人脸信息被冒用贷款？手机银行的人脸识别风险分析

手机银行是银行高效便捷的业务办理渠道。《2021中国数字金融调查报告》显示，2021年，个人手机银行用户达到20.5亿户，渗透率达85％，已成为银行业最重要的线上流量入口。

某区域银行的手机银行将业务嵌入到不同的生活场景中，让用户在生活场景中产生金融需求。疫情期间，在保障客户日常金融需求的同时，该区域银行手机银行提供了多种疫情相关金融、生活类服务，提升用户使用频次和用户粘性。在大幅提升用户便捷体验的同时，该手机银行却也遭遇到一起用户人脸信息被冒用骗取贷款的事件。

也就是不法分子收集、保存、盗取正常的人脸人像数据和敏感个人信息，然后仿冒被盗用申请贷款，骗取银行资金。

类似事件不是个案，近两年来多次发生。2020年10月，四川警方查处一个上百人的诈骗团伙。该团伙购买大量人脸视频，借助“僵尸企业”“空壳公司”，为6000多人人包装公积金信息，然后向多家银行申请公积金贷款，最终带来10亿多元的坏账。

2021年，广州互联网法院通报了一起因为“刷脸”引发的借款纠纷。客户王兰（化名）在遗失了身份证后，却被人冒用身份通过银行的“人脸识别”贷款，导致王兰因逾期被告上了法庭。经司法笔迹鉴定，认为案涉客户签名并非王兰本人签署，手机号码亦未曾登记在王兰名下。最终，法院驳回银行全部诉讼请求。

人脸被冒用贷款的风险分析

人脸识别作为一种生物识别技术，被广泛运用于金融领域，主要作用是实现在线身份认证，广泛应用在自助终端、柜台以及移动端多个渠道上，已成为登录、确认、申请、修改等业务环节中重要的验证技术。

有媒体报道，大量社群和境外网站进行真人人脸识别视频的贩卖。“价高质优”的验证视频百元一套，动态软件将人脸照片制作成“动态视频”只要几元，以完成各类线上业务人脸识别的验证。此外，清华大学研究人员曾经在15分钟解锁了19个陌生智能手机。

被冒用贷款的问题出现，主要源于人脸应用存在人脸信息被冒用、人脸信息遭盗用、人脸识别应用遭劫持篡改等若干风险。

仿冒登录。戴上眼镜、帽子、面具等伪装手段，或者可以制作人皮高仿模型、将2D人脸照片3D建模、利用AI技术将静态照片变成动态照片等多种技术均，混淆算法判断，骗过有效性不高的人脸识别算法和活体监测算法。

盗取冒用。通过各类公开或非法手段，收集、保存、盗取正常的人脸数据，然后通过各种方式进行非法冒用。

劫持篡改。远程入侵篡改人脸识别系统验证流程、信息、数据等，将后台或前端的真数据替换为假数据，以实现虚假人脸信息的通过。

三方面增强手机银行的安全性

在人脸识别的公共服务上，需要在多方面加强防护，提升整体安全能力。

第一，提升人脸识别系统的精准度。基于空间域的检测、图像取证的检测、生物频率、GAN伪影检测、基于生物信号的检测、视声不一致以及视觉上不自然等检测等措施，通过模型和算法提高真伪判别。

第二，保障人脸识别系统的安全性。防范API接口被篡改劫持，保证输出效果、生成网络效果的真实；保障发现设备和系统端口、通讯的异常；及时预警，防止灌入虚假人像、混淆真假人像、库内人像信息被篡改；保障人脸数据存储以及传输的完整性、机密性等。

第三，提升人脸识别识别的风控能力。人脸识别是一种技术核验，但不能作为唯一的手段。需要采用身份证、手机号码、银行卡、操作行为、设备、环境等综合手段进行核验，甚至需要人工电话核实。通过立体的风控体系，增强人脸识别从源头到应用的全链条预警、拦截、防护能力，提升人脸识别应用的安全性。

顶象业务安全感知防御平台基于威胁探针、流计算、机器学习等先进技术，集设备风险分析、运行攻击识别、异常行为检测、预警、防护处置为一体，能够实时发现摄像头遭劫持、设备伪造等恶意行为，有效防范人脸识别应用的各类风险。

通过网银、手机银行、微信银行、网贷A等非柜面渠道的唯一标识，顶象业务安全感知防御平台能够及时发现设备指纹异常、模拟器检测、多开检测、注入、Hk检测等异常，有效分辨正常用户及黑灰产的设备特征，增强手机银行的风险感知能力。同时对手机银行做实时监测，进一步保障手机银行安全性，良好满足《移动金融客户端应用软件安全管理规范》管理要求。

