2021年8月，沈陽的錢云（化名）遭遇了電信詐騙,，人臉,、指紋等生物識別密碼沒能擋住對方。一年來,，錢云全家都在尋找"85萬消失"的原因和線索,，警方告訴他們，錢款已被全部轉(zhuǎn)至境外,，案件還在偵破中,。

"銀行告訴我們，轉(zhuǎn)賬時只要選擇了指紋識別,，就不會給簽約手機發(fā)驗證碼,，但這個指紋調(diào)用的是手機里的指紋識別結(jié)果，不是我岳母的,。" 錢云的女婿李豪（化名）認為,，這是導致錢款消失的主要原因。

《IT時報》記者分別聯(lián)系涉事的光大銀行沈陽鐵西支行和光大銀行電話客服,，截至發(fā)稿,，都沒有得到銀行對此事的說法。

1個多月來,，關(guān)于銀行生物識別被攻破的案例屢見報端,，詐騙分子"騙"過了銀行的人臉識別安全系統(tǒng)，用App控制了被騙人的手機,，利用人臉識別+動態(tài)密碼的方式轉(zhuǎn)走了儲戶的所有存款,。

然而，錢云案例中可能呈現(xiàn)出一種新的風險：有些銀行在登錄,、轉(zhuǎn)賬時支持的生物識別認證結(jié)果,，其指紋、面容信息均取自操作者的手機系統(tǒng),。

去年 10 月,，李豪在自己的手機上登錄了弟弟的光大銀行賬戶，轉(zhuǎn)賬輸入密碼時,，銀行 App 申請調(diào)用手機的 Face ID,，李豪用自己的臉通過驗證，轉(zhuǎn)賬成功,。這意味著,，最后一道關(guān)口，銀行將核實密碼的權(quán)力交給了手機廠商,。

接到李豪投訴后,，《IT時報》記者進行了多日測試,，在簽約手機、登錄密碼,、驗證碼等多重驗證的情況下,，開通面容ID支付并不如李豪測試視頻中那么輕而易舉，走到最后一步之前,，銀行設(shè)置了重重障礙。

然而,，允許將手機自身的生物識別結(jié)果調(diào)用為銀行轉(zhuǎn)賬時的驗證密碼,，在安卓手機指紋被破解、人臉識別被騙過,、大批數(shù)據(jù)泄露等消息并不鮮見的當下,，是否妥當？當越來越多的技術(shù)手段被用于銀行降低成本時,，誰來為風險擔責,？

#事件緣起#

2021年8月初，錢云在家附近的光大銀行開設(shè)了一張儲蓄卡,。8月12日晚,，錢云發(fā)現(xiàn)銀行卡里的85萬余元消失了。查詢后發(fā)現(xiàn),，2021年8月3日~8月10日間,，錢云的賬戶發(fā)生多次轉(zhuǎn)賬。今年4月22日國家信訪局給李豪的回復中表示,，經(jīng)過大數(shù)據(jù)查詢,，錢款已被轉(zhuǎn)往國外賬戶。

生物識別系統(tǒng)可能被雙重攻破

今年近70歲的錢云,，并不太清楚自己的密碼在哪個環(huán)節(jié)泄露了,，甚至連自己的人臉信息有沒有泄露也不太清楚。家人只能試圖從她的描述中還原事件的過程,，"她在很多網(wǎng)絡(luò)平臺上用的賬戶密碼是相同的,，有可能是賬戶密碼泄露了，但在被盜刷幾乎同一時間,，她接到過詐騙電話,，也可能是被詐騙分子利用了。"李豪分析,，詐騙分子在異地通過賬號密碼登錄了岳母的光大銀行手機賬戶,，以假人臉通過了銀行的認證系統(tǒng)，并開通了指紋識別密碼功能,，這樣既能進行大額轉(zhuǎn)賬,，轉(zhuǎn)賬時也不需要簽約手機收取驗證碼,，加上岳母沒有開通余額短信通知，一次次轉(zhuǎn)賬在毫不知情的情況下發(fā)生了,。

他的臉可能是你的轉(zhuǎn)賬密碼

賬戶被盜刷后,，李豪多次向光大銀行相關(guān)人士以及客服人員了解情況，銀行人員不經(jīng)意透露的一個信息震驚了他：轉(zhuǎn)賬過程中,，銀行驗證的是機主的指紋或人臉,，而非卡主的指紋或人臉。也就是說,，只要機主的人臉或指紋能夠通過手機驗證,，給銀行一個 "yes" 的答案，銀行便可以通過驗證,。

這在李豪看來有點"匪夷所思",，"開卡時，我岳母留了自己的指紋和人臉信息,，那為何銀行不去比對儲戶信息,，而是采用手機給出的驗證結(jié)果呢？如果A在自己的手機上登錄了B的賬號,，那不就可以用A的人臉去通過面容ID了嗎,？"

