2021年8月，沈陽的錢云（化名）遭遇了電信詐騙,，人臉,、指紋等生物識(shí)別密碼沒能擋住對(duì)方。一年來,，錢云全家都在尋找"85萬消失"的原因和線索,，警方告訴他們，錢款已被全部轉(zhuǎn)至境外,，案件還在偵破中,。

"銀行告訴我們，轉(zhuǎn)賬時(shí)只要選擇了指紋識(shí)別,，就不會(huì)給簽約手機(jī)發(fā)驗(yàn)證碼,，但這個(gè)指紋調(diào)用的是手機(jī)里的指紋識(shí)別結(jié)果，不是我岳母的,。" 錢云的女婿李豪（化名）認(rèn)為,，這是導(dǎo)致錢款消失的主要原因。

《IT時(shí)報(bào)》記者分別聯(lián)系涉事的光大銀行沈陽鐵西支行和光大銀行電話客服,，截至發(fā)稿,，都沒有得到銀行對(duì)此事的說法。

1個(gè)多月來,，關(guān)于銀行生物識(shí)別被攻破的案例屢見報(bào)端,，詐騙分子"騙"過了銀行的人臉識(shí)別安全系統(tǒng)，用App控制了被騙人的手機(jī),，利用人臉識(shí)別+動(dòng)態(tài)密碼的方式轉(zhuǎn)走了儲(chǔ)戶的所有存款,。

然而，錢云案例中可能呈現(xiàn)出一種新的風(fēng)險(xiǎn)：有些銀行在登錄,、轉(zhuǎn)賬時(shí)支持的生物識(shí)別認(rèn)證結(jié)果,，其指紋、面容信息均取自操作者的手機(jī)系統(tǒng),。

去年 10 月,，李豪在自己的手機(jī)上登錄了弟弟的光大銀行賬戶，轉(zhuǎn)賬輸入密碼時(shí),，銀行 App 申請(qǐng)調(diào)用手機(jī)的 Face ID,，李豪用自己的臉通過驗(yàn)證，轉(zhuǎn)賬成功,。這意味著,，最后一道關(guān)口，銀行將核實(shí)密碼的權(quán)力交給了手機(jī)廠商,。

接到李豪投訴后,，《IT時(shí)報(bào)》記者進(jìn)行了多日測試，在簽約手機(jī),、登錄密碼,、驗(yàn)證碼等多重驗(yàn)證的情況下,，開通面容ID支付并不如李豪測試視頻中那么輕而易舉，走到最后一步之前，銀行設(shè)置了重重障礙,。

然而，允許將手機(jī)自身的生物識(shí)別結(jié)果調(diào)用為銀行轉(zhuǎn)賬時(shí)的驗(yàn)證密碼,，在安卓手機(jī)指紋被破解,、人臉識(shí)別被騙過、大批數(shù)據(jù)泄露等消息并不鮮見的當(dāng)下,，是否妥當(dāng),？當(dāng)越來越多的技術(shù)手段被用于銀行降低成本時(shí)，誰來為風(fēng)險(xiǎn)擔(dān)責(zé),？

#事件緣起#

2021年8月初,，錢云在家附近的光大銀行開設(shè)了一張儲(chǔ)蓄卡,。8月12日晚，錢云發(fā)現(xiàn)銀行卡里的85萬余元消失了,。查詢后發(fā)現(xiàn),，2021年8月3日~8月10日間，錢云的賬戶發(fā)生多次轉(zhuǎn)賬,。今年4月22日國家信訪局給李豪的回復(fù)中表示,，經(jīng)過大數(shù)據(jù)查詢，錢款已被轉(zhuǎn)往國外賬戶,。

生物識(shí)別系統(tǒng)可能被雙重攻破

今年近70歲的錢云,，并不太清楚自己的密碼在哪個(gè)環(huán)節(jié)泄露了，甚至連自己的人臉信息有沒有泄露也不太清楚,。家人只能試圖從她的描述中還原事件的過程,，"她在很多網(wǎng)絡(luò)平臺(tái)上用的賬戶密碼是相同的，有可能是賬戶密碼泄露了,，但在被盜刷幾乎同一時(shí)間,，她接到過詐騙電話，也可能是被詐騙分子利用了,。"李豪分析,，詐騙分子在異地通過賬號(hào)密碼登錄了岳母的光大銀行手機(jī)賬戶，以假人臉通過了銀行的認(rèn)證系統(tǒng),，并開通了指紋識(shí)別密碼功能,，這樣既能進(jìn)行大額轉(zhuǎn)賬，轉(zhuǎn)賬時(shí)也不需要簽約手機(jī)收取驗(yàn)證碼,，加上岳母沒有開通余額短信通知,，一次次轉(zhuǎn)賬在毫不知情的情況下發(fā)生了。