顶象业务安全感知防御平台拥有如下特点：

威胁可视化：针对环境风险、运行攻击，可以将识别的风险标签展示在控制台，并支持按时间查询风险趋势、风险对应的设备型号分布、系统版本分布等维度数据。

威胁可追溯：黑灰产的每一步攻击数据，命中的防御策略及处置，都可以在基于需求定制和回放，让所有行为有迹可查。

设备关联分析：基于历史数据、关联分析生成的设备画像，全面呈现出当前设备的所有历史请求，包含出现过的风险标签、常用地址、关联IP等情况。

多账户管理：满足多业务数据隔离需求，支持一级、二级等多级机构配置或下发不同策略。

女子“被刷脸”背上万元贷款，要不要还

手机支付“刷脸”、出入小区“刷脸”、办理银行业务“刷脸”……当前，越来越多的业务需要通过人脸识别来实现身份认证。但在带给人们方便快捷的同时，“刷脸”也存在着诸多安全隐患。广州的王女士就因为“被刷脸”，不仅申办了借记卡，还背上了万元贷款，并因此吃了官司，被银行要求清偿贷款本息。近日，法院审理认定，以该银行未能举证证明系王女士本人“刷脸”申办借记卡并申请贷款为由，判决驳回银行的全部诉讼请求。

涉案银行向广州互联网法院起诉称，王女士于2019年11月25日在其线下的营业网点申请设立借记卡账户。按照该银行要求，王女士现场填写了开户签约申请表，随后在该银行营业厅的STM自助柜员机，经人脸识别核验身份后自助办理了借记卡账户业务，并开通了手机银行功能。

同年12月18日，王女士又通过手机银行A在线与该银行签订借款合同，申请借款11300元，银行依约向王女士发放了贷款。然而，王女士在首期还款日即出现逾期。此后，银行多次催促，但王女士一直未能依约还款。为此，银行将王女士诉至法院，请求判令王女士一次性清偿尚欠的贷款本息。

“身份证在2019年10月18日，也就是开卡和在线借款之前就已经被盗遗失，当时已向公安机关报警并办理了挂失手续。”对于银行方面的诉由，王女士辩称自己根本没有去银行申办案涉借记卡，亦未曾与该银行签订过任何借款合同，借款合同上预留的手机号码并非她所使用的号码。

王女士向法院主张，上述借款是在其人脸信息以及身份信息均被冒用的情况下产生的，不应该由本人承担还款责任。

对于王女士的陈述，银行方面坚持认为是王女士自行申办的借记卡，且在开卡过程中已通过STM自助柜员机的人脸识别进行了身份核验。正是在完成了身份比对后，王女士才能在线签订借款合同申请贷款。

《法治日报》记者了解到，为了证明自己的清白，在诉讼过程中，王女士向法院申请对银行提交的开户签约申请表原件的客户签名进行笔迹鉴定，同时申请法院向通信公司调查案涉借记卡开卡、借款合同签订预留手机号码的用户信息。

经笔迹鉴定，司法鉴定意见认为案涉客户签名并非王女士本人签署。经向通信公司调查，手机号码亦未曾登记在王女士名下。

最终，广州互联网法院对该案作出一审判决，以银行未能举证证明系王女士本人“刷脸”申办借记卡并申请贷款为由，判决驳回银行的全部诉讼请求。

法院经审理认为，根据该银行关于案涉贷款的申请、支用流程要求，借款人在线上申请贷款前，必须由其本人持身份证原件到该银行的线下营业网点申办银行借记卡、开通电子银行等业务功能。

法院指出，虽从形式上看，在贷款流程的不同阶段，银行已分别采用人脸识别、手机验证码等不同方式对客户身份进行核验，符合本人原则的要求。但是，由于王女士的身份证在贷款发生的两个月前发生遗失，而案涉借记卡开卡及借款合同签订预留的手机号码也不是王女士的手机号码。因此，案涉借款使用的身份证、手机号码未实际由王女士掌控，存在个人信息数据被他人冒用的可能。

此外，银行也未能向法院提供王女士首次在该银行办理业务时，进行人脸识别比对的完整影像源。STM自助柜员机交易信息上有开卡人进行人脸识别时捕获的现场照片，虽然该现场照片与王女士的相似度达到72%，但在银行未能提供其他影像资料予以辅证的情况下，不能凭该照片认定开卡人是王女士本人。