為了驗證這個想法，去年10月,，李豪做了一個測試,。在李豪發(fā)給《IT時報》記者的一段視頻中，他在自己的手機上登錄了弟弟的光大銀行手機賬戶,，給一張沒有轉(zhuǎn)賬過的銀行卡轉(zhuǎn)賬1500元,，輸入交易密碼后，手機頁面上顯示調(diào)用FaceID進行人臉識別,，此時攝像頭對準的是李豪的臉,，并非其弟弟的臉，頁面顯示驗證通過,，轉(zhuǎn)賬成功,。

"理論上，應該是將我弟弟的臉和他在銀行預留的生物信息比對才能轉(zhuǎn)賬,，但從這次測試看,，驗證的是機主的臉。這種情況帶來的財產(chǎn)損失誰來承擔,？" 李豪對此頗為不解,。

#記者測試#

在核實身份和轉(zhuǎn)賬過程中，銀行生物識別系統(tǒng)到底驗證的是誰的信息？

記者向多位銀行業(yè)人士了解,，大多數(shù)銀行驗證的是卡主的生物信息,，"轉(zhuǎn)賬時不驗證卡主信息，卻去驗證機主信息,，邏輯不對,。"一位銀行業(yè)人士表示。農(nóng)行,、郵政儲蓄等銀行客服人員也表示,，驗證生物信息時匹配的是卡主信息。"系統(tǒng)會綜合考慮用戶的設(shè)備環(huán)境,，通過驗證碼,、交易密碼、生物識別等方式交叉驗證用戶身份,，生物信息是和卡主本人比對。"郵政儲蓄銀行客服人員說,。

確認：可用面容ID登錄他人賬戶

李豪提供的視頻顯示,，此前涉事銀行人員明確說，轉(zhuǎn)賬時比對的是機主的指紋信息,。8月22日,，李豪再次致電光大銀行客服電話，客服人員同樣表示,，如果在他人手機上登錄自己的銀行賬號,、轉(zhuǎn)賬驗證的是機主的指紋信息。

8月24日《IT時報》記者在撥打光大銀行客服熱線時,，也得到了類似的答案,，"卡主可以設(shè)置采用生物信息識別的額度，如果用了生物信息認證,，是沒有短信驗證碼的,，只需要交易密碼和生物識別通過即可，不過,，當銀行監(jiān)測到風險時,，會要求轉(zhuǎn)賬者先與銀行系統(tǒng)里的卡主信息進行比對，通過身份驗證后才能繼續(xù)下一步,。"

8月22日,，記者在光大銀行上海某網(wǎng)點辦理了一張儲蓄卡并開通了手機銀行。當記者試圖在另一部手機上登錄此賬戶時,，系統(tǒng)提示,，只能使用手機驗證碼的方式，而且首次登錄時，還需要輸入登錄密碼,。也就是說,，像李豪視頻中顯示的，僅靠手機號碼和登錄密碼便能進入他人賬戶,，已不可能,。

但如果像交通銀行案例中那樣，儲戶密碼泄露,、手機被劫持,，驗證密碼被轉(zhuǎn)發(fā)至詐騙分子手機中，那這一步便也不再是障礙,。

隨后,，通過手機號碼、登錄密碼,、驗證碼,，記者同事順利在她的手機上開通了面容ID登錄。也就是說,，她在自己的手機上,，可以刷臉登錄記者的賬戶。

但在開通面容ID支付時,，銀行App要求先通過人臉認證,，也即類似隨申碼驗證時的場景，需要做出點頭,、搖頭等動作,，走到這一步，無論是記者的臉,，還是同事的臉,，在記者同事的手機上均未通過。最終,，記者在自己的手機上完成了這個識別過程,，但最后開通的面容ID支付，同樣調(diào)用的是手機本地的識別系統(tǒng),。

畢竟離錢云賬戶被盜刷已過去一年,，銀行安全系統(tǒng)可能已升級多次，記者無法完整復刻李豪的測試,，但至少證明一點,，打開面容ID登錄功能后，銀行App在登錄時,，確認的是手機機主的驗證結(jié)果,。

多家銀行支持機主生物密碼轉(zhuǎn)賬

經(jīng)過多日測試，記者發(fā)現(xiàn)：銀行的人臉識別系統(tǒng)負責身份驗證，手機的生物識別密碼負責密碼驗證,。

知乎上,，一篇認證為 " 云從科技 " 的賬號發(fā)表了一篇名為《當 "powered by 云從 " 成為銀行標配，光大銀行加入,！》的文章,，其中提及 " 云從科技集中存儲客戶生物識別信息，并識別人臉,、證件 ",，但并沒有提及轉(zhuǎn)賬交易。

