当银行人脸识别系统被攻破

李红（化名）万万没想到，诈骗人员从她的交通银行卡偷走42.9万元，如入无人之境。

要想从交通银行卡中转账，需要用户在手机银行App上进行人脸识别，并进行短信验证。李红陷入了诈骗分子的圈套，她的手机短信被拦截，手机号被设置了呼叫转移，令她的验证码落入他人手中，且无法接听银行的确认电话。

银行系统后台显示，在进行密码重置和大额转账时，“李红”进行了6次人脸识别比对，均显示“活检成功”。但那几次人脸识别并不是身在北京的李红本人操作。李红怀疑交通银行人脸识别系统的安全性，并以“借记卡纠纷”为由将交通银行告上法庭，要求赔偿。

2022年6月30日，北京市丰台区人民法院一审驳回了李红的全部诉求。她准备继续上诉。

遭遇骗局

从接通电话那刻起，李红就陷入“协助破案”的迷局中。那是2021年6月19日上午10：30，电话那头自称“北京市公安局户政科陈杰警官”的人告诉李红，她的护照此前在哈尔滨涉嫌非法入境，让她向哈尔滨市公安局报案。对方轻易地报出了李红的身份证号，这令她开始相信电话那头的“警官”。

李红被转接给哈尔滨市公安局的“刘警官”。对方告诉她，她涉嫌“李燕反洗钱案”，并让她登录一个网站查看“公文”。李红用手机登录对方提供的网站后，发现在一张蓝底的“通缉公告”上，印着自己的身份证照片、身份证号等户籍信息。

这令她陷入恐慌。接下来，她对“警官”的指挥百依百顺。按照指示，她从网站下载了“公安防护”软件和视频会议软件“瞩目”。“公安防护”是一款诈骗人员常用的“李鬼”手机软件，其设计模仿“国家反诈中心”，如果受害者在里面输入银行卡和密码，诈骗人员就可在后台获取这些信息。

而“瞩目”虽然是普通的视频会议软件，但提供共享屏幕功能。在“刘警官”的要求下，李红通过“瞩目”，向对方共享了自己的手机屏幕，令其掌握了她安装的App种类信息，对方还通过这项功能远程操控她的手机，令她的手机号设置了呼叫转移，无法接收短信和电话。

最容易被忽略的是“露脸”。对方告诉李红，为了验证她是本人操作，她要通过“瞩目”开启会议模式，于是，李红的人脸信息轻易暴露在对方面前。这也成为对方实施诈骗的关键一环。

李红始终没能挂断电话，“刘警官”故意令她与外界隔绝。下午13：46，按照要求，李红赶到交通银行北京长辛店支行，开设了一张借记卡。银行开卡记录显示，李红预留了自己的手机号，并允许借记卡通过“网上银行、手机银行、自助设备”三种方式转账，也允许这张卡进行境外取现和消费，但在其他功能中，她选择了“小额免密免签不开通”。这意味着，当她进行5万元以内的转账时，仍需要验证。此外，李红还设置了转账限额，每日只能累计转账5万元。

在辦理借记卡的过程中，交通银行向李红发放《北京市公安局防范电信诈骗安全提示单》。这份提示单中，载明了业务类型为“开通网银或手机银行”，并提示她可能存在有冒充公检法的人员，以打电话的方式告知她涉及案件，要求她向对方提供的账号转账，或是告知网银密码。李红在这份提示单上签了字。

李红刚刚办好借记卡，这张卡就被诈骗人员掌控了。银行后台显示，当天13：51，即李红开卡5分钟后，就有诈骗人员通过人脸识别验证，重置了李红的用户名和密码，登录了她的手机银行。但李红对此并不知情，她正按照“刘警官”的要求，为了“清查个人财产”，向卡内转入所有积蓄。