相反，按照贷款规定，开卡人必须现场填写银行卡开户申请表，现司法鉴定意见证明不是王女士填写申请表，进一步证明不是王女士申办银行卡，而是他人冒用其个人信息所为。由于线下申办银行借记卡账户是完成线上贷款申请的前置条件，所以也不能认定是王女士在线申请借款、签订借款合同。

法院认定，综合审理查明的事实，在王女士的身份证被盗遗失的合理期间内，案涉银行借记卡的开卡以及借款流程均不是由王女士本人完成的，银行要求其还款没有依据，应该由银行承担放贷审核不严造成的法律后果。

据此，广州互联网法院判决驳回银行的全部诉讼请求。记者获悉，目前，该判决已发生法律效力。

“当前，人脸识别技术在互联网金融领域得到了越来越广泛的应用，较好地满足了人们对互联网金融提出的安全性和便捷性需求。”该案主审法官甘尚钊表示，该案“被刷脸”背后反映的是传统借贷机构放款时“形式审查”的弊病，以“身份证照片和本人看起来差不多”便审核通过。

甘尚钊指出，判决驳回某银行的诉讼请求，并非否定人脸识别技术的安全性和可靠性。随着科技发展，以银行为代表的广大金融机构，在各核心业务环节应综合运用人脸识别技术、手机验证码、指纹等信息的身份识别系统，对交易方的真实身份进行交叉核验，通过人证比对，防止个人信息数据被他人冒用，以有效保障互联网金融交易安全，给金融消费者提供一个安全、可信赖的交易环境。

甘尚钊认为，人脸识别信息属于高度敏感的个人生物识别信息，金融机构通过人脸识别技术核验客户身份过程中所收集、存储的客户影像，应遵守国家关于保护个人信息安全的规定，符合个人信息保护立法的目的和发展方向。

转自：法治日报

来源：石家庄普法

女子“被刷脸”办卡 莫名背上贷款万余元

近日，广州互联网法院通报了一起因为“刷脸”引发的纠纷，一女子因“被刷脸”莫名背上万元贷款，这究竟是怎么一回事呢？

2020年，广州某银行起诉称，2019年11月25日，王女士在某银行线下营业网点申请设立借记卡账户。按照该银行要求，王女士现场填写了开户签约申请表，随后在该银行营业厅的自助柜员机经人脸识别核验身份后，自助办理了借记卡账户业务，并开通了手机银行功能。

广州互联网法院综三庭法官甘尚钊：在2019年12月18日，王女士通过手机银行申请了一笔借款约一万多元，但是借钱之后就没有再还款了，银行基于这种情况就把借款人起诉到法院，法院经过审理发现借款人可能另有他人。

王女士辩称，她的身份证在2019年10月18日，也就是开卡和在线借款之前就已经被盗遗失，当时已向公安机关报警并办理了挂失手续，所以不应该由她来承担还款责任。

对于王女士的陈述，银行方面坚持认为是王女士自行申办的借记卡，且在开卡过程中已通过自助柜员机的人脸识别进行了身份核验。正是在完成了身份比对后，王女士才能在线签订借款合同申请贷款。

法院判女子无须担责银行应核验真实身份

对于是不是王女士本人亲自办理，双方各执一词，为了证明自己的清白，在诉讼过程中，王女士向法院申请当时办理业务原件进行笔迹鉴定以及调查办理业务预留手机的用户信息。经笔迹鉴定，涉案客户签名并非王女士本人签署，手机号码亦未曾登记在王女士名下。最终，法院以银行未能举证证明是王女士本人“刷脸”申办借记卡并申请贷款为由，判决驳回银行的全部诉讼请求。

法官表示，自助柜员机交易信息上有开卡人进行人脸识别时捕获的现场照片，虽然该现场照片与王女士的相似度超过五成，但在银行未能提供其他影像资料予以辅证的情况下，不能凭该照片认定开卡人是王女士本人。

广州互联网法院综三庭法官甘尚钊：依据诉讼法的规定，银行那边主要主张借款合同的成立，主张这个请求就要主张证明借款合同是成立的，但是没有证据证明卡是王女士开办，也没有证据证明是王女士签订了这份借款合同。

法官提醒，当前人脸识别技术在互联网金融领域得到了越来越广泛的应用，以银行为代表的广大金融机构在各核心业务环节，应综合运用人脸识别技术、手机验证码、指纹等信息的身份识别系统，对交易方的真实身份进行交叉核验，通过人证比对，防止个人信息数据被他人冒用。

来源：央视新闻客户端