他的臉可能是你的轉(zhuǎn)賬密碼

賬戶被盜刷后,，李豪多次向光大銀行相關(guān)人士以及客服人員了解情況,，銀行人員不經(jīng)意透露的一個(gè)信息震驚了他：轉(zhuǎn)賬過程中，銀行驗(yàn)證的是機(jī)主的指紋或人臉,，而非卡主的指紋或人臉,。也就是說，只要機(jī)主的人臉或指紋能夠通過手機(jī)驗(yàn)證,，給銀行一個(gè) "yes" 的答案,，銀行便可以通過驗(yàn)證。

這在李豪看來有點(diǎn)"匪夷所思",，"開卡時(shí),，我岳母留了自己的指紋和人臉信息，那為何銀行不去比對(duì)儲(chǔ)戶信息，而是采用手機(jī)給出的驗(yàn)證結(jié)果呢,？如果A在自己的手機(jī)上登錄了B的賬號(hào),，那不就可以用A的人臉去通過面容ID了嗎？"

為了驗(yàn)證這個(gè)想法,，去年10月,，李豪做了一個(gè)測試。在李豪發(fā)給《IT時(shí)報(bào)》記者的一段視頻中,，他在自己的手機(jī)上登錄了弟弟的光大銀行手機(jī)賬戶，給一張沒有轉(zhuǎn)賬過的銀行卡轉(zhuǎn)賬1500元,，輸入交易密碼后,，手機(jī)頁面上顯示調(diào)用FaceID進(jìn)行人臉識(shí)別，此時(shí)攝像頭對(duì)準(zhǔn)的是李豪的臉,，并非其弟弟的臉,，頁面顯示驗(yàn)證通過，轉(zhuǎn)賬成功,。

"理論上,，應(yīng)該是將我弟弟的臉和他在銀行預(yù)留的生物信息比對(duì)才能轉(zhuǎn)賬，但從這次測試看,，驗(yàn)證的是機(jī)主的臉,。這種情況帶來的財(cái)產(chǎn)損失誰來承擔(dān)？" 李豪對(duì)此頗為不解,。

#記者測試#

在核實(shí)身份和轉(zhuǎn)賬過程中,，銀行生物識(shí)別系統(tǒng)到底驗(yàn)證的是誰的信息？

記者向多位銀行業(yè)人士了解,，大多數(shù)銀行驗(yàn)證的是卡主的生物信息,，"轉(zhuǎn)賬時(shí)不驗(yàn)證卡主信息，卻去驗(yàn)證機(jī)主信息,，邏輯不對(duì),。"一位銀行業(yè)人士表示。農(nóng)行,、郵政儲(chǔ)蓄等銀行客服人員也表示,，驗(yàn)證生物信息時(shí)匹配的是卡主信息。"系統(tǒng)會(huì)綜合考慮用戶的設(shè)備環(huán)境,，通過驗(yàn)證碼,、交易密碼、生物識(shí)別等方式交叉驗(yàn)證用戶身份,，生物信息是和卡主本人比對(duì),。"郵政儲(chǔ)蓄銀行客服人員說。

確認(rèn)：可用面容ID登錄他人賬戶

李豪提供的視頻顯示,，此前涉事銀行人員明確說,，轉(zhuǎn)賬時(shí)比對(duì)的是機(jī)主的指紋信息,。8月22日，李豪再次致電光大銀行客服電話,，客服人員同樣表示,，如果在他人手機(jī)上登錄自己的銀行賬號(hào)、轉(zhuǎn)賬驗(yàn)證的是機(jī)主的指紋信息,。

8月24日《IT時(shí)報(bào)》記者在撥打光大銀行客服熱線時(shí),，也得到了類似的答案，"卡主可以設(shè)置采用生物信息識(shí)別的額度,，如果用了生物信息認(rèn)證,，是沒有短信驗(yàn)證碼的，只需要交易密碼和生物識(shí)別通過即可,，不過,，當(dāng)銀行監(jiān)測到風(fēng)險(xiǎn)時(shí)，會(huì)要求轉(zhuǎn)賬者先與銀行系統(tǒng)里的卡主信息進(jìn)行比對(duì),，通過身份驗(yàn)證后才能繼續(xù)下一步,。"

8月22日，記者在光大銀行上海某網(wǎng)點(diǎn)辦理了一張儲(chǔ)蓄卡并開通了手機(jī)銀行,。當(dāng)記者試圖在另一部手機(jī)上登錄此賬戶時(shí),，系統(tǒng)提示，只能使用手機(jī)驗(yàn)證碼的方式,，而且首次登錄時(shí),，還需要輸入登錄密碼。也就是說,，像李豪視頻中顯示的,，僅靠手機(jī)號(hào)碼和登錄密碼便能進(jìn)入他人賬戶，已不可能,。

