株洲市荷塘區(qū)政務服務中心擺放的“實名認證”流程公示牌。新京報記者程亞龍攝
(相關資料圖)
“代實名”中介破解人臉識別認證,代當事人過人臉�����、簽名�,于2023年6月在湖南株洲��、河南鄭州注冊設立的公司及個體工商戶�。新京報記者程亞龍攝
“代實名”中介朋友圈發(fā)布的廣告。微信截圖
“代實名”中介偽造上傳的身份證照片����,并代當事人通過人臉識別認證進行公司注冊。新京報記者程亞龍攝
“只要提供身份證照片���,不經當事人同意�����,就讓他成為一家公司的法定代表人或股東��?!边@在從事代理公司注冊10余年的老沈眼里,是件絕無可能的事兒��。
2019年3月1日后�,全國多地的市場監(jiān)督管理部門相繼推行企業(yè)登記身份信息“實名制”,要設立公司或對已設立公司進行變更�����、注銷時�����,除了要填寫身份信息外���,當事人還必需通過企業(yè)登記App進行“人臉識別”的認證���。
老沈認為���,如今若想不經過當事人許可��,讓他擔當一家公司的法定代表人或股東��,在人臉識別這一項就會被“卡脖”����。
可這個老沈眼里不可能的事兒,在不法中介那兒卻成了“基本操作”����。6月下旬,新京報記者調查發(fā)現(xiàn)����,“登記注冊身份驗證”“河南掌上登記”和“湖南企業(yè)登記”等多個政務App的人臉識別,可被輕易破解����。破解后,不法人員可利用他人身份信息注冊公司�,或對已成立公司的股東進行撤換。
新京報記者調查發(fā)現(xiàn)����,不法中介通過網絡“黑產”非法獲取身份信息和人臉照片后��,利用AI換臉技術����,破解相關政務App�����。
8月8日�,國家網信辦發(fā)布的“人臉識別技術應用安全管理規(guī)定(試行)”征求意見稿中明確:人臉識別技術使用者應當每年對圖像采集設備、個人身份識別設備的安全性和可能存在的風險進行檢測評估����,并根據(jù)檢測評估情況改進安全策略。
多人訴稱“被法人”
從未到過湖南株洲���,也不曾通過線上申請的方式做個體工商戶登記�����,遠在遼寧大連生活的張桂菊����,卻成了株洲市蘆淞區(qū)一家百貨店的經營者。
今年3月���,張桂菊在辦理稅務相關業(yè)務時����,被告知名下有一家“公司”�����,并且“公司遠在千里之外”��。
通過工商信息查詢���,張桂菊確認,這家她擔任經營者的“公司”是個體工商戶�����,名為“蘆淞區(qū)茜三十三百貨店”����,注冊資金2萬元,成立于2022年4月23日���。
張桂菊稱�,發(fā)現(xiàn)該問題次日便在當?shù)貓缶⑾虍數(shù)厥袌霰O(jiān)督管理部門反饋自己“被法人”的情況���,但兩個部門無權限處理��,都建議她到名下個體工商戶的注冊地反映�����。
4月初����,她向株洲市蘆淞區(qū)市場監(jiān)督管理局反饋�����,得到答復稱���,她名下注冊的個體戶是通過網上辦理的���,而且她本人做了“四級實名”驗證,辦理流程合法合規(guī)����。
“四級實名”是企業(yè)登記實名制度中��,確?����!叭?、證”一致性的技術手段�����,包括身份證信息核驗和人臉識別驗證�����,以此確保申請人的身份信息真實和本人意愿真實�����。
市場監(jiān)管部門的答復�,讓張桂菊一頭霧水�。在此之前她不懂什么是“四級實名”,更不知道在哪一個App上可以進行實名并網上注冊公司���。
4月19日���,張桂菊的遭遇被遼寧《半島晨報》報道���。25日,她名下的“茜三十三百貨店”被蘆淞區(qū)市場監(jiān)督管理局撤銷�。企業(yè)信息顯示:撤銷是對已經完成的登記行為的否定,或者說是一種糾錯行為���。
