春节刚过，支付信息安全成为业界关注的焦点。 一是神网视觉泄露了250万张人脸数据，这对于目前如火如荼的刷脸支付来说，无疑是一个沉重打击。 另一种是京东金融APP获取了用户的敏感图像，但银行APP的截图出现在京东金融APP的根目录中。 这两起事件都值得深思。

京东金融“盗图”应犯什么罪？

据三言财经2月16日报道，今天凌晨，微博上一位拥有“数码博主”认证的网友上传了一段视频，显示京东金融APP会获取用户手机银行软件的截图。

大致思路是，在运行京东金融APP后台的手机上，打开任意一款银行手机软件，对手机银行软件任意界面进行截图。 之后，在文件管理器中的京东金融APP目录中，就可以查看用户之前拍摄的银行软件图片。

随后，有网友证实，不仅是银行APP，在安卓手机上，只要打开京东金融APP并在后台运行，用户的第一张截图就会出现在京东金融APP的特定文件夹中。

需要注意的是，无论是数码博主还是网友都没有确认截图是否上传到服务器。

那么您从支付行业的角度如何看待这一事件呢？

2018年8月，央行发布146号文，启动支付安全风险专项排查。 调查机构涉及银行、支付机构、清算机构。 拥有网上银行和网上支付牌照的京东自然也被纳入调查范围。 在故障排除内容方面，有一项涉及到客户。

“排查客户端应用软件敏感信息保护、安全漏洞防护、信息传输安全等方面的潜在风险。”

银行应用程序的屏幕截图是否被视为敏感信息？

支付行业中的支付敏感信息是指支付过程中产生的信息，例如支付账号、密码、姓名、交易时间、地点等。假设银行APP界面恰好存在敏感交易信息。 用户截图后，京东金融APP获取并上传到服务器，然后泄露。 那么这次敏感信息泄露究竟是银行的错，还是京东的错？

当然，目前很多银行APP都具有防截屏功能，尤其是二维码支付界面。 它们还具有防止屏幕截图失败的安全保护，并且还要求敏感信息不能以纯文本形式显示。

京东金融APP目前仅获取截图。 如果用户有足够的权限，则不会涉及上传或泄露的过程。 或许京东只能发布技术错误的声明，罪责不会太大。 可能涉嫌违反网络安全法，支付安全违规的可能性不大，但毕竟京东金融APP也属于金融支付范畴，可能会引起监管机构的关注。

深度网络泄露的“脸”为刷脸支付敲响了警钟

另一起信息泄露事件是 泄露了250万张人脸数据。 微博安全应急中心2月14日发布信息安全消息，指出据外媒报道，国内一家人脸识别公司发生大规模数据泄露事件。 可获取超过250万条数据，包括身份证信息、人脸识别图像、抓拍位置等。

据CNET报道，该公司名称为深圳市深网视觉科技有限公司，总部位于深圳。 最初由商汤科技和东方网威两家公司出资设立，后来商汤科技退出。

由于刷脸支付的快速发展，此次刷脸事件很快引起了支付行业的高度关注。 人们不禁要问，如果人脸信息泄露，人脸识别支付会被盗吗？

最可怕的是，这次泄露包含了最敏感的身份证信息。 有了身份证信息，就更容易获取手机号码、地址、银行卡信息。

据安智讯介绍，深圳视觉的合作机构还包括连云港市公安局、上海市公安局、绵阳市公安局、兰州银行等较为敏感的机构。

目前，银联、支付宝、微信推出的刷脸支付产品都是通过人脸比对和手机号码进行身份验证来完成支付。 我们相信刷脸支付的整个过程是安全的，信息不会泄露。 但如果从其他渠道泄露的人脸信息与完美的个人信息相匹配，这将使刷脸支付变得极其危险。

值得一提的是，公安部是中国唯一拥有合法权利获取中国公民面部信息的机构。 如今流行的人脸识别支付需要与公安部系统进行比对才能完成身份认证。 支付公司无权保留用户面部信息。 神网视觉与多个公安部门合作，泄露的内容似乎与警务人员人脸识别有关。 如果这次泄密事件对公安系统造成影响，那就非常可怕了。

目前，漏脸事件仍不明朗，危害程度尚未有权威机构评估。 然而，这给我们敲响了警钟。 支付行业在对待刷脸支付时应该更加谨慎，让用户有足够的安全感。