“刷脸”支付强化安全管理标准制定中
“刷脸”日趋流行,多家银行和支付机构已经在多个场景应用了人脸识别技术。习惯了密码等传统支付方式的人不禁要问:刷脸支付靠谱吗?
记者日前采访多个业内人士了解到,人脸识别借助深度学习的应用与发展,识别通过率明显提升,而结合一些其他的辅助身份认证手段以及大数据分析手段,能够较大程度地确保交易的安全性。
不过,人脸等生物信息的隐私安全问题也引发了关注。《经济参考报》记者了解到,目前,有关部门正在推进人脸识别领域相关金融标准的制定,以明确在这部分信息采集、传输、存储、利用等环节的安全管理要求。与此同时,业内人士也呼吁,应该加快制定和出台适应生物特征识别技术应用的法律法规。
服务数亿用户 场景应用陆续落地
人脸识别技术通过身份特征的数字化和隐形化,为身份核验提供便捷高效的可选替代方案。牛津大学与万事达卡合作研究的一份报告显示,高达93%的消费者倾向于使用生物识别技术,且92%的银行专业人士希望采用生物识别解决方案。
多家银行和支付机构已大量应用人脸识别技术。2015年,支付宝率先将人脸识别技术应用于用户登录后,这一技术先后用于实名认证、找回密码、支付风险校验等场景,迄今服务用户超过数亿。目前,支付宝的刷脸支付功能可应用于药店、超市、便利店等众多的线下零售场景。今年4月17日,支付宝宣布推出第二代基于线下消费场景的刷脸支付机具“蜻蜓”。
银行方面,招商银行是国内首家研究人脸识别技术的银行。目前,已相继推出了刷脸取款、刷脸转账、刷脸支付等功能。光大银行的人脸识别技术也应用于账户登陆、转账、线上融资、线上申请办卡等不同场景。
值得注意的是,多数银行手机APP为了确保交易的安全可靠,在一些安全等级较高的交易中均在推进多种方式组合在一起的交叉身份验证。记者从一些银行了解到,登陆手机APP可以单独应用人脸识别进行验证,但若用户运用银行手机APP进行转账等交易,并不会单独应用人脸识别,而是与密码等其他验证方式共同进行认证。
技术日趋成熟 多方案结合保安全
伴随着“人脸识别”在金融和支付领域应用的日益普及,一些人也对其识别的准确性提出了质疑,网络上有人提出了类似“用照片代替真人能否识别出来”、“双胞胎长相几乎一样能否识别出来”以及“做个假头套是不是就能蒙混过关”的疑问。记者在采访中了解到,随着目前技术的进步,人脸识别的识别通过率已经明显提升。
中国人民银行科技司司长李伟撰文指出,人脸识别借助深度学习的应用与发展,识别通过率明显提升。例如,结合海量数据挖掘、神经网络等技术,千万级别人脸辨识的通过率可达99%以上。
以用照片或视频代替真人或是戴假头套仿冒的问题为例,业内人士表示,比起初代的2D人脸识别技术,现在市场上应用的3D人脸识别技术,可杜绝这类仿冒。蚂蚁金服商学院研究员叶文添对记者说,支付宝线下推广的“刷脸支付”采用的是3D人脸识别技术,在进行人脸识别前,会通过软硬件结合的方式进行活体检测,来判断采集到的人脸是否是照片、视频或者软件模拟生成的,相比较于2D人脸识别技术,能更有效地避免各种人脸伪造带来的身份冒用情况。另外,在一些银行手机APP的应用中,银行也会要求用户眨眼睛或是做几个连续的指定动作等,以确定为活体。
而关于长相相近的人的误识问题,招商银行相关业务负责人对记者表示,这涉及人脸识别算法。人脸识别算法现今已非常成熟,其1:1比对的误识率已可低于十万分之一,足以达到商用的标准。同时,招行也可以采用大数据技术,在人脸识别算法的基础上,结合对用户属性、位置等信息的综合判断,基本扼杀误识的可能。多位业内人士也对记者表示,“双胞胎”确实属于一个难以攻克的难题,因此银行才多会通过一些辅助认证、交叉认证的方式来确保交易的安全性。
实际上,支付机构和银行等保证支付和交易的安全性的手段也不仅仅是依靠人脸、指纹或密码这样的身份验证方式,其更多的是构建一个完整的、多层次的安全措施体系。
万事达卡中国区总裁常青在接受《经济参考报》记者采访时表示,面对安全风险,没有哪个单一的解决方案是刀枪不入的。但如果我们能同时使用多层次的安全措施,就能将风险最小化。他介绍,网上交易由于距离和设备的原因,很难进行有效的生物识别。而传统网络支付的信息比对又只限于简单的卡号、姓名、有效期和CVC2等简单信息。在这样的情形下,其与业界合作开发了全球通用的3DS 2.0标准,让交易可以包含更多信息(设备信息、IP地址等),让商户和金融机构都可以凭借这些信息进行更准确的交易判断,也提升了交易的可靠性。
易造隐私泄露 治理体系待完善
值得注意的是,伴随着人脸识等生物识别技术在金融领域的应用蓬勃兴起,其安全问题也成为社会普遍关注的热门话题。
李伟撰文指出,由于生物特征涉及人脸、虹膜、声纹等用户隐私信息,其固有特性、采集方式、集中存储的特点导致信息泄露风险较大。一般来说,生物特征与人类生命相伴而生,不随个人主观意愿而产生变化,难以针对不同业务、渠道、场景使用不同凭据进行安全隔离。其次,用户生物特征普遍暴露在商场、饭店等各种公共场所,不法分子可通过远程、非接触方式,在用户本人毫无察觉的情况下“无声无息”地非法批量采集生物特征信息。最后,人工智能、云计算、大数据等技术逐步规模应用,生物特征数据存储集中度越来越高。一旦热点应用的生物特征库被攻破,极易导致大规模隐私泄露,甚至会引发系统性风险。
李伟撰文建议有关部门加强顶层设计与规范引导,不断完善治理体系,多措并举推动生物识别应用健康有序发展。推进科学立法、严格执法,制定出台适应生物特征识别技术应用的法律法规,加强生物特征数据滥用、侵犯个人隐私等行为的管理和惩戒。记者也了解到,有关部门目前正在推进人脸识别领域相关金融标准的制定,以明确在这部分信息采集、传输、存储、利用等环节的安全管理要求。
常青表示,在众多实践中,万事达卡倾向于将生物识别信息应储存于设备中,而不是集中保存在某机构的数据库中,以防止因黑客攻击造成大规模的数据泄漏。“无论是指纹还是人脸识别,这些信息都储存在手机的加密安全芯片中,这些芯片只能被授权的应用读取,所以并没有泄露的风险。即便是在一定情形下,生物识别信息必须要由机构的数据库来保存,我们也认为应该建立一个分散保存的系统并且确保传输过程中信息不可被破解和追溯。”