6月19日����,株洲市蘆淞區(qū)市場監(jiān)督管理局行政審批股負責人在接受新京報記者采訪時表示�����,張桂菊名下的個體戶��,未在注冊地址辦公��,且她本人堅稱未經人臉識別��,所以作出了“撤銷登記”的處理。但張桂菊本人是否做過人臉識別認證���,他們無法確認���,市、區(qū)級的市場監(jiān)督管理局只對申請設立人提交的材料審核����,人臉識別的信息他們無權查看,也難以調取����。
與張桂菊遭遇類似的,還有江蘇的彭女士和田先生����。
今年3月份���,彭女士發(fā)現(xiàn)她名下關聯(lián)有注冊地在株洲市的8家公司���,她擔任了其中4家公司的法定代表人,在另外4家公司占股10%�,擔任監(jiān)事一職。田先生在株洲也被注冊了10家公司,并在其中5家公司任法定代表人���。
企查查信息顯示��,彭女士名下的8家公司���,注冊時間、注冊地址����、注冊資金完全一致,就連公司名稱也十分類似����,均為“株洲市哆×商貿有限公司”。田先生名下的10家公司���,情況也一樣�����,公司名稱均為“株洲市智×百貨有限公司”�。
據(jù)三湘都市報4月19日報道�����,彭女士和田先生兩人名下的公司,注冊時均通過了“人臉識別活體認證”的驗證�����,針對兩人反映“被法人�、被股東”的情況,市場監(jiān)管部門正在向上級部門申請�����,調取“活體檢測”數(shù)據(jù)�����。
株洲市天元區(qū)市場監(jiān)督管理局辦公室相關工作人員告訴新京報記者�,3月底,天元區(qū)市場監(jiān)督管理局已通過市局向省主管部門遞交了調取兩人“人臉識別”數(shù)據(jù)的申請�,但數(shù)據(jù)信息存儲在國家市場監(jiān)督管理總局,何時能拿到數(shù)據(jù)��,時間不能確定�����。
7月12日�,新京報記者注意到,彭女士和田先生兩人名下的公司均已被“撤銷”����。株洲市天元區(qū)市場監(jiān)督管理局工作人員稱,申請調取的人臉識別數(shù)據(jù)暫未得到回復�。因兩人申請注銷的意愿強烈,但股東聯(lián)系不上����,公司也沒有實際經營行為,經局領導集體討論����,決定進行撤銷。
10分鐘完成冒名登記注冊
在本人不知情的情況下���,登記系統(tǒng)中的人臉識別檢測是如何通過的�?
“有中介能辦這個�。”知情者表示��,很多工商稅務代辦人員組成的社交媒體群里��,都能看到不間斷發(fā)布的“處理工商實名,法定代表人���、股東失聯(lián)代簽字”消息���。
新京報記者添加一個名為“工商實名,失聯(lián)簽字”的中介微信后����,對方發(fā)消息稱登記注冊身份驗證軟件四級實名驗證、工商失聯(lián)掃臉����、App實名代簽字等均可操作,費用在100元到900元之間���,并表示如果沒有身份證照片�,只提供身份證號也可以過實名�����。面對質疑���,中介稱“經常做����,放心���?��?梢詫嵜笤俑犊睢薄?/p>
“登記注冊身份驗證”App是由國家市場監(jiān)督管理總局信息中心開發(fā)的軟件���,實名后可用于辦理商事登記的相關業(yè)務��。注冊時除了填寫名字��、身份證號�����、手機號等信息外���,還需進行人臉識別驗證,被稱為“四級實名”���。
6月21日�,記者向中介提供了未做過四級實名認證人員的身份證號碼和名字,10分鐘后記者嘗試登錄發(fā)現(xiàn)�,該人員已完成“四級實名”。