但如果像交通銀行案例中那樣,，儲(chǔ)戶密碼泄露、手機(jī)被劫持,，驗(yàn)證密碼被轉(zhuǎn)發(fā)至詐騙分子手機(jī)中,，那這一步便也不再是障礙。

隨后,，通過手機(jī)號(hào)碼,、登錄密碼、驗(yàn)證碼,，記者同事順利在她的手機(jī)上開通了面容ID登錄,。也就是說，她在自己的手機(jī)上，可以刷臉登錄記者的賬戶,。

但在開通面容ID支付時(shí),，銀行App要求先通過人臉認(rèn)證，也即類似隨申碼驗(yàn)證時(shí)的場景,，需要做出點(diǎn)頭,、搖頭等動(dòng)作，走到這一步,，無論是記者的臉,，還是同事的臉，在記者同事的手機(jī)上均未通過,。最終,，記者在自己的手機(jī)上完成了這個(gè)識(shí)別過程，但最后開通的面容ID支付,，同樣調(diào)用的是手機(jī)本地的識(shí)別系統(tǒng)。

畢竟離錢云賬戶被盜刷已過去一年,，銀行安全系統(tǒng)可能已升級(jí)多次,，記者無法完整復(fù)刻李豪的測試，但至少證明一點(diǎn),，打開面容ID登錄功能后,，銀行App在登錄時(shí)，確認(rèn)的是手機(jī)機(jī)主的驗(yàn)證結(jié)果,。

多家銀行支持機(jī)主生物密碼轉(zhuǎn)賬

經(jīng)過多日測試,，記者發(fā)現(xiàn)：銀行的人臉識(shí)別系統(tǒng)負(fù)責(zé)身份驗(yàn)證，手機(jī)的生物識(shí)別密碼負(fù)責(zé)密碼驗(yàn)證,。

知乎上,，一篇認(rèn)證為 " 云從科技 " 的賬號(hào)發(fā)表了一篇名為《當(dāng) "powered by 云從 " 成為銀行標(biāo)配，光大銀行加入,！》的文章,，其中提及 " 云從科技集中存儲(chǔ)客戶生物識(shí)別信息，并識(shí)別人臉,、證件 "，但并沒有提及轉(zhuǎn)賬交易,。

《光大銀行手機(jī)銀行面容ID認(rèn)證服務(wù)協(xié)議》中則提到,，"甲方開啟面容ID認(rèn)證功能時(shí),，甲方應(yīng)理解面容信息的采集,、存儲(chǔ)和比對(duì)等服務(wù)將由甲方使用的手機(jī)或設(shè)備及其系統(tǒng)來完成,，此類設(shè)備可以將用戶的生物識(shí)別信息與事先錄入并存儲(chǔ)在該設(shè)備上的特征數(shù)據(jù)進(jìn)行比對(duì)核驗(yàn),。"從這句話上也可確認(rèn),，銀行面容ID是與手機(jī)里所存儲(chǔ)的個(gè)人生物信息進(jìn)行比對(duì),。

光大銀行手機(jī)銀行面容ID認(rèn)證服務(wù)協(xié)議

不僅是光大銀行,，其他銀行的用戶生物信息協(xié)議中,，也有類似條款,。比如浦發(fā)銀行生物信息認(rèn)證協(xié)議中提到,，指紋,、面容生物識(shí)別信息特征的錄入,、修改和刪除等管理操作,，均由手機(jī)系統(tǒng)提供,。

浦發(fā)銀行生物信息認(rèn)證協(xié)議

8月23日開始,，《IT時(shí)報(bào)》記者多次聯(lián)系光大銀行鐵西支行以及支行管理人員未果,，光大銀行負(fù)責(zé)投訴的相關(guān)客服人員則表示會(huì)盡快跟進(jìn)處理,，但截至發(fā)稿,，也無回音,。

李豪告訴記者,，光大銀行認(rèn)為賬戶被盜刷的責(zé)任在其岳母自身,，只能等待警方破案,。

此前交通銀行盜刷案件,，銀行亦被認(rèn)為無責(zé),。

#記者觀察#

銀行安全防護(hù)應(yīng)高于犯罪手段

儲(chǔ)戶賬戶被盜刷，誰該負(fù)責(zé),？

翻閱中國裁判文書網(wǎng),，以"借記卡糾紛"為名的案件大多因盜刷而起，法院判罰大多聚焦于兩點(diǎn)：一,、儲(chǔ)戶有無做到妥善保護(hù)密碼,；二、銀行有沒有完善的安全防護(hù)手段,。

