21次刷臉盜轉27萬，手機解鎖不該等于資金授權

上海一男子在熟睡期間，被同居女友多次通過人臉識別解鎖手機并轉走賬戶資金。

公開報道顯示，2026年1月4日至4月24日期間，犯罪嫌疑人邵某趁歐某凌晨熟睡，先后21次竊取其手機內錢款，累計涉案金額達27萬余元。目前，邵某因涉嫌盜竊罪已被上海普陀警方依法刑事拘留，案件正在進一步偵辦中。

這起案件很容易被理解為“刷臉不安全”。

但從公開信息看，案件中的關鍵動作并非直接刷臉完成支付，而是嫌疑人通過人臉識別解鎖手機后，再進行資金轉賬。風險從手機解鎖開始，最終落到資金轉出。中間還涉及賬戶進入、轉賬確認、收款對象、交易額度、交易時間等多個環節。

手機解鎖解決的是設備訪問問題，資金轉出涉及的是賬戶授權問題。設備被打開，不應天然等同于資金可以被調動。今天的手機已經不只是通信設備，它同時承載銀行卡、支付賬戶、電子身份憑證、理財賬戶、借貸入口和大量個人隱私信息。手機一旦被解鎖，資金賬戶也可能暴露在更高風險中。

生物識別技術提升了移動端使用效率，也降低了密碼遺忘、輸入泄露等風險。但生物識別驗證的是“這個人是不是你”，并不必然驗證“這筆交易是不是你本人主動發起”。

臉是本人的，操作未必代表本人真實意愿。熟睡、醉酒、被脅迫等狀態下，身份特征仍然存在，但主動授權已經缺失。

熟人場景讓這類資金風險更隱蔽。陌生人盜刷往往依賴信息竊取、木馬病毒、短信驗證碼攔截等外部手段，熟人作案卻可能繞開很多常規防線。共同居住的人知道手機放在哪里，了解作息規律，也更容易接近設備。凌晨熟睡期間反復解鎖手機，連續多次轉走錢款，正是熟人接近式風險的典型表現。

移動支付過去十多年快速普及，核心體驗是方便、快速、低門檻。小額支付、日常消費、掃碼轉賬都因此變得順暢。但當便利性延伸到大額資金轉出時，安全分層就更重要。夜間轉賬、連續多筆轉賬、金額累計異常、新增收款人、與用戶日常交易習慣明顯不一致的操作，都應進入更高強度的交易驗證。

這類案件不能簡單歸咎于某一類產品，但它提醒各類資金入口繼續完善權限分層。手機人臉解鎖后，涉及大額轉賬時仍可保留獨立支付密碼、活體檢測、短信確認或更強形式的二次驗證。

對深夜連續轉賬、異常頻次轉賬，也可以增加更醒目的風險提醒。便利性不應被削弱，但便利性需要與交易風險匹配。

用戶端也需要重新理解手機安全。

很多人設置了手機人臉識別，就以為資金賬戶已經足夠安全；也有人為了方便，把支付密碼、銀行卡密碼、手機鎖屏密碼設置得過于簡單，甚至在多個賬戶中重復使用。

移動支付時代，手機鎖屏密碼、支付密碼、銀行賬戶密碼和生物識別權限，應該盡量分層管理，而不是把所有安全都壓在一個入口上。

這起案件的法律性質并不復雜。

未經他人同意，利用他人手機轉走資金，涉嫌盜竊。轉賬記錄、聊天記錄、設備使用痕跡等，都可能成為后續偵查和定責的證據。

復雜的是，它提醒更多人，親密關系并不能替代賬戶安全，日常信任也不能替代資金授權。

21次刷臉盜轉27萬，留給支付行業和普通用戶的提醒并不輕。

對用戶來說，手機不是一個簡單工具，而是資金賬戶的總入口。對產品和風控來說，識別“是誰”之外，還要盡可能識別“是否本人正在主動操作”。

手機可以被快速打開，資金賬戶仍應保留獨立防護。

這里是支付之家，關注支付表象之下的規則差異與邏輯變化，提供支付科技領域增量信息。

來源丨支付之家(ZFZJ.CN)（觀點內容僅供參考）