記者走訪了湖南長沙�、株洲多個區(qū)的市場監(jiān)督管理局業(yè)務受理窗口和財稅代理公司確認,只要當事人通過了“登記注冊身份驗證”App的四級實名認證���,在其本人不到場的情況下���,可以完成個體工商戶的設立。
“登記注冊身份驗證”App是僅提供實名認證的單一功能軟件�,湖南省市場監(jiān)督管理局的“湖南企業(yè)登記”App則是一個聚合有多種商事功能,配合“一網通辦”可以實現(xiàn)網上設立公司����、變更法人、股東的軟件�����。這樣的軟件�,在不法中介那里,同樣可以代過實名認證�。
記者了解到,在湖南省設立公司�����,大多通過省政務服務網“一網通辦”申請。在網上提交申請公司必要的資料后�����,需要公司法定代表人和監(jiān)事本人����,通過“湖南企業(yè)登記”App掃碼�����,在手機端通過人臉識別后����,方可簽名并提交設立公司的申請資料。
記者從株洲市市場監(jiān)督管理部門獲取的“自然人電子簽名流程”顯示��,人臉識別活體檢測時��,屏幕中會顯示數(shù)字�����,被檢測人員需保持正臉在檢測框內,準確讀出屏幕上顯示的數(shù)字�。
6月19日,在代理記賬公司工作人員的配合下��,記者在湖南省“一網通辦”平臺提交了公司設立登記的相關資料����,并將開辦公司所必需的兩位經營者的身份證照片,發(fā)給“代實名”的中介�,1小時內兩位經營者均通過了“人臉識別”,并由“代實名”人員直接為兩人代簽了姓名����。6月20日,記者順利領取了使用他人身份信息設立的新公司的營業(yè)執(zhí)照和副本��。
“通過什么技術過的實名���?”面對記者的詢問�����,男子表示���,只要給你過就行了����,其他你不用知道�。另外幾位“代實名”中介,也拒絕回應記者的問題:“商業(yè)機密�����,不透露���。”
多地政務App中招
多名“代實名”中介告訴新京報記者�,他們的業(yè)務范圍并不限于湖南。
一名中介給記者發(fā)來的截圖顯示:“河南掌上登記”“遼寧企業(yè)登記實名驗證”“海南e登記”“新疆政務通”“贛企開辦e窗通”“津心辦”“江蘇市監(jiān)注冊登記”“浙里辦”“山東省市場監(jiān)管全程電子化”等政務App���,均可代過實名���。查詢可見,上述App均為省級政府部門的政務辦理軟件�����。
6月25日,新京報記者在河南鄭州再次進行測試���。
在河南設立公司或個體工商戶���,多數(shù)通過“河南全程電子化平臺”(簡稱電子化平臺)網上辦理。而登錄電子化平臺前和法定代表人�����、股東簽名時����,均需使用“河南掌上登記”App通過人臉識別。公開資料顯示:2019年9月�����,河南掌上登記已實現(xiàn)自然人活體識別驗證�����。
6月26日上午10時30分�����,新京報記者向一位“代實名”中介提出過“河南掌上登記”的需求,并只向對方提供了需要過實名者的名字和身份證號����。30分鐘后,該中介回復稱�����,“準備好了”����。記者把登錄電子化平臺的二維碼發(fā)給對方后,記者所使用的電腦頁面隨即跳轉到了電子化平臺的“業(yè)務辦理”頁面�����。
一位代理注冊公司的從業(yè)者介紹稱�����,進入“業(yè)務辦理”頁面��,說明“代實名”中介已通過了“河南掌上登記”的人臉識別����,并使用該軟件掃碼。企業(yè)設立過程中���,填寫完企業(yè)信息提交審核時���,還需要再次通過人臉識別,并使用手機進行簽名��。
