针对此类风险 ， 上海银保监局郑重提醒 ， 金融消费者要做到“人脸识别有了解 ， 生物信息应保护 ， 手机操作莫予人” ， 让人脸识别技术真正便民、利民、护民 。 光大银行科技创新实验室在人脸识别技术的风险和防范一文中指出 ， 目前对于人脸识别在银行业的应用产生较大隐患的对抗攻击为Impersonation攻击的黑盒攻击 。 该攻击可以在不知道目标银行所使用的人脸识别算法的情况下 ， 仅仅凭借攻击目标的人脸信息以及账户信息攻破银行的人脸识别系统 ， 进而骗取贷款或者窃取账户资金 。
在金乐函数分析师廖鹤凯看来 ， 人脸信息对于个人具有唯一性 ， 是当下识别个人身份、个人支付核验的重要手段 ， 人脸信息的泄露对于个人的信息安全甚至金融安全都会造成较大影响 ， 有潜在造成重大经济损失的可能 。
应用标准不一、数据管理存挑战
北京商报采访人员在测评中发现 ， 目前人脸识别较为常见的应用方式就是身份权限认证 。 例如 ， 在一家股份制银行手机银行新用户登录页面 ， 该行就提醒称 ， 可以将账户设置为常用设备以及可信设备 ， 在常用设备上发起转账 ， 采用人脸识别认证方式日累计限额为20万元；采用可信设备方式发起转账 ， 人脸识别认证方式日累计限额为50万元 。
【多银行发布公告提示人脸识别盗用风险，“安全篱笆”该如何筑牢】其次就是刷脸取款 ， 客户如需取款 ， 首先在ATM屏幕首页点击选择“刷脸取款”功能 ， 系统将自动抓拍现场照片 ， 在后台与银行的可信照片源进行比对 ， 验证通过后 ， 客户输入手机号码进一步确认身份 ， 接着输入取款金额、密码 ， 最后拿取现金 ， 整个过程不需要插入实体卡片 。
“现在人脸识别已经作为金融消费者身份辅助认证的重要手段 ， 原因就是银行客户数量庞大 ， 人脸识别能快速精准地识别用户 。 ”一位与银行合作刷脸认证的科技公司人员向北京商报采访人员透露称 ， 目前人脸识别技术对环境的要求较严格 ， 例如在强光或者弱光环境下会影响识别的准确性 。 在识别过程中 ， 也高度依赖网络传输的能力 ， 如果当前环境网络传输出现丢包的情况 ， 导致系统获取的图片有问题 ， 同样会存在类似的问题 。
从安全性方面 ， 上述科技公司人员进一步指出 ， “大部分的人脸识别系统都是从提高准确度的角度去开发 ， 很少从提高对反样本的对抗进行开发 。 例如有研究发现基于深度学习开发的识别系统很容易被其他因素 ， 比如遮挡或者故意用特定颜色的背景影响 ， 如果有专业的犯罪团体使用对抗样本进行破解 ， 很可能给储户带来较大的经济损失 。 同样还有类似于整容或者3D合成的头套等特殊情况 。 除此之外 ， 银行的主力储户大部分都是中老年人 ， 他们可能更喜欢传统的认证合一的离线验证方式 。 因此怎么做好人脸识别的宣传也是一个重大的问题” 。
正如廖鹤凯所言 ， 当前人脸识别在银行运用中还存在应用标准不一致 ， 导致重复投入巨大且程序多样；应用场景广泛 ， 数据管理存在挑战；活体检测能力有待提升等多种问题 。 银行应与外部公共安全数据联合 ， 搭建统一的平台来管理人脸数据 。 或可建立大数据中心采用分布式存储、多重加密保存提升人脸数据的安全性 ， 同时进一步提升算力和补充人脸识别的关键选点能力 。
谈及未来银行如何防范盗刷风险 ， 光大银行科技创新实验室指出 ， 需要配合硬件终端、软件逻辑、模型组合、风控策略等综合作用 ， 才可以最大程度保护用户的人脸安全 。
北京商报采访人员 宋亦桐