诈骗人员掌握了李红的“人脸识别+动态密码”后，通过修改密码，登录了她的手机银行，此后便如入无人之境，即使李红设置了每日5万元转账限额，也在诈骗人员登录后被轻易修改，之后每笔大额转账也都通过“人脸识别+动态密码”验证通过。

交通银行北京长辛店支行在法庭上回应称，“交易密码、动态密码以及辅助人脸识别的客户鉴别模式”符合监管要求，并且在李红转账过程中，银行对她进行了风险提示，包括通过运营商向她发送了短信密码、短信风险提示，以及在内部系统大数据分析发现异常后，拨打了李红的手机，对转账人身份及转账情况进行核实。但李红称，对于银行所称发送了22条短信密码及短信风险提示，她只收到了其中的11条，而银行的来电她并未接到。这背后的原因在于她的短信被诈骗人员拦截，电话也呼叫转移到了诈骗人员的手机上。

下午16：00，李红察觉到“刘警官”的反常态度，她在16：39用自己的手机首次登录了手机银行，却发现钱已被盗刷，她意识到自己被骗，前往派出所报警，并联系银行挂失银行卡。

银行究竟有没有责任？

民警追查到，2021年6月19日在13：51-14：42之间，李红手机银行登录者的IP地址在台湾，使用的设备是摩托罗拉XT1686，而当时李红在北京，她的手机型号是小米8。

银行后台记录显示，李红的借记卡在6月19日那天共有7次操作涉及人脸识别，均显示识别成功通过，其中1次为借记卡申请，1次为登录密码重置，5次为大额转账，除了第1次不涉及“活检”，后6次操作“活检结果”均为成功。

李红并未亲自操作，为何6次“活检结果”均为成功？李红的丈夫马跃（化名）在金融系统工作多年，他成为妻子起诉交通银行的代理人。他告诉记者，银行定下的“人脸识别+短信验证码”的验证模式，其本质目的在于确保由用户本人亲自操作转账，他妻子在完全不知情的情况下，被诈骗人员从账户中转走钱，银行应当承担保管不力的责任。

李红以“借记卡纠纷”为案由起诉交通银行后，要求银行赔偿存款损失，但北京市丰台区人民法院一审驳回了她的诉求。法院认为，李红在42.9万元被盗过程中“过错明显”，交通银行作为指令付款方，已通过多个登录密码、验证码、人脸识别的合理方式识别使用人身份，未见存在明显的错误或过失。马跃认为，李红在北京刚办理了借记卡，紧接着IP地址在台湾的诈骗人员就能用不同的设备登录，并频繁操作大额转账，如此异常的操作，银行本应该识别出转账的非储户本人。

李红的遭遇并非孤例。早在2020年10月，浙江的赵女士就遭遇了同样的骗局，她的经历曾经被杭州本地媒体报道。赵女士讲述，在与假冒警察的犯罪分子视频时，对方曾要求她做“张嘴”“眨眼”“摇头”等动作，疑似通过录像来骗过银行的人脸识别系统。联系上赵女士之后，马跃又联系到4名同样的受骗者，他们6人都遭遇了同样的诈骗套路，涉案金额超过200万元。

2021年9月，李红和其他女性被诈骗报案后，交通银行曾公告停用过人脸识别。之后不久，马跃就发现交通银行手机银行系统进行了改版升级。但在这年10月，仍有一名受害人的交通银行账户被假人脸攻破。

人脸识别系统被攻破，银行究竟有没有责任？在清华大学法学院教授劳东燕看来，目前这一问题尚有争议，但银行普遍存在变相强迫采集储户人脸信息的现象。她说：“至少就我个人的体会，去银行办理存款等业务，人脸识别都是在强制之下弄的，如果不同意采集人脸就办不了相应业务。”她坚持认为，全国人大及其常委会有必要考虑对生物识别信息进行单独立法，不应放在《个人信息保护法》的框架下来进行保护。

（摘自《中国新闻周刊》苑苏文）