刷脸登录银行APP惊现他人信息，市民：人脸识别真的安全吗？

刷脸登录APP、查账、付钱……这一套流程，大多数人都很习惯，也觉得很方便。

但是，最近杭州市民魏先生却遇上了一件意外事件，登录某银行企业客户端时，刷脸刷出来的却是别人的账号。

不经，魏先生就产生了疑问，“这是程序的漏洞？手机刷脸真的安全吗？”

图源 图虫网

刷脸登上的是别家公司？

银行回复：初步判断是网络波动

魏先生名下经营着一家新媒体公司。

1月2日当天，他和往常一样登录某银行企业客户端，准备查看自家企业的金融业务情况，“手机客户端我一般只用来查询，转账都是需要走流程、从财务支出的。”

魏先生很自然地使用了刷脸登录，在程序快速响应之后，他突然发现了不对劲——客户端内显示的个人信息并不是他的公司。

“跳出来的是一家东莞的创意设计公司，负责人姓李。”通过魏先生提供的录屏，可以看到对方公司的金融信息，包括企业信息、管理员姓名、余额、金融产品信息等。

为了避免发生纠纷，在留存证据之后，魏先生就退出了该账号。后续他多次尝试登录，再也没有发生过相同的情况。

魏先生登录后并非自己的账户 受访者供图

魏先生介绍，自己在该银行注册已经四年多了，还是第一次遇到这种情况，“万一有一天别人也登上了我的，不就等于泄露了我们客户的个人信息了吗？我觉得这件事蛮离谱的。”

魏先生随即就将相关情况反馈给了自己的客户经理。

当天晚间，银行相关负责人与客户经理上门和魏先生解释了情况。

据魏先生回忆，银行表示这是网络波动带来的极小概率事件，并表示客户端登录使用的是手机自带的刷脸系统，金融支付用的是另外一套银行的自有系统，可靠性、安全性更高，“他们一再和我说，金融安全性没有问题的。”

1月4日，潮新闻记者也致电了魏先生的开户行，但由于是周末，大堂经理表示需要进一步了解后再回复。截至发稿，记者暂未收到回复。

银行客户端提醒启用人脸识别

“刷脸”一般调用手机储存信息

登录和支付基本都是两套系统

对于魏先生遇到的情况，记者也咨询了资深程序开发人员。

业内人士表示，无论是指纹登录还是刷脸登录，一般上都是调用“储存在手机本地的人脸或者指纹信息”，匹配成功之后，再自动填入对应的“储存在钥匙串内的账号密码信息”，完成登录操作后，打开账号密码对应的账户信息，“这过程中，如果出现网络波动，是可能造成回传的账户信息错误的情况，但是概率很小。”

而对于安全性要求更高的支付系统，一般的程序开发都会调用“微信、支付宝、ApplePay”等第三方支付的端口实现支付功能，银行客户端则会自行开发相关的支付系统，“逻辑上和登录是两个系统，登录对于人脸的识别精度也远低于支付系统的。”

采访中，记者也尝试让魏先生使用该银行客户端进行支付，确实在人脸登录之后，仍需要核对短信验证码等方式确认支付。

系统截图

记者也随机打开了一个银行客户端，在首次登录之后，系统会提醒“是否需要启用刷脸登录”，需要同意银行采集并使用人脸信息用于核实身份。同时，在指纹登录许可界面，还提醒“设置仅对本机生效”。

对此，该程序员解释道，刷脸的功能是随着手机不断发展，逐步诞生的，是一个基于手机硬件基础的附加功能。

以苹果手机为例，指纹功能最早出现在iPhone 5s上，之前只能使用密码或者图形登录，而人脸识别更是需要等到四年后的iPhoneX。“过去强光、暗光等环境都会导致识别率低，现在科技不断进步，手机也越来越智能，识别准确率很高，可以说，魏先生遇到的情况真的小之又小。”

当然，该程序员也表示，魏先生遇到的情况，不排除程序迭代中产生漏洞的可能性，需要进一步的排查。

信息泄露怎么办？

律师：保留证据，维护自己的合法权益

近年来，随着人脸识别技术的发展，公众对个人信息安全的担忧一直存在。

“人脸识别技术有积极一面，但也要严防技术滥用。个人信息保护，更应当从源头抓起。”北京市京师律师事务所律师孟博提到，在2021年最高人民法院就出台了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，并于当年8月1日正式施行，“《规定》提高了信息处理者的违法成本，降低用户的维权难度，倒逼相关主体依法合规经营，严格落实主体责任。”

其中，《规定》第八条提到，信息处理者处理人脸信息侵害自然人人格权益造成财产损失，该自然人依据民法典第一千一百八十二条主张财产损害赔偿的，人民法院依法予以支持。

也就意味着如果发生魏先生遇到的情况，并产生实际损失，可以向人民法院起诉，追求银行责任并索赔。

孟博补充说，按照《网络安全法》及《规定》中的规定，信息处理者应采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，防止人脸信息泄露、篡改、丢失。侵犯公民个人信息，可能会被追究民事、行政、刑事责任。“被泄漏信息的用户，可以通过民事诉讼、到公安机关报案等方式，维护自己的合法权益。”