、银行卡及账户,切勿出租或出借给他人使用。
多家银行发布风险提示
近年来,随着金融科技的不断升级,人脸识别已经在消费者远程购买金融产品、享受金融服务中得到广泛应用,但由于人脸识别属于个人敏感信息,一旦泄露、非法提供或者滥用将极易危害消费者人身和财产安全。
为了保护消费者人脸信息,11月28日,北京商报记者梳理发现,开年至今已有平安银行、光大银行、绵阳市商业银行、平舆农商银行、确山农商行等多家银行发布防范人脸识别的风险提醒。
“人脸信息具有唯一性和不可更改性,一旦泄露,带来的风险远远超过密码泄露。”平安银行在公告中表示,建议消费者从官方正规渠道下载软件和应用;切勿通过不明链接上传提供身份证照片、个人影像信息等;谨防冒充公检法诈骗,对涉及到需要收集照片、面部特征或要求远程人脸认证、屏幕分享等操作,提高警惕性。切勿轻易把手机交给他人操作,或把支付密码、短信验证码等关键敏感信息泄露他人。
确山农商行也在风险提示中称,应增强个人信息保护意识,不要轻易在不明软件、小程序上泄露自己的人脸照、动态视频、手持身份证照片等,减少人脸信息被利用的风险。同时在社交平台发布日常动态时,不要泄露自己的车票、护照、身份证照片等。同时,保管好金融账户个人社保卡、银行卡及账户,切勿出租或出借给他人使用,防止身份信息被他人冒用。
绵阳市商业银行表示,金融消费者应当认识到人脸识别采集的生物特征信息十分重要,要像保护身份证一样保护好自己的生物特征信息。消费者如果遇到一些“拍照”场景有摇头、张嘴等特殊动作要求的情况,就应该提高警惕,看清屏幕中是“拍照”还是“人脸识别”。
华东师范大学交叉创新实验室主任刘峰在接受北京商报记者采访时指出,银行发布风险的原因主要还是在于大量原本通过柜台、ATM密码取款的传统现金业务依赖六位密码和实体卡,现今随着数字化业务的融合,大量的业务开始使用更便利的人脸识别业务,导致相关业务面临潜在危险,需要客户提高风险意识。
滥用、盗刷风险曾引监管机构提示
近年来,因认识不足而在不知情或者在被误导情况下使用人脸识别技术的风险,给不法分子可乘之机的新闻见诸报端。
人脸信息是如何泄露的呢?在多家银行发布的风险提示中,北京商报记者注意到,除了较为常见的不法分子通过发送欺诈链接等方式,非法套取受骗者的个人信息,诱导受骗者通过不明链接上传提供身份证照片、影像信息之外,还有在用户使用某些娱乐性的换脸软件、人像合成等小程序的过程中,运营方会收集用户的照片、面部特征,若保管不当或服务器被入侵,则会造成人脸数据泄露。
今年10月,上海银保监局曾发布关于防范人脸识别技术使用风险的消费提示列举了人脸识别信息被盗刷的案例,“马先生65岁的母亲不熟悉手机操作,经常让保姆张某帮忙。一段时间后,老人告诉马先生当月商业养老保险金未到账,马先生随后去保险公司查询保单,发现保单已被质押,目前现金价值已经归零。马先生十分震惊,赶紧与保险公司沟通调查,发现保姆张某以帮拍照名义让老人通过人脸识别核验,并同时通过操作老人手机获取验证码,突破了‘人脸识别+手机号验证’双重防线,在手机端完成了保单质押贷款操作。随后马先生报警”。
针对此类风险,上海银保监局郑重提醒,金融消费者要做到“人脸识别有了解,生物信息应保护,手机操作莫予人”,让人脸识别技术真正便民、利民、护民。光大银行科技创新实验室在人脸识别技术的风险和防范一文中指出,目前对于人脸识别在银行业的应用产生较大隐患的对抗攻击为Impersonation攻击的黑盒攻击。该攻击可以在不知道目标银行所使用的人脸识别算法的情况下,仅仅凭借攻击目标的人脸信息以及账户信息攻破银行的人脸识别系统,进而骗取贷款或者窃取账户资金。
在金乐函数分析师廖鹤凯看来,人脸信息对于个人具有唯一性,是当下识别个人身份、个人支付核验的重要手段,人脸信息的泄露对于个人的信息安全甚至金融安全都会造成较大影响,有潜在造成重大经济损失的可能。
应用标准不一、数据管理存挑战
北京商报记者在测评中发现,目前人脸识别较为常见的应用方式就是身份权限认证。例如,在一家股份制银行手机银行新用户登录页面,该行就提醒称,可以将账户设置为常用设备以及可信设备,在常用设备上发起转账,采用人脸识别认证方式日累计限额为20万元;采用可信设备方式发起转账,人脸识别认证方式日累计限额为50万元。
其次就是刷脸取款,客户如需取款,首先在ATM屏幕首页点击选择“刷脸取款”功能,系统将自动抓拍现场照片,在后台与银行的可信照片源进行比对,验证通过后,客户输入手机号码进一步确认身份,接着输入取款金额、密码,最后拿取现金,整个过程不需要插入实体卡片。
“现在人脸识别已经作为金融消费者身份辅助认证的重要手段,原因就是银行客户数量庞大,人脸识别能快速精准地识别用户。”一位与银行合作刷脸认证的科技公司人员向北京商报记者透露称,目前人脸识别技术对环境的要求较严格,例如在强光或者弱光环境下会影响识别的准确性。在识别过程中,也高度依赖网络传输的能力,如果当前环境网络传输出现丢包的情况,导致系统获取的图片有问题,同样会存在类似的问题。
从安全性方面,上述科技公司人员进一步指出,“大部分的人脸识别系统都是从提高准确度的角度去开发,很少从提高对反样本的对抗进行开发。例如有研究发现基于深度学习开发的识别系统很容易被其他因素,比如遮挡或者故意用特定颜色的背景影响,如果有专业的犯罪团体使用对抗样本进行破解,很可能给储户带来较大的经济损失。同样还有类似于整容或者3D合成的头套等特殊情况。除此之外,银行的主力储户大部分都是中老年人,他们可能更喜欢传统的认证合一的离线验证方式。因此怎么做好人脸识别的宣传也是一个重大的问题”。
正如廖鹤凯所言,当前人脸识别在银行运用中还存在应用标准不一致,导致重复投入巨大且程序多样;应用场景广泛,数据管理存在挑战;活体检测能力有待提升等多种问题。银行应与外部公共安全数据联合,搭建统一的平台来管理人脸数据。或可建立大数据中心采用分布式存储、多重加密保存提升人脸数据的安全性,同时进一步提升算力和补充人脸识别的关键选点能力。
谈及未来银行如何防范盗刷风险,光大银行科技创新实验室指出,需要配合硬件终端、软件逻辑、模型组合、风控策略等综合作用,才可以最大程度保护用户的人脸安全。(记者宋亦桐)