今年7月份，兩大銀行接連爆出多名儲戶的數百萬存款被異地“刷臉”盜取，引發全社會關注。其實，因人臉安全問題導致資金被盜、被貸款安全事件已不是新鮮事。

2021年，28歲男子黃某輝趁前女友董某熟睡，翻開董某的眼皮，透過人臉識別，分多次從董某的花唄、借唄、支付寶餘額和銀行卡轉走人民幣共15.41萬元，最後透過套現將這些錢轉到自己手機上。

除了熟人作案，還有儲戶因為人臉資訊丟失被莫名其妙背上貸款。2021年，廣州網際網路法院通報了一起因為“刷臉”引發的借款糾紛。客戶王蘭（化名）在遺失了身份證後，卻被人冒用身份透過銀行的“人臉識別”貸款，導致王蘭因逾期被告上了法庭。2020年10月，四川警方查處一個上百人的詐騙團伙。該團伙購買大量人臉影片，藉助“殭屍企業”“空殼公司”，為6000多人人包裝公積金資訊，然後向多家銀行申請公積金貸款，最終帶來10億多元的壞賬。

基於人臉的識別技術被廣泛運用於金融領域，主要作用是實現線上身份認證，已成為登入、確認、申請、修改等業務環節中重要的驗證技術。當人臉識別被偽造、遭攻擊，會給銀行、儲戶帶來資金損失。

銀保監多次警示人臉安全

監管部門多次發文警示，各金融機構加強人臉資訊保安與人臉識別系統的安全防範。

2021年10月，上海銀保監會提示，金融消費者應當認識到人臉識別採集的生物特徵資訊十分重要，要像保護身份證一樣保護好自己的生物特徵資訊。消費者如果遇到一些“拍照”場景有搖頭、張嘴等特殊動作要求的情況，就應該提高警惕，看清螢幕中是“拍照”還是“人臉識別”。同時，在使用銀行、保險等金融相關App時，要注意不將手機輕易交給他人操作，也不要將驗證碼、支付密碼等關鍵敏感資訊告訴他人。

2022年10月，銀保監會發文警示“高度警惕客戶人臉識別資訊被冒用風險”。並特別提到人臉識別技術存在漏洞。“詐騙分子採取將靜態照片變成動態照片、已有影片植入、遠端影片驗證等手段，攻破人臉識別和活體檢測演算法。破解人臉識別應用安全保護。這說明，人臉識別作為新興生物識別技術，依然存在演算法不精準和系統不安全等風險，應予高度警惕。”

金融人臉安全隱患主要集中在三方面

由於人臉識別技術運用主體的技術條件和管理水平良莠不齊，不法分子甚至會開發作弊工具來破解、干擾、攻擊人臉識別技術背後的應用和演算法，進而引發盜竊、詐騙、盜取資金安全乃至人身安全問題。

頂象釋出《人臉識別安全白皮書》顯示，當前階段人臉風險主要集中在人臉資訊洩露、人臉識別演算法不精準和人臉識別系統不安全等三個方面。

人臉資訊洩露

人臉是重要的隱私資訊，利用各種技術和手段，在未經同意允許或批准的前提下，透過公開或非法手段，收集、儲存、盜取正常的人臉資料，一旦資訊出現洩露，不僅被不法分子進行用於詐騙，更可能被反覆販賣牟利。

人臉識別演算法不精準

戴上眼鏡、帽子、面具，或者製作高仿模型、將2D人臉照片3D建模、利用AI技術將靜態照片變成動態照片等，騙過人臉識別演算法和活體監測演算法。

虛假人臉：使用靜態照片、透過播放預錄製動態影片、利用影像處理或三維建模軟體將照片轉換為動態影片，混淆人臉識別判斷。

人臉改造：戴上眼鏡、帽子、面具等偽裝手段，或者製作高仿模型、將2D人臉照片3D建模、照片活化等方式，騙過人臉識別檢測。

技術換臉：透過AI演算法，將影片中的人物面容替換為他人面容。或者透過AI換臉技術，將一張普通的靜態照片，轉化生成一張表情生動的人臉，甚至可以輕鬆地貼在另一個人的臉上，隨著另一個人的動作和表情自動變化。

人臉識別系統不安全

破解人臉識別應用或保護，篡改驗證流程、通訊資訊，劫持訪問物件、修改軟體程式，將真資料替換為假資料，以騙過人臉識別的核驗。

破解系統程式碼：破解人臉識別系統程式碼、人臉識別應用的程式碼，篡改人臉識別程式碼的邏輯，或者注入攻擊指令碼，改變其執行流程，人臉識別系統按照攻擊者設定的路徑進行訪問、反饋。

劫持攝像頭：透過入侵人臉識別裝置，或在裝置上植入後門，透過刷入特定的程式來劫持攝像頭、劫持人臉識別App或應用，繞過人臉的核驗。

篡改傳輸報文：透過破解入侵人臉識別系統或裝置，劫持人臉識別系統與伺服器之間的報文資訊，對人臉資訊進行篡改，或者將真實資訊替換為虛假資訊。

三方面保障銀行人臉應用安全

《人臉識別安全白皮書》建議在人臉資訊保安、人臉識別精準度和人臉識別系統安全性三方面入手。

人臉資訊保安保障。人臉資訊採集時，在人臉識別裝置處設定顯著標識，向個人資訊主體告知處理規則。依據《個人資訊保護法》完善隱私政策，將涉及人臉資訊等個人敏感資訊的條款重點標出。加大對人臉資訊採集、儲存、加工、傳輸各環節違規行為的懲戒力度。對於濫採、濫用的，需適當加大懲戒力度，形成有效震懾，增強公眾的安全感。建立人臉資訊定期銷燬機制，要求人臉資訊本地化儲存的同時，在一定週期內定期銷燬相關資料。

人臉識別精準度的提升。基於紋理的方法分析人臉影像樣本中的微觀紋理圖案，進一步增強照片和真人的識別度；透過計算頭髮而非面部的傅立葉光譜，增強人臉影片檢測的精準度。增加唇語活體檢測；增加影像的紋理、光線、背景、螢幕反射檢測；使用專門的紅外攝像頭對人臉進行三維結構採集等。

人臉識別系統安全保障。對人臉識別應用、App、客戶端進行程式碼混淆、加密加殼、許可權控制，做好終端環境安全檢測；對資料通訊傳輸混淆加密，防止資訊傳輸過程中遭到竊聽、篡改、冒用；風控決策引擎能夠全面檢測裝置環境，實時發現注入、二次打包、劫持等各類風險及異常操作；建專屬的風控模型，為發現潛在風險、未知威脅、保障人臉識別安全提供策略支撐。

頂象業務安全感知防禦平臺基於威脅探針、流計算、機器學習等先進技術，集裝置風險分析、執行攻擊識別、異常行為檢測、預警、防護處置為一體的主動安全防禦平臺，能夠實時發現攝像頭遭劫持、裝置偽造等惡意行為，有效防控各類人臉識別系統風險。它具有威脅視覺化、威脅可追溯、裝置關聯分析、多賬戶管理、跨平臺支援、主動防禦、開放資料接入、防禦自定義和全流程防控等特點。