2024 年 3 月,某金融平臺風控系統突現警報,23 個使用者賬戶在短時間內頻繁遭登入,其中 5 人賬戶的支付密碼和繫結手機號被篡改。
受害人朱女士的賬戶支付密碼在十分鐘內被多次嘗試修改,最終透過人臉識別驗證完成了手機號重新繫結。
系統記錄顯示,該賬戶隨後在某電商平臺購買兩部手機,總價值 15996 元。
公安機關接到該金融平臺報案後,透過技術手段鎖定符某,並迅速將符某抓獲。符某的行為是盜竊還是詐騙?
案件移送至南京市玄武區人民檢察院審查起訴後,承辦檢察官徐佳認為,符某並未直接竊取實體銀行卡或侵入賬戶轉移資金,而是未經被害人許可,透過 AI 換臉軟體繞過人臉識別驗證機制,冒用被害人身份,以被害人的名義向銀行發出支付指令,使銀行誤以為是被害人的指令而支付財產,從而非法佔有卡內資金,其行為方式符合信用卡詐騙罪的構成要件。
“犯罪嫌疑人不僅涉嫌信用卡詐騙,更威脅到千萬使用者的‘人臉’安全!”徐佳意識到此案的特殊性,金融敏感資訊洩露疊加AI技術濫用,可能引發更大的系統性風險,符某的行為已涉嫌嚴重損害社會公共利益。玄武區檢察院刑事檢察部門立即將線索移交公益訴訟團隊,“刑事打擊+民事追責+綜合治理”辦案思路由此確立。
辦案團隊透過全面勘驗符某的電子裝置,提取並梳理公民個人資訊,核實資料真實性及來源,最終審查認定,符某非法獲取了 195 萬餘條公民個人資訊,包含了 1115 條金融賬戶敏感資訊。
2024 年 7 月,玄武區檢察院以涉嫌侵犯公民個人資訊罪、信用卡詐騙罪對符某提起公訴,並同步提起侵犯公民個人資訊刑事附帶民事公益訴訟。
庭審中,符某對指控的事實、證據及量刑建議均無異議,表示認罪認罰。
針對辯護人對公益損害賠償金額提出異議,檢察機關表示,符某的行為不僅導致被害人財產損失,還有大量被侵權人實際損失難以追溯,公益賠償既是為了修復受損秩序,也是為了震懾潛在違法者。
最終,玄武區人民法院支援了檢察機關全部訴訟請求。
2024 年 10 月 18 日,法院一審判決符某因侵犯公民個人資訊罪、信用卡詐騙罪獲刑四年六個月,並處罰金 4 萬元;同時需公開賠禮道歉、刪除非法資訊並賠償損失。
“判決不是終點,如何築牢公民資訊數字安全防線才是關鍵。”案件結束後,玄武區檢察院組織幹警及時走訪了涉案某金融平臺所屬公司,針對人臉識別系統漏洞送達《風險提示函》,建議引入多因素認證等技術加強防護。
經過一段時間的整治整改,該金融平臺的人臉識別系統已完成最佳化升級,能夠識破 AI 生成的“動態人臉影片”並拒絕登入賬號。目前,升級後的系統已成功攔截多起同類攻擊。
檢察機關提醒,應用人臉識別技術處理人臉資訊活動,應當遵守法律法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行個人資訊保護義務,承擔社會責任,不得危害國家安全、損害公共利益、侵害個人合法權益。
金融機構應當加強多重身份驗證措施,在確保人臉資訊真實有效的基礎上,採用多因素認證,如身份證號、密碼、簡訊驗證碼、指紋等方式,對使用者進行多重身份驗證,確保支付操作者的真實身份,防範交易驗證風險。同時要加強使用者資料的加密和保護,防止資料被駭客或不法分子竊取和利用。建立健全風險評估和監控系統。在發現和處理異常的支付行為時,做到第一時間感知,第一時間阻斷業務功能,並對異常攻擊詳情進行記錄,追根溯源,準確定位目標賬號。
此外,還要做好使用者支付安全教育工作,提示使用者需要了解“AI 換臉”的風險,瞭解最新的網路安全威脅,並採取必要的安全措施,如不隨意洩露個人資訊、設定複雜的密碼等。