“只要供应身份证照片,不经当事人赞许,就让他成为一家公司的法人或股东。”这在从事代理公司注册10余年的老沈眼里,是件绝无可能的事儿。
2019年3月1日后,全国多地的市场监督管理部门相继实行企业登记身份信息“实名制”,要设立公司或对已设立公司进行变更、注销时,除了要填写身份信息外,当事人还必需通过企业登记APP进行“人脸识别”的认证。
老沈认为,如今若想不经由当事人容许,让他担当一家公司的法定代表人或股东,在人脸识别这一项就会被“卡脖”。
可这个老沈眼里不可能的事儿,在不法中介那儿却成了“基本操作”。6月下旬,新京报调查创造,“登记注册身份验证”“河南掌上登记”和“湖南企业登记”等多个政务APP的人脸识别,可被轻易破解。破解后,不法职员可利用他人身份信息注册公司,或对已成立公司的股东进行撤换。
新京报调查创造,不法中介通过网络“黑产”造孽获取身份信息和人脸照片后, 利用AI换脸技能,破解干系政务APP。中介称,他们不仅可以破解多省企业登记APP,部分省级税务APP的人脸识别也可破解。
8月8日,国家网信办发布“人脸识别技能运用安全管理规定(试行)”搜聚见地稿中明确:人脸识别技能利用者应该每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情形改进安全策略。
“代实名”中介破解人脸识别认证,代当事人过人脸、署名,于2023年6月在湖南株洲、河南郑州注册设立的公司及个体工商户。新京报 程亚龙 摄
多人诉称“被法人”,官方难证真伪
从未到过湖南株洲,也未曾通过线上申请的办法做过个体工商户登记,远在辽宁大连生活的张桂菊,却成了株洲市芦淞区一家百货店的经营者。
今年3月,张桂菊在办理税务干系业务时,被奉告她名下有一家“公司”,惊异之余再次讯问,得到的答复更让她咋舌,“公司远在千里之外。”
通过工商信息查询,张桂菊确认,这家她担当经营者的“公司”是个体工商户,名为“芦淞区茜三十三百货店”,注册资金2万元,成立于2022年4月23日。
张桂菊称,创造该问题的越日,她便在辽宁当地报警,并向当地市场监督管理部门反馈自己“被法人”的情形,但两个部门无权限处理,都建议她到名下个体工商户的注册地反响。
4月初,她向株洲市芦淞区市场监督管理局反馈,得到的答复是,她名下注册的个体户是通过网上办理的,而且她本人做了“四级实名”验证,办理流程合法合规。
“四级实名”是企业登记实名制度中,确保“人、证”同等性的技能手段,包括身份证信息核验和人脸识别验证,以此确保申请人的身份信息真实和本人意愿真实。
市场监管部门的答复,让张桂菊一头雾水。在此之前她不懂什么是“四级实名”,更不知道在哪一个APP上,可以进行实名,并网上注册公司。张桂菊担心,别人用她名下的个体户贷款、诱骗,或者用于洗钱。
4月19日,张桂菊的遭遇被辽宁《半岛晨报》宣布。25日,她名下的“茜三十三百货行”被芦淞区市场监管管理局撤销。企业信息显示:撤销是对已经完成的登记行为的否定,或者说是一种纠错行为。
6月19日,株洲市芦淞区市场监督管理局行政审批股卖力人在接管新京报采访时表示,张桂菊名下的个体户,未在注册地址办公,且她本人坚称未经人脸识别,以是作出了“撤销登记”的处理。但张桂菊本人是否做过人脸识别认证,他们无法确认,市、区级的市场监督管理局只对申请设立人提交的材料审核,人脸识别的信息他们无权查看,也难以调取。
与张桂菊遭遇类似的,还有江苏的彭女士和田师长西席。
今年3月份,彭女士创造她名下关联有注册地在株洲市的8家公司,她担当了个中4家公司的法定代表人,在其余4家公司占股10%,担当监事一职。田师长西席在株洲也被注册了10家公司,并在个中5家公司任法定代表人。
