近日,中国裁判文书网披露了浙江省衢州市中级人民法院一份刑事裁定书,引起业内关注
发表时间:2020-05-16     阅读次数:     字体:【


近日,中国裁判文书网披露了浙江省衢州市中级人民法院一份刑事裁定书,引起业内关注。



2018年7月份开始,被告人张某、余某等人以牟利为目的,利用已非法获取的公民个人信息,通过使用软件将相关公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证,并使用上述公民个人信息注册支付宝账户。张某、余某等人通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励(包括邀请新人红包、通用消费红包、花呗红包等)。


1.2018年7月份开始,张某雇佣姚某(另案处理)在其位于浙江省绍兴市上虞区内工作,使用其购买的公民个人身份信息注册支付宝账号,并使用软件将公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证。张某、姚某通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励,每个新注册支付宝至少可以获取28元收益。从2018年7月份至今,张某共使用他人公民个人身份信息注册成功至少547个通过人脸识别认证的实名支付宝账户,从中非法获利15316元。其中姚某涉及注册成功支付宝账户有239个,非法获利6692元,个人非法所得2000元。


2.2018年8月份开始,张某教授余某制作3D头像通过支付宝人脸识别认证的技术,余某雇佣被告人**浩进行管理,并先后雇佣被告人刘某、马某、余某(另案处理)、张某(另案处理)等人在其位于浙江省杭州市桐庐县下轮公寓14幢2单元1009室的工作室内工作,使用张某购买的公民个人身份信息注册支付宝账户,并使用软件将公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证。9月14日,张某同余杭飞商议四六开合伙做。余某、**浩、刘某等人通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励,每个新注册支付宝至少可以获取28元收益。


至案发,马某共使用他人公民个人身份信息注册成功385个通过人脸识别认证的实名支付宝账户,从中非法获利10780元,个人违法所得1500元;刘某共使用他人公民个人身份信息注册成功367个通过人脸识别认证的实名支付宝账户,从中非法获利10276元,个人违法所得1500元;余某共使用他人公民个人身份信息注册成功298个通过人脸识别认证的实名支付宝账户,从中非法获利8344元,个人违法所得1600元;张某共使用他人公民个人身份信息注册成功103个通过人脸识别认证的实名支付宝账户,从中非法获利2884元。


综上,余杭飞、**浩等人非法获利共计30324元,其中张某涉及金额为11172元。


对此,2月18日,支付宝方面回应媒体表示,2018年,支付宝安全系统监测到部分用人脸识别进行身份认证开通账户行为异常,第一时间启动专案预警:上报警方,并且升级人脸识别身份认证的防攻击技术。经核实,作案者通过软件利用盗取的公民信息生成动画头像,在特定电脑屏幕上播放动画头像进行实名认证。这一案件中,并未有用户因此造成资金损失。


支付宝方面还称,人脸识别认证目前的准确率为99.99%,2018年出现的这一案例为极小概率事件。案件发生后,经过技术升级支付宝对此类攻击形式已可防可控,至今没有再发现类似攻击案例。支付宝承诺,即便出现小概率的盗刷事件,也会全额赔付。

此前,2019年8月,有媒体报道称,一家科技公司负责人使用以自己为原型的3D人头模型破解支付宝刷脸支付,成功购买了一张火车票。当时,支付宝有关部门也联系到该科技公司负责人并做了说明。


支付宝方面表示,系统使用了双重密码保护机制,再逼真的照片或3D模型,也不能随意进行刷脸支付。双重密码保护机制的意思是,只有在输入过支付宝登录密码和支付密码的手机上,才能使用刷脸支付。


支付宝最早尝试刷脸支付,并实现商业化应用。比如2018年12月,支付宝宣布推出一款全新的刷脸支付产品“蜻蜓”,直接将刷脸支付的设备成本降低80%;2019年4月,支付宝宣布推出第二代基于线下消费场景的刷脸支付机具“蜻蜓”,定价1999元,相比第一代直降近30%。


不过,外界甚至监管人士对刷脸支付存在一些看法,认为人脸是非常敏感的个人信息,一旦泄露或者被盗取,会带来非常大的影响。


支付宝方面曾表示,能率先推出刷脸支付,一是基于其多年来人脸识别技术的积累(支付宝是最早实现刷脸登录的金融级App);同时其技术团队也为刷脸支付商用做了很多独创的优化。通过软硬件的结合,智能算法与风控体系综合保证金融级准确性和安全性,目前识别的准确率为99.99%。不过需要提醒的是,设备安装情况、现场光线明暗等有可能会影响用户刷脸的通过率。


支付宝在刷脸支付设备上配备了3D红外深度摄像头,在进行人脸识别前,会通过软硬件结合的方法进行活体检测,来判断采集到的人脸是否是照片、视频或者软件模拟生成的,能有效避免各种人脸伪造带来的身份冒用情况。此外,在进行人脸识别后,还需要输入与账号绑定的手机号进行校验,进一步提高了安全性。同时,支付宝还会通过各种安全风控策略确保账户安全。比如刷脸支付功能需要用户进行开通操作,开通之后才能进行支付,用户也可以随时关闭。而且,即便出现账户被冒用的极小概率事件,支付宝也会通过保险公司全额赔付。


支付宝推出“蜻蜓”不久后,2019年3月,微信支付推出刷脸支付设备“青蛙”,2019年10月20日,中国银联联合商业银行推出“刷脸付”产品。


2019年9月,央行印发《金融科技(FinTech)发展规划(2019-2021年)》,其中提及,将探索人脸识别线下支付安全应用,借助密码识别、隐私计算、数据标签、模式识别等技术,利用专用口令、“无感”活体检测等实现交易验证,突破1:N人脸辨识支付应用性能瓶颈,由持牌金融机构构建以人脸特征为路由标识的转接清算模式,实现支付工具安全与便捷的统一。


2020年1月21日,首份刷脸支付自律公约出炉,中国支付清算协会印发《人脸识别线下支付行业自律公约(试行)》。
比如,“安全管理”章节规定,各会员单位应建立人脸信息全生命周期安全管理机制。在采集环节,要坚持“用户授权、最小够用”,明确告知用户信息使用目的、方式和范围,并获得用户授权,避免与需求无关的特征采集。在存储环节,将原始人脸信息加密存储,并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离。在使用环节,收单机构、商户等中间环节不得归集或截留原始人脸信息,实现端到端的个人隐私保护。


会员单位应根据用户意愿,为其提供开通或关闭刷脸支付服务。用户进行刷脸支付时,会员单位应采用支付口令或其他可靠的技术手段(通过国家统一推行的金融科技产品认证)实现本人主动确权,保障用户知情权、财产安全权等合法权益。
此外,支付宝和微信均表示,如果出现刷脸支付导致盗刷可申请全额赔付。


部分文图转自网络,侵权请联系必删!


德亿佑信息技术


 
上一篇:刷脸支付未来或将全面取代二维码支付?
下一篇:新技术、新赛道、迎接新未来

推荐新闻