从“刷脸”盗3万看隐私与安全的失衡
01一张动态头像,3万元被“刷脸”划走
庐山市人民法院近日对周某作出判决:因多次利用人脸识别技术盗取支付宝资金,周某被判处有期徒刑一年两个月,并处罚金1万元。这起发生在2014—2016年的案件,因首次以短视频动态影像为突破口,被支付行业视为“人脸识别漏洞”的经典样本。
1.1 ► 从直播到短视频,信息拼图仅隔三步第一步:周某在某网络直播平台认识被害人桑某,随后大量搜集其电话号码等公开信息。
第二步:登录支付宝通讯录,发现该号码正是桑某账号。
第三步:借助短视频APP抓取桑某实时头像,用“照片+人脸识别”绕过登录密码;再如法炮制,仅用三分钟就修改支付密码。
2015年11月至2016年1月,周某分十次将桑某账户内31998元转入自己账户。案发后,他退还2万元以求息事宁人,却仍难逃法网。
02法院认定:新型智能犯罪已成常态
一审法院指出,周某以非法占有为目的,多次盗窃且数额较大,构成盗窃罪;二审维持原判。法官特别提醒:“此类案件手段隐蔽,若支付平台无应对措施,将存在巨大系统性风险。”
梳理发现,类似“侧录”套路并不鲜见:
用被害人手机号重置密码;
办假身份证绑定新卡;
冒充客服套取交易验证码;
甚至用高清照片“刷脸”直接完成支付。
03技术红利背后的暗礁:生物识别为何总慢半拍?
人脸识别确实让“付款秒过”成为日常,但“便利”与“风险”被捆绑在同一道算法里。中国人民银行科技司司长李伟曾直言:仅靠人脸特征完成支付,“无法体现用户主观意愿和资金自主支配权”,等于给盗刷开了“无感通道”。
3.1 ► 生物特征=终身身份证?隐患有三终身绑定:一旦泄露,终身无法撤销。
集中存储:热点应用库被攻破,就是大规模裸奔。
采集隐蔽:商场、街道、饭店的摄像头,让数据“无声无息”地被批量收割。
假体攻击:早期指纹、声纹、人脸均可被复制。
活体攻击:3D面具、立体面具、视频重放让3D结构光、TOF、红外双目摄像头集体失明。
AI泛化攻击:深度伪造技术让假脸骗过活体检测,成本却一再下探。
企业被迫“补丁—曝光—再补丁”,投入指数级上升,却难跑赢攻击迭代速度。
04短视频时代:数亿人脸影像成为“数字钥匙”
庐山市法院的判决虽已过去四年,但短视频平台上每天更新的真人影像仍在持续泄露。只要算法未升级到“动态活体+行为+环境”多重校验,类似的“刷脸”盗案就可能在其他平台重演。换句话说,不是支付宝一家的问题,而是整个行业对生物识别风险的认知滞后。
05技术双刃剑的启示:把安全做在前头
平台层面:建立动态人脸库,对同一人多次被采集进行风控预警;同时引入行为画像+设备指纹做二次校验。
监管层面:强制生物特征最小可用原则,仅收集必要信息;建立统一泄露应急响应机制。
用户层面:定期检查账户登录记录,发现异常立即冻结;使用高强度密码+指纹/人脸双因子,但不把全部额度授权给单一免密通道。
技术向善,前提是让安全跑赢速度。否则,每一次“刷脸”都可能成为下一场盗案的导火索。
