2021年,廣州網際網路法院通報了一起因為“刷臉”引發的借款糾紛。客戶王蘭(化名)在遺失了身份證後,卻被人冒用身份透過銀行的“人臉識別”貸款,導致王蘭因逾期被告上了法庭。經司法筆跡鑑定,認為案涉客戶簽名並非王蘭本人簽署,手機號碼亦未曾登記在王蘭名下。最終,法院駁回銀行全部訴訟請求。
2020年10月,四川警方查處一個上百人的詐騙團伙。該團伙購買大量人臉影片,藉助“殭屍企業”“空殼公司”,為6000多人包裝公積金資訊,然後向多家銀行申請公積金貸款,最終帶來10億多元的壞賬。
一系列看似荒誕的案件,給銀行機構敲響了警鐘,“人臉識別”的準確性面臨質疑。
人臉識別在金融業的應用
2015年末,央行《關於改進個人銀行賬戶服務加強賬戶管理的通知》中明確提出,提供個人銀行賬戶開立服務時,有條件的銀行可探索將生物特徵識別技術和其他安全有效的技術手段作為核驗開戶申請人身份資訊的輔助手段。為落實中國人民銀行的要求,各金融機構開始大力探索、推進人臉識別技術在各領域的應用。
人臉識別作為一種生物識別技術,被廣泛運用於金融領域,主要作用是實現線上身份認證。“刷臉”應用在自助終端、櫃檯以及移動端多個渠道商。尤其隨著新冠疫情的影響,非接觸零接觸的金融服務飛速發展,加速銀行數字化轉型,線上金融服務飛速發展。
人臉識別已經成為登入、確認、申請、修改等業務環節中重要的驗證技術,同時也存各類安全風險。
有媒體報導,大量社群和境外網站進行真人人臉識別影片的販賣。“價高質優”的驗證影片百元一套,動態軟體將人臉照片製作成“動態影片”只要幾元,以完成各類線上業務人臉識別的驗證。此外,清華大學研究人員曾經在15分鐘解鎖了19個陌生智慧手機。
可以清楚地看到,人臉識別技術帶來人們便利的同時,也要帶來的各類仿冒、攻擊、盜取等三類安全隱患。
仿冒登入。戴上眼鏡、帽子、面具等偽裝手段,或者可以製作人皮高仿模型、將2D人臉照片3D建模、利用AI技術將靜態照片變成動態照片等多種技術均,混淆演算法判斷,達到欺騙系統的目的。可以騙過有效性不高的人臉識別演算法和活體監測演算法。
劫持篡改。遠端入侵篡改人臉識別系統驗證流程、資訊、資料等,將後臺或前端的真資料替換為假資料,以實現虛假人臉資訊的透過。
盜取冒用。透過各類公開或非法手段,收集、儲存、盜取正常的人臉資料,然後非法冒用。
由於人臉的結構、外形相似,並且臉部表情、角度、光線、環境、穿戴、年齡的因素,導致人臉的視覺影像也相差很大。因此,外部客觀因素對人臉識別也帶來較多影響。
多方面提升人臉識別應用安全
客戶身份識別是金融機構預防洗錢犯罪、防範金融風險的第一道安全防線。上海銀保監局釋出關於防範人臉識別技術使用風險的消費提示,提醒金融消費者要做到“人臉識別有了解,生物資訊應保護,手機操作莫予人”,讓人臉識別技術真正便民、利民、護民。
人臉識別應用安全需要在三方面加強:
第一,提升人臉識別系統的精準度,例如透過模型和演算法提高真偽判別;基於空間域的檢測,例如影像取證的檢測、生物頻率,如GAN的偽影檢測、基於生物訊號的檢測,視聲不一致以及視覺上不自然等。
第二,保障人臉識別系統的安全性。防範API介面被篡改劫持,保證輸出效果、生成網路效果的真實、發現裝置和系統埠、通訊的異常;及時預警,防止灌入虛假人像、混淆真假人像、庫內人像資訊被篡改;保證人臉資料儲存以及傳輸的完整性、機密性等。
第三,提升人臉識別識別的風控能力。人臉識別是一種技術核驗,但不能作為唯一的手段。需要採用身份證、手機號碼、銀行卡、操作行為、裝置、環境等綜合手段進行核驗,甚至需要人工電話核實。透過立體的風控體系,增強人臉識別從源頭到應用的全鏈條預警、攔截、防護能力,提升人臉識別應用的安全性。
人臉識別應用更離不開法律法規護航。2021年7月,最高法院釋出《關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》,對人臉資訊提供司法保護。解釋明確規定,在賓館、商場、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定,使用人臉識別技術進行人臉驗證、辨識或者分析,應當認定屬於侵害自然人人格權益的行為。
行業機構也在牽頭制定應用標準。2021年4月7日,中國資訊通訊研究院雲端計算與大資料研究所倡議發起成立“可信人臉應用守護計劃”。頂象等多家公司入選第二批“可信人臉應用守護計劃”成員單位,將與各界通力合作,積極探索人臉應用治理與發展的可信指引,助力人臉識別應用安全發展,共建可信的人臉應用生態。