21次刷脸盗转27万，手机解锁不该等于资金授权

上海一男子在熟睡期间，被同居女友多次通过人脸识别解锁手机并转走账户资金。

公开报道显示，2026年1月4日至4月24日期间，犯罪嫌疑人邵某趁欧某凌晨熟睡，先后21次窃取其手机内钱款，累计涉案金额达27万余元。目前，邵某因涉嫌盗窃罪已被上海普陀警方依法刑事拘留，案件正在进一步侦办中。

这起案件很容易被理解为“刷脸不安全”。

但从公开信息看，案件中的关键动作并非直接刷脸完成支付，而是嫌疑人通过人脸识别解锁手机后，再进行资金转账。风险从手机解锁开始，最终落到资金转出。中间还涉及账户进入、转账确认、收款对象、交易额度、交易时间等多个环节。

手机解锁解决的是设备访问问题，资金转出涉及的是账户授权问题。设备被打开，不应天然等同于资金可以被调动。今天的手机已经不只是通信设备，它同时承载银行卡、支付账户、电子身份凭证、理财账户、借贷入口和大量个人隐私信息。手机一旦被解锁，资金账户也可能暴露在更高风险中。

生物识别技术提升了移动端使用效率，也降低了密码遗忘、输入泄露等风险。但生物识别验证的是“这个人是不是你”，并不必然验证“这笔交易是不是你本人主动发起”。

脸是本人的，操作未必代表本人真实意愿。熟睡、醉酒、被胁迫等状态下，身份特征仍然存在，但主动授权已经缺失。

熟人场景让这类资金风险更隐蔽。陌生人盗刷往往依赖信息窃取、木马病毒、短信验证码拦截等外部手段，熟人作案却可能绕开很多常规防线。共同居住的人知道手机放在哪里，了解作息规律，也更容易接近设备。凌晨熟睡期间反复解锁手机，连续多次转走钱款，正是熟人接近式风险的典型表现。

移动支付过去十多年快速普及，核心体验是方便、快速、低门槛。小额支付、日常消费、扫码转账都因此变得顺畅。但当便利性延伸到大额资金转出时，安全分层就更重要。夜间转账、连续多笔转账、金额累计异常、新增收款人、与用户日常交易习惯明显不一致的操作，都应进入更高强度的交易验证。

这类案件不能简单归咎于某一类产品，但它提醒各类资金入口继续完善权限分层。手机人脸解锁后，涉及大额转账时仍可保留独立支付密码、活体检测、短信确认或更强形式的二次验证。

对深夜连续转账、异常频次转账，也可以增加更醒目的风险提醒。便利性不应被削弱，但便利性需要与交易风险匹配。

用户端也需要重新理解手机安全。

很多人设置了手机人脸识别，就以为资金账户已经足够安全；也有人为了方便，把支付密码、银行卡密码、手机锁屏密码设置得过于简单，甚至在多个账户中重复使用。

移动支付时代，手机锁屏密码、支付密码、银行账户密码和生物识别权限，应该尽量分层管理，而不是把所有安全都压在一个入口上。

这起案件的法律性质并不复杂。

未经他人同意，利用他人手机转走资金，涉嫌盗窃。转账记录、聊天记录、设备使用痕迹等，都可能成为后续侦查和定责的证据。

复杂的是，它提醒更多人，亲密关系并不能替代账户安全，日常信任也不能替代资金授权。

21次刷脸盗转27万，留给支付行业和普通用户的提醒并不轻。

对用户来说，手机不是一个简单工具，而是资金账户的总入口。对产品和风控来说，识别“是谁”之外，还要尽可能识别“是否本人正在主动操作”。

手机可以被快速打开，资金账户仍应保留独立防护。

这里是支付之家，关注支付表象之下的规则差异与逻辑变化，提供支付科技领域增量信息。

来源丨支付之家(ZFZJ.CN)（观点内容仅供参考）