《光大銀行手機銀行面容ID認證服務協(xié)議》中則提到,，"甲方開啟面容ID認證功能時,，甲方應理解面容信息的采集、存儲和比對等服務將由甲方使用的手機或設(shè)備及其系統(tǒng)來完成,，此類設(shè)備可以將用戶的生物識別信息與事先錄入并存儲在該設(shè)備上的特征數(shù)據(jù)進行比對核驗,。"從這句話上也可確認，銀行面容ID是與手機里所存儲的個人生物信息進行比對,。

光大銀行手機銀行面容ID認證服務協(xié)議

不僅是光大銀行,，其他銀行的用戶生物信息協(xié)議中，也有類似條款,。比如浦發(fā)銀行生物信息認證協(xié)議中提到，指紋,、面容生物識別信息特征的錄入,、修改和刪除等管理操作，均由手機系統(tǒng)提供,。

浦發(fā)銀行生物信息認證協(xié)議

8月23日開始,，《IT時報》記者多次聯(lián)系光大銀行鐵西支行以及支行管理人員未果，光大銀行負責投訴的相關(guān)客服人員則表示會盡快跟進處理,，但截至發(fā)稿,，也無回音。

李豪告訴記者,，光大銀行認為賬戶被盜刷的責任在其岳母自身,，只能等待警方破案。

此前交通銀行盜刷案件,，銀行亦被認為無責,。

#記者觀察#

銀行安全防護應高于犯罪手段

儲戶賬戶被盜刷，誰該負責,？

翻閱中國裁判文書網(wǎng),，以"借記卡糾紛"為名的案件大多因盜刷而起，法院判罰大多聚焦于兩點：一、儲戶有無做到妥善保護密碼,；二,、銀行有沒有完善的安全防護手段。

一則早期案例顯示,，某儲戶的銀行卡被犯罪分子偽造后,，在異地盜刷，最后法院認為,，銀行應保證銀行卡具有唯一性和不可復制性,，其未能采取技術(shù)手段防范銀行卡被復制或偽造，故其應當對發(fā)行的銀行卡存在安全漏洞,、技術(shù)風險承擔責任,。

銀行的防護能力關(guān)系到儲戶的資金安全，當銀行業(yè)務逐步轉(zhuǎn)移至線上時,，判責的邏輯并不應該發(fā)生變化,。

但現(xiàn)實問題是，生物識別認證還沒有形成統(tǒng)一的標準,，銀行使用人臉識別卻已相當普遍,，各家銀行的技術(shù)能力參差不齊，在風險防控方面也面臨著諸多挑戰(zhàn),。

《IT時報》曾多次報道因生物識別技術(shù)不完善導致真假莫辨,，或者因個人生物信息泄露導致存在長期風險的案例。2021年10月,，清華大學的一個團隊,，僅用一副框架眼鏡、一張A4紙,，便成功解鎖了19款安卓手機,。

當手機的生物識別系統(tǒng)并不是"固若金湯"時，銀行允許甚至推薦用戶將其作為支付,、轉(zhuǎn)賬等關(guān)鍵操作的密碼時,，可能產(chǎn)生風險，誰來承擔責任,？記者在登錄某些銀行App時,，便多次被主動詢問，是否要使用面容ID登錄或支付,。

清華大學法學院教授勞東燕曾表示,，由于相應風險是銀行引進人臉識別所導致，也即銀行參與了風險的創(chuàng)設(shè),，在法律上,，誰創(chuàng)設(shè)風險,，誰原則上就應當對風險現(xiàn)實化的結(jié)果承擔責任；其次銀行在相關(guān)業(yè)務領(lǐng)域里獲益最大,，理應承擔與獲益相稱的風險責任,；再次，銀行防范風險的能力比個人更強,，能力越強者責任越大,。她建議，全國人大及其常委會有必要考慮對生物識別信息進行單獨立法,，不應放在《個人信息保護法》的框架下來進行保護,。

"如果真的是因為光大銀行在轉(zhuǎn)賬過程中，只是比對機主生物信息而非卡主生物信息造成用戶財產(chǎn)損失,，銀行的責任更大些,。" 上述銀行業(yè)人士向《IT 時報》記者表示，對于金融機構(gòu)來說,，遠程交易過程中的生物識別是其面臨的一大課題,。在生物識別驗證方面，金融行業(yè)應建立統(tǒng)一的標準,，技術(shù)水平各不相同的銀行可以參照執(zhí)行,。此外，風險防控是一種立體的思維方式,，銀行需要通過技術(shù)手段加強一整套風險監(jiān)測,、風險處置的流程。

對于銀行而言,，使用生物信息對用戶進行驗證,，前提是對生物信息的驗證和保護必須超過一般的犯罪技術(shù)手段，否則,，用戶財產(chǎn)不翼而飛的事態(tài)將會更加嚴峻。