李紅（化名）萬萬沒想到，詐騙人員從她的交通銀行卡偷走42.9萬元，如入無人之境。

要想從交通銀行卡中轉賬，需要用戶在手機銀行App上進行人臉識別，并進行短信驗證。李紅陷入了詐騙分子的圈套，她的手機短信被攔截，手機號被設置了呼叫轉移，令她的驗證碼落入他人手中，且無法接聽銀行的確認電話。

銀行系統(tǒng)后臺顯示，在進行密碼重置和大額轉賬時，“李紅”進行了6次人臉識別比對，均顯示“活檢成功”。但那幾次人臉識別并不是身在北京的李紅本人操作。李紅懷疑交通銀行人臉識別系統(tǒng)的安全性，并以“借記卡糾紛”為由將交通銀行告上法庭，要求賠償。

2022年6月30日，北京市豐臺區(qū)人民法院一審駁回了李紅的全部訴求。她準備繼續(xù)上訴。

遭遇騙局

從接通電話那刻起，李紅就陷入“協(xié)助破案”的迷局中。那是2021年6月19日上午10：30，電話那頭自稱“北京市公安局戶政科陳杰警官”的人告訴李紅，她的護照此前在哈爾濱涉嫌非法入境，讓她向哈爾濱市公安局報案。對方輕易地報出了李紅的身份證號，這令她開始相信電話那頭的“警官”。

李紅被轉接給哈爾濱市公安局的“劉警官”。對方告訴她，她涉嫌“李燕反洗錢案”，并讓她登錄一個網(wǎng)站查看“公文”。李紅用手機登錄對方提供的網(wǎng)站后，發(fā)現(xiàn)在一張藍底的“通緝公告”上，印著自己的身份證照片、身份證號等戶籍信息。

這令她陷入恐慌。接下來，她對“警官”的指揮百依百順。按照指示，她從網(wǎng)站下載了“公安防護”軟件和視頻會議軟件“矚目”?！肮卜雷o”是一款詐騙人員常用的“李鬼”手機軟件，其設計模仿“國家反詐中心”，如果受害者在里面輸入銀行卡和密碼，詐騙人員就可在后臺獲取這些信息。

而“矚目”雖然是普通的視頻會議軟件，但提供共享屏幕功能。在“劉警官”的要求下，李紅通過“矚目”，向對方共享了自己的手機屏幕，令其掌握了她安裝的App種類信息，對方還通過這項功能遠程操控她的手機，令她的手機號設置了呼叫轉移，無法接收短信和電話。

最容易被忽略的是“露臉”。對方告訴李紅，為了驗證她是本人操作，她要通過“矚目”開啟會議模式，于是，李紅的人臉信息輕易暴露在對方面前。這也成為對方實施詐騙的關鍵一環(huán)。

李紅始終沒能掛斷電話，“劉警官”故意令她與外界隔絕。下午13：46，按照要求，李紅趕到交通銀行北京長辛店支行，開設了一張借記卡。銀行開卡記錄顯示，李紅預留了自己的手機號，并允許借記卡通過“網(wǎng)上銀行、手機銀行、自助設備”三種方式轉賬，也允許這張卡進行境外取現(xiàn)和消費，但在其他功能中，她選擇了“小額免密免簽不開通”。這意味著，當她進行5萬元以內的轉賬時，仍需要驗證。此外，李紅還設置了轉賬限額，每日只能累計轉賬5萬元。

在辦理借記卡的過程中，交通銀行向李紅發(fā)放《北京市公安局防范電信詐騙安全提示單》。這份提示單中，載明了業(yè)務類型為“開通網(wǎng)銀或手機銀行”，并提示她可能存在有冒充公檢法的人員，以打電話的方式告知她涉及案件，要求她向對方提供的賬號轉賬，或是告知網(wǎng)銀密碼。李紅在這份提示單上簽了字。

李紅剛剛辦好借記卡，這張卡就被詐騙人員掌控了。銀行后臺顯示，當天13：51，即李紅開卡5分鐘后，就有詐騙人員通過人臉識別驗證，重置了李紅的用戶名和密碼，登錄了她的手機銀行。但李紅對此并不知情，她正按照“劉警官”的要求，為了“清查個人財產(chǎn)”，向卡內轉入所有積蓄。

詐騙人員掌握了李紅的“人臉識別+動態(tài)密碼”后，通過修改密碼，登錄了她的手機銀行，此后便如入無人之境，即使李紅設置了每日5萬元轉賬限額，也在詐騙人員登錄后被輕易修改，之后每筆大額轉賬也都通過“人臉識別+動態(tài)密碼”驗證通過。