一則早期案例顯示,，某儲(chǔ)戶的銀行卡被犯罪分子偽造后，在異地盜刷,，最后法院認(rèn)為,，銀行應(yīng)保證銀行卡具有唯一性和不可復(fù)制性，其未能采取技術(shù)手段防范銀行卡被復(fù)制或偽造,，故其應(yīng)當(dāng)對(duì)發(fā)行的銀行卡存在安全漏洞、技術(shù)風(fēng)險(xiǎn)承擔(dān)責(zé)任。

銀行的防護(hù)能力關(guān)系到儲(chǔ)戶的資金安全，當(dāng)銀行業(yè)務(wù)逐步轉(zhuǎn)移至線上時(shí)，判責(zé)的邏輯并不應(yīng)該發(fā)生變化,。

但現(xiàn)實(shí)問題是,，生物識(shí)別認(rèn)證還沒有形成統(tǒng)一的標(biāo)準(zhǔn)，銀行使用人臉識(shí)別卻已相當(dāng)普遍,，各家銀行的技術(shù)能力參差不齊，在風(fēng)險(xiǎn)防控方面也面臨著諸多挑戰(zhàn),。

《IT時(shí)報(bào)》曾多次報(bào)道因生物識(shí)別技術(shù)不完善導(dǎo)致真假莫辨,，或者因個(gè)人生物信息泄露導(dǎo)致存在長期風(fēng)險(xiǎn)的案例,。2021年10月,，清華大學(xué)的一個(gè)團(tuán)隊(duì)，僅用一副框架眼鏡、一張A4紙，便成功解鎖了19款安卓手機(jī),。

當(dāng)手機(jī)的生物識(shí)別系統(tǒng)并不是"固若金湯"時(shí),，銀行允許甚至推薦用戶將其作為支付,、轉(zhuǎn)賬等關(guān)鍵操作的密碼時(shí)，可能產(chǎn)生風(fēng)險(xiǎn),，誰來承擔(dān)責(zé)任,？記者在登錄某些銀行App時(shí)，便多次被主動(dòng)詢問,，是否要使用面容ID登錄或支付,。

清華大學(xué)法學(xué)院教授勞東燕曾表示，由于相應(yīng)風(fēng)險(xiǎn)是銀行引進(jìn)人臉識(shí)別所導(dǎo)致,，也即銀行參與了風(fēng)險(xiǎn)的創(chuàng)設(shè),，在法律上，誰創(chuàng)設(shè)風(fēng)險(xiǎn)，誰原則上就應(yīng)當(dāng)對(duì)風(fēng)險(xiǎn)現(xiàn)實(shí)化的結(jié)果承擔(dān)責(zé)任,；其次銀行在相關(guān)業(yè)務(wù)領(lǐng)域里獲益最大，理應(yīng)承擔(dān)與獲益相稱的風(fēng)險(xiǎn)責(zé)任,；再次,，銀行防范風(fēng)險(xiǎn)的能力比個(gè)人更強(qiáng)，能力越強(qiáng)者責(zé)任越大,。她建議,，全國人大及其常委會(huì)有必要考慮對(duì)生物識(shí)別信息進(jìn)行單獨(dú)立法，不應(yīng)放在《個(gè)人信息保護(hù)法》的框架下來進(jìn)行保護(hù),。

"如果真的是因?yàn)楣獯筱y行在轉(zhuǎn)賬過程中,，只是比對(duì)機(jī)主生物信息而非卡主生物信息造成用戶財(cái)產(chǎn)損失，銀行的責(zé)任更大些,。" 上述銀行業(yè)人士向《IT 時(shí)報(bào)》記者表示,，對(duì)于金融機(jī)構(gòu)來說，遠(yuǎn)程交易過程中的生物識(shí)別是其面臨的一大課題,。在生物識(shí)別驗(yàn)證方面,，金融行業(yè)應(yīng)建立統(tǒng)一的標(biāo)準(zhǔn)，技術(shù)水平各不相同的銀行可以參照?qǐng)?zhí)行,。此外,，風(fēng)險(xiǎn)防控是一種立體的思維方式，銀行需要通過技術(shù)手段加強(qiáng)一整套風(fēng)險(xiǎn)監(jiān)測,、風(fēng)險(xiǎn)處置的流程,。

對(duì)于銀行而言，使用生物信息對(duì)用戶進(jìn)行驗(yàn)證,，前提是對(duì)生物信息的驗(yàn)證和保護(hù)必須超過一般的犯罪技術(shù)手段,，否則，用戶財(cái)產(chǎn)不翼而飛的事態(tài)將會(huì)更加嚴(yán)峻,。