6月26日12時許��,記者在電子化平臺上填寫完需要設立“個體工商戶”的其他信息后�����,將“本人簽名”二維碼再次發(fā)給中介����,十幾分鐘后,頁面顯示簽名已完成�。6月28日,新京報記者從鄭州市金水區(qū)一市場監(jiān)督管理所���,領取到了新注冊的個體工商戶的營業(yè)執(zhí)照和副本����。
代理記賬行業(yè)相關從業(yè)者介紹稱,設立個體工商戶和設立公司流程類似����,只是設立個體戶一人即可,設立公司至少需要兩人��,分別擔任法定代表人和監(jiān)事職務��?�!按鷮嵜敝薪槟軌蛟谠O立個體戶的過程中�����,破解實名認證��,這意味著���,在河南同樣可以使用他人身份設立公司。
公司股東可被“秘密”撤換
在鄭州從事代理公司注冊10余年的老沈稱��,公司的設立�����、注銷,法人�����、股東變更等����,都可以通過電子化平臺完成,過程中認定“本人是否知情”的核心環(huán)節(jié)����,就是“人臉識別”。如果“企業(yè)登記”App的人臉識別被不法人員破解���,那意味著他們不僅可以利用他人信息注冊公司��,還能對公司進行注銷��、變更法人���、股東等商事業(yè)務。
6月30日�,新京報記者借用朋友的公司測試發(fā)現(xiàn),在法定代表人配合的情況下���,通過“代實名”的操作�,公司的股東可以被“秘密”撤換。按照公司股東變更的正常流程��,在電子化平臺提交股東變更資料后���,需要該公司的所有股東����,掃碼完成電子簽名����。而中介通過“代實名”,就可以完成這些操作�。
調查中記者發(fā)現(xiàn),完成“河南掌上登記”“湖南企業(yè)登記”App的實名注冊����,最核心的兩個環(huán)節(jié),分別是上傳當事人的身份證照片和人臉識別認證��。
“代實名”中介在只有當事人身份證號的情況下����,如何通過所有的流程呢?
據(jù)江蘇電視臺報道�����,2021年12月份���,一個“代實名”的8人團伙被常州警方抓獲���,該團伙利用AI換臉技術“騙過”政務網站的人臉識別認證,在審訊過程中�����,犯罪嫌疑人還向警方演示了用多個制圖軟件讓圖片動起來的過程�����。
一位“代實名”中介向記者介紹�����,他們通過AI技術����,破解人臉識別認證�。他向記者發(fā)送的一段演示視頻顯示�����,提取靜態(tài)圖片中人物的臉部信息后�,用電腦軟件讓人物完成眨眼、點頭的動作����,最終通過了某一款App的實名認證,整個過程只用了3分鐘���。
至于當事人的照片��,中介表示可以通過“查檔”獲取�����。
在鄭州注冊個體工商戶過程中����,記者只向中介提供了當事人的名字和身份證號��,在中介使用“河南掌上登記”App掃碼后,頁面跳轉進入電子化平臺�����。記者在電子化平臺發(fā)現(xiàn)當事人的身份證照片����,已提交在平臺中�。代理公司注冊行業(yè)從業(yè)者介紹,該照片是中介在注冊“河南掌上登記”時�����,通過手機上傳的圖片�,該信息會自動同步到電子化平臺。
令人驚訝的是���,與被實名者本人所持有的真實身份證對比可見�,照片的身份證頭像��、名字���、民族等信息均一致����。不同的是,戶籍地址和身份證有效期���。
新京報記者調查發(fā)現(xiàn)����,在網絡“黑產”中�����,有人收費“查檔”�。只要提供姓名、身份證號��,就可以買到當事人的戶籍信息�����,其中包含當事人的證件照�����、性別����、民族�����,以及戶籍所在的區(qū)縣,但未詳細到具體住址����。
8月10日,公安部網絡安全保衛(wèi)局副局長李彤表示���,犯罪分子用于實施“AI換臉”的物料主要為照片�,特別是身份證照片��,同時結合人員姓名��、身份證號來突破人臉識別驗證系統(tǒng)��。