企查查信息显示,彭女士名下的8家公司,注册韶光、注册地址、注册资金完备同等,就连公司名称也十分类似,均为“株洲市哆X商贸有限公司”。田师长西席名下的10家公司,情形也一样,公司名称均为“株洲市智X百货有限公司”。
据三湘都邑报4月19日宣布,彭女士和田师长西席两人名下的公司,注册时均通过了“人脸识别活体认证”的验证,针对两人反响“被法人、被股东”的情形,市场监管部门正在向上级部门申请,调取“活体检测”数据。
株洲市天元区市场监督管理局办公室干系事情职员见告新京报,对付两人所说“自己‘被法人’”的情形,市场监督管理部门也无法确负责实情形,3月尾,天元区市场监督管理局已通过市局向省主管部门递交了调取两人“人脸识别”数据的申请,但数据信息存储在国家市场监督管理总局,何时能拿到数据,韶光不能确定。
7月12日,新京报把稳到,彭女士和田师长西席两人名下的公司均已被“撤销”。株洲市天元区市场监督管理局事情职员称,申请调取的人脸识别数据,暂未得到回答。由于两人申请注销的意愿强烈,但股东联系不上,公司也没有实际经营行为,经局领导集体谈论,决定进行撤销。
“代实名”中介朋友圈发布的可全国完成“4级实名”验证的广告,称全国多省份的企业注册APP均可代过人脸识别验证。微信截图
神秘“黑科技”:10分钟完成冒名登记注册
在本人都不知情的情形下,登记系统中的人脸识别检测是如何通过的?
“有中介能办这个。”有知情者表示,很多工商税务代办职员组成的社交媒体群里,都能看到不间断发布的“处理工商实名,法人、股东失落联代具名”。
新京报添加一个名为“工商实名,失落联具名”的中介微信后,对方发称登记注册身份验证软件四级实名验证、工商失落联扫脸、APP实名代具名等均可操作,用度在100元到900元之间,并表示如果没有身份证照片,只供应身份证号也可以过实名。面对质疑,中介称“常常做,放心。可以实名后再付款”。
“登记注册身份验证”APP(以下简称:“登记注册”)是由国家市场监督管理总局信息中央开拓的软件,实名后可用于办理商事登记的干系业务。注册时除了填写名字、身份证号、手机号等信息外,还需进行人脸识别验证,被称为“四级实名”。
6月21日,向中介供应了未做过四级实名职员的身份证号码和名字,10分钟后记者考试测验登录创造,该职员已完成了“四级实名”。
拜访了湖南长沙、株洲多个区的市场监督管理局业务受理窗口和财税代理公司确认,只要当事人通过了登记注册身份验证APP的四级实名认证,在其本人不到场的情形下,可以完成个体工商户的设立。
“登记注册”APP是仅供应实名认证的单一功能软件,湖南省市场监督管理局的“湖南企业登记”APP,则是一个聚合有多种商事功能,合营“一网通办”可以实现网上设立公司、变更法人、股东的软件。这样的软件,在不法中介那里,同样可以代过实名认证。
新京报理解到,在湖南省设立公司,大多通过省政务做事网“一网通办”申请。在网上提交申请公司必要的资料后,须要公法律定代表人和监事本人,通过自己注册的湖南企业登记APP扫码,在手机端通过人脸识别后,方可署名并提交设立公司的申请资料。
从株洲市市场监督管理部门获取的“自然人电子签名流程”显示,人脸识别活体检测时,屏幕中会显示数字,被检测职员需保持正脸在检测框内,准确读出屏幕上显示的数字。
6月19日,在代理记账公司事情职员的合营下,在湖南省“一网通办”平台提交了公司设立登记的干系资料,并将开办公司所必需的两位经营者的身份证照片,发给“代实名”的中介,1小时内两位经营者均通过了“人脸识别”,并由“代实名”职员直接为两人代签了姓名。6月20日,顺利领取了利用他人身份信息设立的新公司的业务执照和副本。
“通过什么技能过的实名?”面对的讯问,男子表示,只要给你过就行了,其他你不用知道。其余多位“代实名”中介,也谢绝回应的问题:“商业机密,不透露。”
株洲市荷塘区政务做事中央摆放的“实名认证”流程公示牌。新京报 程亚龙 摄
破解实名验证:多地企业登记、税务业务中招
多名“代实名”中介见告新京报,他们的业务范围并不限于湖南。
一名中介通过的好友申请后,发来的截图显示:“河南掌上登记”“辽宁企业登记实名验证”“海南e登记”“新疆政务通”“赣企开办e窗通”“津心办”“江苏市监注册登记”“浙里办”“山东省市场监管全程电子化”等政务APP,均可代过实名。
查询可见,上述APP均为省级政府部门的政务办理软件。而这些关系到公司设立、股东变更、注销等业务的商事登记APP,是否真如中介所言,都可以代过实名?6月25日,新京报在河南郑州,再次进行了测试。
在河南设立公司或个体工商户,多数通过“河南全程电子化平台”(以下简称:电子化平台)网上办理。而登录电子化平台前和法人、股东署名时,均需利用“河南掌上登记”APP通过人脸识别。公开资料显示:2019年9月,河南掌上登记已实现自然人活体识别验证。
6月26日上午10时30分,新京报向一位“代实名”中介提出过“河南掌上登记”的需求,并只向对方供应了须要过实名者的名字和身份证号。30分钟后,该中介回答称,“准备好了”。把登录电子化平台的二维码发给对方后,所利用的电脑页面随即跳转到了电子化平台的“业务办理”页面。
一位代理注册公司的从业者先容称,进入“业务办理”页面,解释“代实名”中介已通过了“河南掌上登记”的人脸识别,并利用该软件扫码。企业设立过程中,填写完企业信息提交审核时,还须要再次通过人脸识别,并利用手机进行署名。
26日12时许,在电子化平台上填写完须要设立“个体工商户”的其他信息后,将“本人署名”二维码再次发给中介,十几分钟后,页面显示署名已完成。28日,新京报从郑州市金水区一市场监督管理所,领取到了新注册的个体工商户的业务执照和副本。
代理记账行业干系从业者先容称,设立个体工商户和设立公司流程类似,只是设立个体户一人即可,设立公司至少须要两人,分别担当法定代表人和监事职务。“代实名”中介能够在设立个体户的过程中,破解实名认证,这意味着,在河南同样可以利用他人身份设立公司。
“代实名”中介假造上传的身份证照片,并代当事人通过过人脸识别认证进行公司注册。新京报 程亚龙 摄
“代实名”依托网络黑产:公司股东可被“秘密”撤换
在郑州从事代理公司注册10余年的老沈称,公司的设立、注销,法人、股东变更等,都可以通过电子化平台完成,过程中认定“本人是否知情”的核心环节,便是“人脸识别”。如果“企业登记”APP的人脸识别被不法职员破解,那意味着他们不仅可以利用他人信息注册公司,还能对公司进行注销、变更法人、股东等商事业务。
6月30日,新京报借用朋友的公司测试创造,在法人合营的情形下,通过“代实名”的操作,公司的股东可以被“秘密”撤换。按照公司股东变更的正常流程,在电子化平台提交股东变更资料后,须要该公司的所有股东,扫码完成电子署名。而中介通过“代实名”,就可以完成这些操作。
调查中创造,完成“河南掌上登记”“湖南企业登记”APP的实名注册,最核心的两个环节,分别是上传当事人的身份证照片和人脸识别认证。“代实名”中介,在只有当事人身份证号的情形下,是如何通过所有的流程呢?
