随着大数据、人工智能等技术的广泛运用,越来越多的人在享受技术进步带来便利的同时,也面临着个人信息泄露所带来的风险。
9月25日下午,北京金融法院“融小法·呵护碎银双月谈”联合北京青年报《法学苑》栏目直播,揭出涉人脸识别诈骗套路,“别因自己的小疏忽为诈骗分子提供便利”。
银行卡盗刷交易:分为伪卡盗刷交易和网络盗刷交易
据北京金融法院审判第一庭法官甘琳介绍,近年来,随着信息技术的不断发展,人脸识别技术应用已经渗透到生活的各个方面。刷脸支付、刷脸打卡等人脸识别技术在为社会生活带来便利的同时,一些不法分子也开始利用人脸识别技术侵害金融消费者的合法权益。
法官在审理的过程中发现,这些案件往往涉及民事和刑事程序的交叉,遭受损失的虽然是受害人,但是因为在泄露个人信息方面存在过错,所以在犯罪分子归案,非法所得追回之前,受害人可能无法通过民事诉讼获得有效的救济。特别是在金融交易领域中,商业银行等金融机构在为客户提供金融服务时所产生的金融信息,与个人的资产、信用状况高度相关,一旦泄露,很有可能会对个人的财产安全构成极大的威胁。这也就凸显出个人信息保护在参与金融活动中的重要性。
法官表示,根据2021年《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》,银行卡盗刷交易分为伪卡盗刷交易和网络盗刷交易两种。
伪卡交易,是指他人使用伪造的银行卡刷卡进行取现、消费、转账等交易,而网络盗刷交易,是指他人盗取、使用持卡人的银行卡网络交易身份识别信息和交易验证信息,进行网络交易,最终都是导致持卡人的账户发生资金的减少或者透支数额的增加。
她表示,近年来,随着电子支付技术的不断提升,越来越多的消费者选择通过网上银行、手机银行、非银行支付机构(如支付宝、微信等)进行网络支付,传统的伪卡交易案件数量不断减少,而网络盗刷交易案件却呈现不断上升趋势。
女子遭遇电信诈骗 不仅共享屏幕还将人脸信息透露给对方 被骗36万余元
直播中,法官公布了一则犯罪嫌疑人利用技术手段非法采集持卡人的人脸信息,通过发卡行的人脸系别系统验证,从而实现银行卡网络盗刷的一种新型银行卡网络盗刷的案例。
据了解,今年1月6日21时许,北京的郭女士在家中休息,手机接到陌生来电,对方自称是北京市公安局,跟她确认身份后转到哈尔滨市公安局,一个自称是哈尔滨市公安局的陈峰警官接通的电话,称郭女士涉嫌跨境洗钱,让其找个安静的环境,下载了一网络安全中心,并添加对方QQ。
郭女士说,添加好友后,对方自称队长陈明用腾讯会议进行语音沟通,称郭女士涉及到洗钱,银监会要看一下流水,并打开了共享屏幕对各个账户进行查询。并向郭女士索取了本人眨眼、张嘴等视频。
郭女士担心自己被冤枉,便按照对方提示,糊里糊涂操作了支付宝和微信借贷,贷款16万,打到自己的银行卡上,没有别的任何操作。
1月7日8时许,郭女士发现自己银行卡里开始往陌生账户转钱,怀疑自己被诈骗后,到银行对银行卡进行挂失,结果又发现在银行还贷款了20万。
警方发现,诈骗分子在获取郭女士的面部信息及银行卡信息及密码后,多次通过刷脸快捷转账,将郭女士卡内36万余元汇至多个账户。她认为,银行作为储蓄机构,未起到安全监管义务,导致犯罪分子利用银行APP在其不知情的情况下致被盗刷。故将银行诉至法院,索赔卡内除贷款外的16万余元损失。
法院经审理查明,银行手机银行APP及人脸识别系统的安全检测情况,根据中国软件评测中心出具的情况说明,及公安部安全与警用电子产品质量检测中心出具的《软件测试报告》中的测试结果,结合国家市场监督管理总局、国家标准化管理委员会发布的公告内容及《信息安全技术远程人脸识别系统技术要求》中关于人脸识别的标准内容,该银行手机银行APP及人脸识别系统符合相关安全标准。
同时,郭女士在接到陌生来电后,轻信对方陈述,在未进一步核实来电人身份的情况下,下载安装来源不明的手机软件,按照对方指示归集资金到案涉借记卡,进行屏幕共享并配合进行眨眼、张嘴等动作,未尽到应有的注意义务,导致将其手机银行的部分关键信息置于危险之下。在其下载来源不明的软件后,登录密码、支付密码、短信验证码均存在被破译、拦截的风险,其本人对于身份识别信息、交易验证信息未尽到妥善保管的义务,对案涉借记卡中资金的损失存在过错。根据上述司法解释的规定,在银行已经履行了保障持卡人账户安全的义务,郭女士对身份识别信息和交易验证信息未尽妥善保管义务具有过错的情况下,故判决银行在该案中不应承担责任。
人脸信息是“生物密码” 一旦泄露或非法使用可能造成受侵害风险
中国人民大学法学院助理教授阮神裕表示,人脸信息是一种生物识别信息。所谓生物识别信息,是指关于自然人的身体、生理或者行为特征的信息,包括人脸、指纹、声纹、张文、基因、虹膜等信息,属于个人信息。
阮神裕表示,人脸信息不仅仅是个人信息,还是敏感个人信息。按照《个人信息保护法》规定,所谓敏感个人信息,是指一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。有的学者将人脸信息称为“生物密码”,给使用者带来便利同时,另一方面也给我们带来了一定的风险。
人脸识别技术是否存在安全隐患和风险?