AI換臉進行實名驗證涉嫌多項違法
近年來�����,“被法人”的現(xiàn)象并不鮮見���。
2022年7月����,黑龍江一名男子2017年丟失身份證后,莫名擔任了河北曲陽縣一銷售公司的獨資股東����,其名下的公司拖欠稅款641萬元。2019年�,重慶一高校教師發(fā)現(xiàn),自己莫名成了山東一家公司的法定代表人�����,而該公司拖欠債款未還����,導致他被法院列入失信人名單。
中介老沈稱����,使用他人信息設立的公司,多數(shù)是為從事非法活動逃避法律責任����,公司可能會被用于虛開發(fā)票���、洗錢、詐騙或從事其他不法經營行為�。
奇安信集團行業(yè)安全研究中心主任裴智勇介紹,人臉和指紋都屬于生物識別的范疇�����,它們都具有可以復制的特點�����,但在網絡驗證中���,它們并不是一個特別安全的密鑰。
裴智勇認為����,人臉識別是基于算法進行的,只要App的人臉驗證方式是固定的����,就可以逆向計算出破解的方法,用圖片生成破解的3D圖像���,“我們在實驗中發(fā)現(xiàn)��,雖然使用電腦生成的3D圖像���,跟真人對比是有很大失真的��,但是這種圖像是專門針對某個人臉識別系統(tǒng)做的���,識別系統(tǒng)需要什么數(shù)值,圖像反饋出相應的數(shù)值����,就能騙過人臉識別的系統(tǒng)?����!?/p>
裴智勇建議���,使用人臉識別技術����,應加入其他的驗證手段進行輔助���,比如常見的短信驗證��、電話驗證或大數(shù)據(jù)驗證�����,這樣相對更安全����。
一位不愿具名的AI算法工程師介紹,通過AI技術��,可以使照片中的人物完成眨眼����、點頭等動作��,騙過具有活體檢測性能的人臉識別App的驗證����。近兩年,AI換臉被廣泛使用�����,攻擊者也可通過劫持數(shù)據(jù)包的方式,將真實人臉信息替換為虛假人臉信息�,通過人臉檢測。
8月8日���,國家網信辦發(fā)布的“人臉識別技術應用安全管理規(guī)定(試行)”征求意見稿中明確����,人臉識別技術使用者應當每年對圖像采集設備�、個人身份識別設備的安全性和可能存在的風險進行檢測評估,并根據(jù)檢測評估情況改進安全策略�,調整置信度閾值,采取有效措施保護圖像采集設備�����、個人身份識別設備免受攻擊���、侵入�����、干擾和破壞���。
國浩律師(石家莊)事務所李資睦律師認為��,使用AI換臉技術�����,在政務App中進行虛假的實名認證�����,不僅涉嫌非法處理公民個人信息�,還屬于非法侵入計算機信息系統(tǒng)的行為���。這兩個行為涉嫌違反《民法典》《個人信息保護法》《刑法》等相關法律法規(guī)����,相關人員將可能承擔民事責任����、行政責任以及刑事責任����。
8月10日,李彤表示,為防范和打擊此類新型犯罪����,公安機關聯(lián)合國家重點實驗室等單位,開展人臉識別與活體檢測技術安全測評��,覆蓋了境內用戶量大���、問題隱患突出的即時通訊�����、網絡直播�����、網絡社交����、電商平臺���、金融支付等重點App�,及時發(fā)現(xiàn)人臉識別驗證系統(tǒng)存在的風險隱患�����,通報運營主體升級安全保護措施和人臉識別算法。公安機關依托“凈網”專項行動����,嚴打泄露身份證照片等圖像信息的犯罪源頭,自2020年以來�,已破獲“AI換臉”案件79起,抓獲犯罪嫌疑人515名�����。
新京報記者程亞龍
【編輯:曹子健】
關鍵詞:
