刷臉登錄銀行APP驚現他人信息，市民：人臉識別真的安全嗎？

　　刷臉登錄APP、查賬、付錢……這一套流程，大多數人都很習慣，也覺得很方便。

　　但是，最近杭州市民魏先生卻遇上了一件意外事件，登錄某銀行企業客戶端時，刷臉刷出來的卻是別人的賬號。

　　不經，魏先生就産生了疑問，“這是程序的漏洞？手機刷臉真的安全嗎？”

　　刷臉登上的是別家公司？

　　銀行回復：初步判斷是網絡波動

　　魏先生名下經營著一家新媒體公司。

　　1月2日當天，他和往常一樣登錄某銀行企業客戶端，準備查看自家企業的金融業務情況，“手機客戶端我一般只用來查詢，轉賬都是需要走流程、從財務支出的。”

　　魏先生很自然地使用了刷臉登錄，在程序快速響應之後，他突然發現了不對勁——客戶端內顯示的個人信息並不是他的公司。

　　“跳出來的是一家東莞的創意設計公司，負責人姓李。”通過魏先生提供的錄屏，可以看到對方公司的金融信息，包括企業信息、管理員姓名、餘額、金融産品信息等。

　　為了避免發生糾紛，在留存證據之後，魏先生就退出了該賬號。後續他多次嘗試登錄，再也沒有發生過相同的情況。

　　魏先生登錄後並非自己的賬戶 受訪者供圖

　　魏先生介紹，自己在該銀行註冊已經四年多了，還是第一次遇到這種情況，“萬一有一天別人也登上了我的，不就等於洩露了我們客戶的個人信息了嗎？我覺得這件事蠻離譜的。”

　　魏先生隨即就將相關情況反饋給了自己的客戶經理。

　　3日晚間，銀行相關負責人與客戶經理上門和魏先生解釋了情況。

　　據魏先生回憶，銀行表示這是網絡抖動帶來的極小概率事件，並表示客戶端登錄使用的是手機自帶的刷臉系統，金融支付用的是另外一套銀行的自有系統，可靠性、安全性更高，“他們一再和我説，金融安全性沒有問題的。”

　　1月4日，潮新聞記者也致電了魏先生的開戶行，但由於是週末，大堂經理表示需要進一步了解後再回復。截至發稿，記者暫未收到回復。

　　銀行客戶端提醒啟用人臉識別

　　“刷臉”一般調用手機儲存信息

　　登錄和支付基本都是兩套系統

　　對於魏先生遇到的情況，記者也諮詢了資深程序開發人員。

　　業內人士表示，無論是指紋登錄還是刷臉登錄，一般上都是調用“儲存在手機本地的人臉或者指紋信息”，匹配成功之後，再自動填入對應的“儲存在鑰匙串內的賬號密碼信息”，完成登錄操作後，打開賬號密碼對應的賬戶信息，“這過程中，如果出現網絡抖動，是可能造成回傳的賬戶信息錯誤的情況，但是概率很小。”

　　而對於安全性要求更高的支付系統，一般的程序開發都會調用“微信、支付寶、ApplePay”等第三方支付的端口實現支付功能，銀行客戶端則會自行開發相關的支付系統，“邏輯上和登錄是兩個系統，登錄對於人臉的識別精度也遠低於支付系統的。”

　　採訪中，記者也嘗試讓魏先生使用該銀行客戶端進行支付，確實在人臉登錄之後，仍需要核對短信驗證碼等方式確認支付。

　　系統截圖

　　記者也隨機打開了一個銀行客戶端，在首次登錄之後，系統會提醒“是否需要啟用刷臉登錄”，需要同意銀行採集並使用人臉信息用於核實身份。同時，在指紋登錄許可界面，還提醒“設置僅對本機生效”。

　　對此，該程序員解釋道，刷臉的功能是隨著手機不斷發展，逐步誕生的，是一個基於手機硬體基礎的附加功能。

　　以蘋果手機為例，指紋功能最早出現在iPhone 5s上，之前只能使用密碼或者圖形登錄，而人臉識別更是需要等到四年後的iPhoneX。“過去強光、暗光等環境都會導致識別率低，現在科技不斷進步，手機也越來越智慧，識別準確率很高，可以説，魏先生遇到的情況真的小之又小。”

　　當然，該程序員也表示，魏先生遇到的情況，不排除程序迭代中産生漏洞的可能性，需要進一步的排查。

　　信息洩露怎麼辦？

　　律師：保留證據，維護自己的合法權益

　　近年來，隨著人臉識別技術的發展，公眾對個人信息安全的擔憂一直存在。

　　“人臉識別技術有積極一面，但也要嚴防技術濫用。個人信息保護，更應當從源頭抓起。”北京市京師律師事務所律師孟博提到，在2021年最高人民法院就出臺了《關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》，並於當年8月1日正式施行，“《規定》提高了信息處理者的違法成本，降低用戶的維權難度，倒逼相關主體依法合規經營，嚴格落實主體責任。”

　　其中，《規定》第八條提到，信息處理者處理人臉信息侵害自然人人格權益造成財産損失，該自然人依據民法典第一千一百八十二條主張財産損害賠償的，人民法院依法予以支持。

　　也就意味著如果發生魏先生遇到的情況，並産生實際損失，可以向人民法院起訴，追求銀行責任並索賠。

　　孟博補充説，按照《網絡安全法》及《規定》中的規定，信息處理者應採取應有的技術措施或者其他必要措施確保其收集、存儲的人臉信息安全，防止人臉信息洩露、篡改、丟失。侵犯公民個人信息，可能會被追究民事、行政、刑事責任。“被泄漏信息的用戶，可以通過民事訴訟、到公安機關報案等方式，維護自己的合法權益。”