轉自：潮新聞

　　刷臉登錄APP、查賬、付錢……這一套流程，大多數(shù)人都很習慣，也覺得很方便。

　　但是，最近杭州市民魏先生卻遇上了一件意外事件，登錄某銀行企業(yè)客戶端時，刷臉刷出來的卻是別人的賬號。

　　不經(jīng)，魏先生就產生了疑問，“這是程序的漏洞？手機刷臉真的安全嗎？”

　　刷臉登上的是別家公司？

　　銀行回復：初步判斷是網(wǎng)絡波動

　　魏先生名下經(jīng)營著一家新媒體公司。

　　1月2日當天，他和往常一樣登錄某銀行企業(yè)客戶端，準備查看自家企業(yè)的金融業(yè)務情況，“手機客戶端我一般只用來查詢，轉賬都是需要走流程、從財務支出的。”

　　魏先生很自然地使用了刷臉登錄，在程序快速響應之后，他突然發(fā)現(xiàn)了不對勁——客戶端內顯示的個人信息并不是他的公司。

　　“跳出來的是一家東莞的創(chuàng)意設計公司，負責人姓李。”通過魏先生提供的錄屏，可以看到對方公司的金融信息，包括企業(yè)信息、管理員姓名、余額、金融產品信息等。

　　為了避免發(fā)生糾紛，在留存證據(jù)之后，魏先生就退出了該賬號。后續(xù)他多次嘗試登錄，再也沒有發(fā)生過相同的情況。

　　魏先生介紹，自己在該銀行注冊已經(jīng)四年多了，還是第一次遇到這種情況，“萬一有一天別人也登上了我的，不就等于泄露了我們客戶的個人信息了嗎？我覺得這件事蠻離譜的。”

　　魏先生隨即就將相關情況反饋給了自己的客戶經(jīng)理。

　　3日晚間，銀行相關負責人與客戶經(jīng)理上門和魏先生解釋了情況。

　　據(jù)魏先生回憶，銀行表示這是網(wǎng)絡抖動帶來的極小概率事件，并表示客戶端登錄使用的是手機自帶的刷臉系統(tǒng)，金融支付用的是另外一套銀行的自有系統(tǒng)，可靠性、安全性更高，“他們一再和我說，金融安全性沒有問題的。”

　　1月4日，潮新聞記者也致電了魏先生的開戶行，但由于是周末，大堂經(jīng)理表示需要進一步了解后再回復。截至發(fā)稿，記者暫未收到回復。

　　“刷臉”一般調用手機儲存信息

　　登錄和支付基本都是兩套系統(tǒng)

　　對于魏先生遇到的情況，記者也咨詢了資深程序開發(fā)人員。

　　業(yè)內人士表示，無論是指紋登錄還是刷臉登錄，一般上都是調用“儲存在手機本地的人臉或者指紋信息”，匹配成功之后，再自動填入對應的“儲存在鑰匙串內的賬號密碼信息”，完成登錄操作后，打開賬號密碼對應的賬戶信息，“這過程中，如果出現(xiàn)網(wǎng)絡抖動，是可能造成回傳的賬戶信息錯誤的情況，但是概率很小。”

　　而對于安全性要求更高的支付系統(tǒng)，一般的程序開發(fā)都會調用“微信、支付寶、ApplePay”等第三方支付的端口實現(xiàn)支付功能，銀行客戶端則會自行開發(fā)相關的支付系統(tǒng)，“邏輯上和登錄是兩個系統(tǒng)，登錄對于人臉的識別精度也遠低于支付系統(tǒng)的。”

　　采訪中，記者也嘗試讓魏先生使用該銀行客戶端進行支付，確實在人臉登錄之后，仍需要核對短信驗證碼等方式確認支付。

　　記者也隨機打開了一個銀行客戶端，在首次登錄之后，系統(tǒng)會提醒“是否需要啟用刷臉登錄”，需要同意銀行采集并使用人臉信息用于核實身份。同時，在指紋登錄許可界面，還提醒“設置僅對本機生效”。

　　對此，該程序員解釋道，刷臉的功能是隨著手機不斷發(fā)展，逐步誕生的，是一個基于手機硬件基礎的附加功能。

　　以蘋果手機為例，指紋功能最早出現(xiàn)在iPhone 5s上，之前只能使用密碼或者圖形登錄，而人臉識別更是需要等到四年后的iPhoneX。“過去強光、暗光等環(huán)境都會導致識別率低，現(xiàn)在科技不斷進步，手機也越來越智能，識別準確率很高，可以說，魏先生遇到的情況真的小之又小。”

　　當然，該程序員也表示，魏先生遇到的情況，不排除程序迭代中產生漏洞的可能性，需要進一步的排查。

　　信息泄露怎么辦？

　　律師：保留證據(jù)，維護自己的合法權益

　　近年來，隨著人臉識別技術的發(fā)展，公眾對個人信息安全的擔憂一直存在。

　　“人臉識別技術有積極一面，但也要嚴防技術濫用。個人信息保護，更應當從源頭抓起。”北京市京師律師事務所律師孟博提到，在2021年最高人民法院就出臺了《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》，并于當年8月1日正式施行，“《規(guī)定》提高了信息處理者的違法成本，降低用戶的維權難度，倒逼相關主體依法合規(guī)經(jīng)營，嚴格落實主體責任。”

　　其中，《規(guī)定》第八條提到，信息處理者處理人臉信息侵害自然人人格權益造成財產損失，該自然人依據(jù)民法典第一千一百八十二條主張財產損害賠償?shù)模嗣穹ㄔ阂婪ㄓ枰灾С帧?/p>

　　也就意味著如果發(fā)生魏先生遇到的情況，并產生實際損失，可以向人民法院起訴，追求銀行責任并索賠。

　　孟博補充說，按照《網(wǎng)絡安全法》及《規(guī)定》中的規(guī)定，信息處理者應采取應有的技術措施或者其他必要措施確保其收集、存儲的人臉信息安全，防止人臉信息泄露、篡改、丟失。侵犯公民個人信息，可能會被追究民事、行政、刑事責任。“被泄漏信息的用戶，可以通過民事訴訟、到公安機關報案等方式，維護自己的合法權益。”