据江苏电视台宣布,2021年12月份,一个“代实名”的8人团伙被常州警方抓获,该团伙利用AI换脸技能“骗过”政务网站的人脸识别认证,在审讯过程中,犯罪嫌疑人还向警方演示了用多个制图软件让图片动起来的过程。
一位“代实名”中介向先容,他们通过AI技能,破解人脸识别认证。他向发送的一段演示视频显示,提取静态图片中人物的脸部信息后,用电脑软件让人物完成眨眼、点头的动作,终极通过了某一款APP的实名认证,全体过程只用了3分钟。
至于当事人的照片,中介表示,可以通过“查档”获取。
在郑州注册个体工商户过程中,只向代实名中介供应了当事人的名字和身份证号,在中介利用河南掌上登记APP扫码后,页面跳转进入电子化平台。在电子化平台创造当事人的身份证照片,已提交在平台中。代理公司注册行业从业者先容,该照片是中介在注册河南掌上登记时,通过手机上传的图片,该信息会自动同步到电子化平台。
令人惊异的是,与被实名者本人所持有的真实身份证比拟可见,照片的身份证头像、名字、民族等信息均同等。不同的是,户籍地址和身份证有效期。
被实名当事人预测,代实名中介上传的照片是PS过的图片,由于照片中户籍地址虽然精确到了他所在的县,但住址一栏中的“联络路28号”他从未居住过,也未曾听说当地有联络路,这部分信息是编造的。
新京报调查创造,在网络“黑产”中,有人收费“查档”。只要供应姓名、身份证号,就可以买到当事人的户籍信息,个中包含当事人的证件照、性别、民族,以及户籍所在的区县,但未详细到详细住址。
8月10日,公安部网络安全保卫局副局长李彤表示,犯罪分子用于履行“AI换脸”的物料紧张为照片,特殊是身份证照片,同时结合职员姓名、身份证号来打破人脸识别验证系统。
“代实名”中介利用他人身份信息,破解“河南掌上登记”APP的实名认证及河南税务APP的人脸识别认证设立的个体工商户。新京报 程亚龙 摄
515人被抓:AI换脸过实名验证涉嫌多项违法
近年来,“被法人”的征象并不鲜见。
2022年7月,黑龙江一名男子2017年丢失身份证后,莫名担当了河北曲阳县一发卖公司的独资股东,其名下的公司拖欠税款641万元。2019年,重庆一高校西席创造,自己莫名成了山东一家公司的法人,而该公司拖欠债款未还,导致他被法院列入失落信人名单。
中介老沈称,利用他人信息设立的公司,多数是为从事造孽活动躲避法律任务,公司可能会被用于虚开拓票、洗钱、诱骗或从事其他不法的经营行为。
奇安信集团行业安全研究中央主任裴智勇先容,人脸和指纹都属于生物识别的范畴,它们都具有可以复制的特点,但在网络验证中,它们并不是一个特殊安全的密钥。
裴智勇认为,人脸识别是基于算法进行的,只要APP的人脸验证办法是固定的,就可以逆向打算出破解的方法,用图片天生破解的3D图像,“我们在实验中创造,虽然利用电脑天生的3D图像,跟真人比拟是有很大失落真的,但是这种图像是专门针对某个人脸识别系统做的,识别系统须要什么数值,图像反馈出相应的数值,就能骗过人脸识别的系统。”
裴智勇建议,利用人脸识别技能,应加入其他的验证手段进行赞助,比如常见的短信验证、电话验证或大数据验证,这样相对更安全。
一位不愿具名的AI算法工程师先容,通过AI技能,可以使照片中的人物完成眨眼、点头等动作,骗过具有活体检测性能的人脸识别APP的验证。近两年,AI换脸被广泛利用,攻击者也可通过挟制数据包的办法,将真实人脸信息更换为虚假人脸信息,通过人脸检测。
针对干系隐患,8月8日,国家网信办发布“人脸识别技能运用安全管理规定(试行)”搜聚见地稿中明确:人脸识别技能利用者应该每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情形改进安全策略,调度置信度阈值,采纳有效方法保护图像采集设备、个人身份识别设备免受攻击、侵入、滋扰和毁坏。
国浩状师(石家庄)事务所李资睦状师认为,利用AI换脸技能,在政务APP中进行虚假的实名认证,不仅涉嫌造孽处理公民个人信息,还属于造孽侵入打算机信息系统的行为。这两个行为涉嫌违反《民法典》《个人信息保护法》《刑法》等干系法律法规,干系职员将可能承担民事任务、行政任务以及刑事任务。
8月10日,公安部网络安全保卫局副局长李彤表示, 为戒备和打击此类新型犯罪,公安机关联合国家重点实验室等单位,开展人脸识别与活体检测技能安全测评,覆盖了境内用户量大、问题隐患突出的即时通讯、网络直播、网络社交、电商平台、金融支付等重点APP,及时创造人脸识别验证系统存在的风险隐患,通报运营主体升级安全保护方法和人脸识别算法。公安机关依托“净网”专项行动,严打透露身份证照片等图像信息的犯罪源头,自2020年以来,已破获“AI换脸”案件79起,抓获犯罪嫌疑人515名。
新京报 程亚龙
编辑 甘浩
校正 赵琳