对此,阮神裕表示现阶段而言,不能说人脸技术是绝对安全的。人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。商业银行等金融机构收集、存储、使用人脸信息进行人脸识别应用,必须具有特定的目的和充分的必要性,并采取严格保护措施的情形下,才可以处理客户的人脸信息。
目前,人脸信息的安全隐患主要集中在三个方面。
一是人脸信息可能被泄露。人脸信息是重要的隐私信息。在未经同意允许或批准的前提下,如果通过公开或非法手段,收集、保存、盗取正常的人脸数据,一旦信息出现泄露,不仅可能会被不法分子进行用于诈骗,甚至可能被反复贩卖牟利。
二是人脸识别系统可能遭到恶意攻击。人脸识别系统可能遭受的攻击主要包括两种类型,一种叫做演示攻击,另一种叫做间接攻击。
演示攻击是在传感器层面进行的,主要包括照片攻击、视频攻击和3D面具攻击。攻击者可能拿着被害人的照片呈现在人脸识别系统的传感器上,或者拍摄了一段被害人按照系统要求进行闭眼、张嘴或者转头的视频,然后将这一视频呈现给传感器,进行演示攻击。
另一种叫做间接攻击,也就是直接攻击数据库的攻击方式。攻击者攻击数据库,直接把被害人的人脸信息替换成攻击者自己的人脸信息,那么攻击者在传感器前就能通过人脸验证。
“不过,金融交易领域内人脸识别的安全性要高得多。”阮神裕说,按照金融监管部门的要求,商业银行等金融机构在将人脸识别系统投入使用过程前,要进行健全的安全评测。
其次,金融交易中的人脸识别要求必须进行活体检测,用静态的照片是难以骗过的,有些算法的活体识别正确率甚至达到99.8%以上。
另外,金融机构在进行交易验证时,除了通过人脸识别进行验证以外,还同时要求登录密码、手机验证码、短信验证码等多种认证要素全部匹配的情况下才能完成交易。
但是,如果金融消费者的风险防范意识不高,自行下载安装来源不明的手机软件,通过视频软件进行屏幕共享并配合进行眨眼、张嘴等动作,最终导致攻击者收集了包含消费者人脸信息的视频,从而成功发动了视频攻击。在这种情况下,应当说其本人对于身份识别信息、交易验证信息没有尽到妥善保管的义务,是存在过错的,而这种个人信息的主动泄露所带来的安全风险也是极大的。
AI换脸别乱玩 可能造成侵权或触犯刑法
近年来,随着人工智能技术的不断发展,“AI换脸”技术也在我们日常生活中越来越广泛地得以使用。目前,这种技术在很多领域都得到了应用,随之而来的风险就是,居心叵测的不法分子可以通过这种技术实施电信网络诈骗、敲诈勒索等违法犯罪活动,对公民的人身、财产安全具有极大的危害。
北京互联网法院综合审判三庭副庭长颜君表示,AI换脸拟声技术用于商业盈利时极易引发肖像权、姓名权等人格权纠纷,一些营销短视频、音频的商家经常在未经当事人许可和同意的情况下进行换脸、换声操作,以此获利。这种行为属于侵权行为。
需要特别提示的是,通过“AI换脸”进行视频合成、实施诈骗的行为,是利用新技术进行的诈骗,与传统的诈骗行为在本质上没有区别。对于构成诈骗罪的,要依照我国《刑法》规定追究刑事责任;对于为利用“AI换脸”实施诈骗行为提供技术支持、帮助的,要根据《反电信网络诈骗法》的规定进行行政处罚,构成犯罪的,还要根据《刑法》中帮助信息网络犯罪活动罪等追究刑事责任。
金融消费者在生活中应该如何保护个人信息安全?
颜法官提醒,消费者要增强安全防范意识,避免个人信息不当泄露。身份证件、银行卡号、支付密码、支付二维码、短信验证码等重要个人信息,务必妥善保管,切勿轻易提供。要高度警惕非法采集人脸信息行为,防范“AI换脸”诈骗等新型犯罪。如果遇到一些“拍照”场景有摇头、张嘴等特殊动作要求的情况,就应该提高警惕,看清屏幕中是“拍照”还是“人脸识别”。不要轻易加入陌生人的微信群聊、视频会议。如果遇“微信好友通过视频借款”情形,切记多渠道核实“好友”身份,勿轻易转账,如果已经转账,及时报警或拨打反诈中心电话96110。
要选择正规机构的合法金融服务,切勿轻信虚假金融广告宣传。同时要选择正规渠道维权,拒绝非法维权代理。若对金融机构的产品或服务有异议或纠纷,应通过正当渠道如实客观反映情况、提出合理诉求。可以直接与金融机构平等协商,也可以通过向纠纷调解组织申请调解或向人民法院提起诉讼等途径解决。切勿轻信社会上一些“逾期铲单”“征信修复”“减免息费”等宣传广告,不要把个人信息轻易提供给所谓的“代理维权机构”,更不要参与到编造虚假信息、伪造证明材料等“恶意”投诉行为中,以免造成个人信息泄露和财产损失。一旦发现侵害自身合法权益行为,要及时报警,确保个人账户和资金安全。
文/北京青年报记者 王浩雄
编辑/倪家宁
校对/熊伟