系统六度被“撞开”，人脸识别真的安全吗？

【系统六度被“撞开”，人脸识别真的安全吗？】来源：法人杂志
◎ 文《法人》杂志全媒体采访人员银昕
近日，一起事关人脸识别的一审判决引发社会关注。
在此案中，李某接到一通自称是警方打来的电话，在对方提供的网站上下载了两个APP，又按对方要求到银行办了一张借记卡，并向该卡转账40余万元。当李某发现卡上的钱被转走后才意识到上当了。随后，李某向公安机关报了案，派出所民警确认她遭遇了电信诈骗。李某认为，在其受骗过程中银行也有一定责任，遂以“借记卡纠纷”为由将银行告上法庭。
6月30日，此案迎来一审判决，法院认为，李某在受骗过程中，操作存在明显过错，而银行完整履行了人脸识别、手机验证码确认和人工电话确认的义务，判其无责。
判决一出，引发了各界人士的讨论。
值得注意的是，此案中，李某的人脸信息被诈骗者轻易获得，并成功“撞开”人脸识别防护系统达6次之多。
人脸识别，还安全吗？
系统被什么“撞开”？
2021年6月19日10时30分，身在北京的李某接到自称“陈警官”的电话，称她的护照在黑龙江省哈尔滨市涉嫌非法入境，要求李某向哈尔滨公安机关报案。“陈警官”确切知晓李某的身份证号码，使李某信以为真。随后，电话被转接到自称是哈尔滨市公安局“刘警官”的手机上。“刘警官”提供的网址显示，李某涉嫌一桩反洗钱案，通缉公告上李某的身份证号和户籍信息均准确无误。
为了“洗清罪名”，李某按照“刘警官”的要求，下载了“公安防护”和“瞩目”两款手机应用。在“瞩目”上，李某与“刘警官”共享了手机屏幕，以“确保”是本人操作。在“刘警官”指导下，李某设置了呼叫转移和短信转发，将自己手机来电和短信都转移到“刘警官”的手机号码上。
“刘警官”以“清查个人财产”为由，要求李某办理银行卡。李某在附近银行办理了借记卡，同时开通了网上银行和手机银行，随后将个人积蓄转到新办的借记卡上，共42.9万元。
察觉出不对的李某登录手机银行发现，借记卡中的存款不翼而飞，随后向公安机关报案。民警调查时发现，诈骗者在转账过程中，6次“撞开”人脸识别系统，6次操作均显示“活检成功” 。
中国政法大学传播法研究中心副主任朱巍告诉采访人员，视频通话过程中，简单的人脸录像几乎不可能“撞开”人脸识别系统，也就是说，诈骗者不是通过李某在“瞩目”上简单的一段露脸录像就完成了“撞库” 。
“可能是活化软件。”一位曾参与某国有商业银行人脸识别安全验证项目的人士对采访人员说，在拿到一段人脸录像后，用活化软件对人脸进行建模，有可能“骗开”人脸识别系统。“在录像中，受害者极有可能已经做出过眨眼、张嘴、摇头等人脸识别系统经常要求受试者做出的动作。”
值得注意的是，人脸识别并不是商业银行核验身份的唯一一把锁。在大额转账、修改密码、申请开通手机银行时，银行的验证方式有人脸识别、手机验证码认证和人工电话核实。遗憾的是，李某因听信“刘警官”的话，对手机进行了设置，没有接到银行发给她的手机验证码和银行客服的核实电话，这些电话和短信都被诈骗者截获了。
银行是否有责？
据采访人员不完全统计，类似案件并不只有李某这一起。所有的案件都指向一个疑问：在电信诈骗中，银行应承担什么责任？
李某一案中，一审判决银行无责，引发了一些不同意见。李某的爱人马某是此案中李某的代理人。马某在银行系统工作，他认为，银行定下的“人脸识别+短信验证码”的验证模式，其目的是确保由用户本人亲自操作转账。李某在完全不知情的情况下，被诈骗人员从账户中转走钱，银行应当承担保管不力的责任。“这就好比，本来约定需要我本人去银行才可以转账汇款，现在别人假冒我，银行没有发现，那么造成的损失不应该由我完全承担。”