支付曝光臺(ZFBGT.COM)訊:近日,中國裁判文書網披露了浙江省衢州市中級人民法院一份刑事裁定書,引起業內關注。
2018年7月份開始,被告人張某、餘某等人以牟利為目的,利用已非法獲取的公民個人信息,通過使用軟體將相關公民頭像照片製作成公民3D頭像,從而通過支付寶人臉識別認證,並使用上述公民個人信息註冊支付寶帳戶。張某、餘某等人通過這種方式來獲取支付寶提供的邀請註冊新支付寶用戶的相應紅包獎勵(包括邀請新人紅包、通用消費紅包、花唄紅包等)。
1.2018年7月份開始,張某僱傭姚某(另案處理)在其位於浙江省紹興市上虞區內工作,使用其購買的公民個人身份信息註冊支付寶帳號,並使用軟體將公民頭像照片製作成公民3D頭像,從而通過支付寶人臉識別認證。張某、姚某通過這種方式來獲取支付寶提供的邀請註冊新支付寶用戶的相應紅包獎勵,每個新註冊支付寶至少可以獲取28元收益。從2018年7月份至今,張某共使用他人公民個人身份信息註冊成功至少547個通過人臉識別認證的實名支付寶帳戶,從中非法獲利15316元。其中姚某涉及註冊成功支付寶帳戶有239個,非法獲利6692元,個人非法所得2000元。
2.2018年8月份開始,張某教授餘某製作3D頭像通過支付寶人臉識別認證的技術,餘某僱傭被告人**浩進行管理,並先後僱傭被告人劉某、馬某、餘某(另案處理)、張某(另案處理)等人在其位於浙江省杭州市桐廬縣下輪公寓14幢2單元1009室的工作室內工作,使用張某購買的公民個人身份信息註冊支付寶帳戶,並使用軟體將公民頭像照片製作成公民3D頭像,從而通過支付寶人臉識別認證。9月14日,張某同餘杭飛商議四六開合夥做。餘某、**浩、劉某等人通過這種方式來獲取支付寶提供的邀請註冊新支付寶用戶的相應紅包獎勵,每個新註冊支付寶至少可以獲取28元收益。
至案發,馬某共使用他人公民個人身份信息註冊成功385個通過人臉識別認證的實名支付寶帳戶,從中非法獲利10780元,個人違法所得1500元;劉某共使用他人公民個人身份信息註冊成功367個通過人臉識別認證的實名支付寶帳戶,從中非法獲利10276元,個人違法所得1500元;餘某共使用他人公民個人身份信息註冊成功298個通過人臉識別認證的實名支付寶帳戶,從中非法獲利8344元,個人違法所得1600元;張某共使用他人公民個人身份信息註冊成功103個通過人臉識別認證的實名支付寶帳戶,從中非法獲利2884元。
綜上,餘杭飛、**浩等人非法獲利共計30324元,其中張某涉及金額為11172元。
對此,2月18日,支付寶方面回應媒體表示,2018年,支付寶安全系統監測到部分用人臉識別進行身份認證開通帳戶行為異常,第一時間啟動專案預警:上報警方,並且升級人臉識別身份認證的防攻擊技術。經核實,作案者通過軟體利用盜取的公民信息生成動畫頭像,在特定電腦屏幕上播放動畫頭像進行實名認證。這一案件中,並未有用戶因此造成資金損失。
支付寶方面還稱,人臉識別認證目前的準確率為99.99%,2018年出現的這一案例為極小概率事件。案件發生後,經過技術升級支付寶對此類攻擊形式已可防可控,至今沒有再發現類似攻擊案例。支付寶承諾,即便出現小概率的盜刷事件,也會全額賠付。
此前,2019年8月,有媒體報導稱,一家科技公司負責人使用以自己為原型的3D人頭模型破解支付寶刷臉支付,成功購買了一張火車票。當時,支付寶有關部門也聯繫到該科技公司負責人並做了說明。
支付寶方面表示,系統使用了雙重密碼保護機制,再逼真的照片或3D模型,也不能隨意進行刷臉支付。雙重密碼保護機制的意思是,只有在輸入過支付寶登錄密碼和支付密碼的手機上,才能使用刷臉支付。
(支付寶App設置-生物識別-刷臉設置頁面)
支付寶最早嘗試刷臉支付,並實現商業化應用。比如2018年12月,支付寶宣布推出一款全新的刷臉支付產品「蜻蜓」,直接將刷臉支付的設備成本降低80%;2019年4月,支付寶宣布推出第二代基於線下消費場景的刷臉支付機具「蜻蜓」,定價1999元,相比第一代直降近30%。
不過,外界甚至監管人士對刷臉支付存在一些看法,認為人臉是非常敏感的個人信息,一旦洩露或者被盜取,會帶來非常大的影響。
支付寶方面曾表示,能率先推出刷臉支付,一是基於其多年來人臉識別技術的積累(支付寶是最早實現刷臉登錄的金融級App);同時其技術團隊也為刷臉支付商用做了很多獨創的優化。通過軟硬體的結合,智能算法與風控體系綜合保證金融級準確性和安全性,目前識別的準確率為99.99%。不過需要提醒的是,設備安裝情況、現場光線明暗等有可能會影響用戶刷臉的通過率。
支付寶在刷臉支付設備上配備了3D紅外深度攝像頭,在進行人臉識別前,會通過軟硬體結合的方法進行活體檢測,來判斷採集到的人臉是否是照片、視頻或者軟體模擬生成的,能有效避免各種人臉偽造帶來的身份冒用情況。此外,在進行人臉識別後,還需要輸入與帳號綁定的手機號進行校驗,進一步提高了安全性。同時,支付寶還會通過各種安全風控策略確保帳戶安全。比如刷臉支付功能需要用戶進行開通操作,開通之後才能進行支付,用戶也可以隨時關閉。而且,即便出現帳戶被冒用的極小概率事件,支付寶也會通過保險公司全額賠付。
支付寶推出「蜻蜓」不久後,2019年3月,微信支付推出刷臉支付設備「青蛙」,2019年10月20日,中國銀聯聯合商業銀行推出「刷臉付」產品。
2019年9月,央行印發《金融科技(FinTech)發展規劃(2019-2021年)》,其中提及,將探索人臉識別線下支付安全應用,藉助密碼識別、隱私計算、數據標籤、模式識別等技術,利用專用口令、「無感」活體檢測等實現交易驗證,突破1:N人臉辨識支付應用性能瓶頸,由持牌金融機構構建以人臉特徵為路由標識的轉接清算模式,實現支付工具安全與便捷的統一。
2020年1月21日,首份刷臉支付自律公約出爐,中國支付清算協會印發《人臉識別線下支付行業自律公約(試行)》。
比如,「安全管理」章節規定,各會員單位應建立人臉信息全生命周期安全管理機制。在採集環節,要堅持「用戶授權、最小夠用」,明確告知用戶信息使用目的、方式和範圍,並獲得用戶授權,避免與需求無關的特徵採集。在存儲環節,將原始人臉信息加密存儲,並與銀行帳號或支付帳號、身份證號等用戶個人隱私進行安全隔離。在使用環節,收單機構、商戶等中間環節不得歸集或截留原始人臉信息,實現端到端的個人隱私保護。
會員單位應根據用戶意願,為其提供開通或關閉刷臉支付服務。用戶進行刷臉支付時,會員單位應採用支付口令或其他可靠的技術手段(通過國家統一推行的金融科技產品認證)實現本人主動確權,保障用戶知情權、財產安全權等合法權益。
此外,支付寶和微信均表示,如果出現刷臉支付導致盜刷可申請全額賠付。