交通銀行北京長辛店支行在法庭上回應稱，“交易密碼、動態(tài)密碼以及輔助人臉識別的客戶鑒別模式”符合監(jiān)管要求，并且在李紅轉賬過程中，銀行對她進行了風險提示，包括通過運營商向她發(fā)送了短信密碼、短信風險提示，以及在內部系統(tǒng)大數(shù)據(jù)分析發(fā)現(xiàn)異常后，撥打了李紅的手機，對轉賬人身份及轉賬情況進行核實。但李紅稱，對于銀行所稱發(fā)送了22條短信密碼及短信風險提示，她只收到了其中的11條，而銀行的來電她并未接到。這背后的原因在于她的短信被詐騙人員攔截，電話也呼叫轉移到了詐騙人員的手機上。

下午16：00，李紅察覺到“劉警官”的反常態(tài)度，她在16：39用自己的手機首次登錄了手機銀行，卻發(fā)現(xiàn)錢已被盜刷，她意識到自己被騙，前往派出所報警，并聯(lián)系銀行掛失銀行卡。

銀行究竟有沒有責任？

民警追查到，2021年6月19日在13：51-14：42之間，李紅手機銀行登錄者的IP地址在臺灣，使用的設備是摩托羅拉XT1686，而當時李紅在北京，她的手機型號是小米8。

銀行后臺記錄顯示，李紅的借記卡在6月19日那天共有7次操作涉及人臉識別，均顯示識別成功通過，其中1次為借記卡申請，1次為登錄密碼重置，5次為大額轉賬，除了第1次不涉及“活檢”，后6次操作“活檢結果”均為成功。

李紅并未親自操作，為何6次“活檢結果”均為成功？李紅的丈夫馬躍（化名）在金融系統(tǒng)工作多年，他成為妻子起訴交通銀行的代理人。他告訴記者，銀行定下的“人臉識別+短信驗證碼”的驗證模式，其本質目的在于確保由用戶本人親自操作轉賬，他妻子在完全不知情的情況下，被詐騙人員從賬戶中轉走錢，銀行應當承擔保管不力的責任。

李紅以“借記卡糾紛”為案由起訴交通銀行后，要求銀行賠償存款損失，但北京市豐臺區(qū)人民法院一審駁回了她的訴求。法院認為，李紅在42.9萬元被盜過程中“過錯明顯”，交通銀行作為指令付款方，已通過多個登錄密碼、驗證碼、人臉識別的合理方式識別使用人身份，未見存在明顯的錯誤或過失。馬躍認為，李紅在北京剛辦理了借記卡，緊接著IP地址在臺灣的詐騙人員就能用不同的設備登錄，并頻繁操作大額轉賬，如此異常的操作，銀行本應該識別出轉賬的非儲戶本人。

李紅的遭遇并非孤例。早在2020年10月，浙江的趙女士就遭遇了同樣的騙局，她的經(jīng)歷曾經(jīng)被杭州本地媒體報道。趙女士講述，在與假冒警察的犯罪分子視頻時，對方曾要求她做“張嘴”“眨眼”“搖頭”等動作，疑似通過錄像來騙過銀行的人臉識別系統(tǒng)。聯(lián)系上趙女士之后，馬躍又聯(lián)系到4名同樣的受騙者，他們6人都遭遇了同樣的詐騙套路，涉案金額超過200萬元。

2021年9月，李紅和其他女性被詐騙報案后，交通銀行曾公告停用過人臉識別。之后不久，馬躍就發(fā)現(xiàn)交通銀行手機銀行系統(tǒng)進行了改版升級。但在這年10月，仍有一名受害人的交通銀行賬戶被假人臉攻破。

人臉識別系統(tǒng)被攻破，銀行究竟有沒有責任？在清華大學法學院教授勞東燕看來，目前這一問題尚有爭議，但銀行普遍存在變相強迫采集儲戶人臉信息的現(xiàn)象。她說：“至少就我個人的體會，去銀行辦理存款等業(yè)務，人臉識別都是在強制之下弄的，如果不同意采集人臉就辦不了相應業(yè)務?！彼龍猿终J為，全國人大及其常委會有必要考慮對生物識別信息進行單獨立法，不應放在《個人信息保護法》的框架下來進行保護。

（摘自《中國新聞周刊》苑蘇文）