央行司长示警 刷脸支付单一特征交易隐患待解
地铁、超市、便利店、药店……随着应用场景愈加广泛,刷脸支付这项支付新体验正在巨头力推之下试图掀起又一次支付变革。但新生事物成长与完善尚需时间,面对人脸识别支付应用可能存在的安全隐患,央行科技司司长李伟近日再度示警,不要简单地将人脸特征作为唯一的交易验证因素,必须根据风险等级结合用户口令等其他因素进行多因素认证。
央行再度示警
当前,在金融反欺诈的手段中,人脸识别逐渐普遍,不过亦引发一些担忧。央行科技司司长李伟在9月20日出席活动时对于该项技术在金融交易验证中存在的隐患进行示警。
李伟表示,人脸属于弱隐私生物特征,信息误用风险比较大。现实生活中通常综合人脸、声音、体态等多个弱隐私特征来认识他人,不光看你的脸,还要听你的声音、看你的动作,综合判断“你是谁”,来认识一个人。这些特征普遍显露在外,往往容易通过远程非接触的方式,在本人豪无察觉的情况下无声无息地采集,当前这是难以避免的现象。问题在于部分机构高估了弱隐私特征的识别作用,在网络空间仅依靠单一特征进行金融交易验证,存在严重隐患。
李伟同时表示,针对人脸识别支付应用,由于线上开放的网络环境中存在诸多风险,应用条件不成熟,而线下应用风险相对可控,基本具备试点应用的条件。不过要遵循相应的原则,其中包括数据采集应提前告知信息使用方式,明确获得客户授权,避免与需求无关的特征采集,确保人脸特征采集的合理性和必要性;考虑到人脸识别过程悄无声息,金融机构要严格落实消费者权益保护法,充分尊重用户的主观意愿,保护用户的知情权、财产安全权等合法权益,不得在用户不知情、未授权的情况下擅自发起交易,不要简单地将人脸特征作为唯一的交易验证因素,必须根据风险等级结合用户口令等其他因素进行多因素认证,平衡好金融服务的安全与便捷。后续,央行将对此强化监督检查和安全评估工作。
北京商报记者注意到,这已不是央行首次公开提醒人脸识别存在的安全隐患。早在今年7月,李伟就曾提到,“现在有的技术在3公里之外就能识别人脸,客户没有表达主观意愿就去刷脸,这是多么可怕的一件事情”。
安全隐患引担忧
随着人脸识别的普及,刷脸支付这一新的支付体验也开始进入大众视野。尽管人脸识别已经有较多的应用场景,但此前刷脸支付迟迟未能投入商用,难点在于支付环节的应用安全性要求更高、线下场景更为复杂,以及公开环境、公共设备的挑战更大。
2017年9月1日,支付宝在肯德基的KPRO餐厅上线了刷脸支付,省去了手机介质,通过刷脸即可支付,这是刷脸支付在全球范围内的首次商用试点。自2018年以来,支付宝和微信支付相继推出刷脸支付机“蜻蜓”和“青蛙”,瞄准线下支付场景,试图掀起又一次支付变革。
为了推动刷脸支付快速普及,双方在推广过程中,往往伴随补贴奖励活动。比如,微信支付对刷脸支付服务商有一定的补贴,主要是基于硬件设备结合刷脸支付笔数的奖励,针对普通用户的营销活动有随机立减等活动。如今,地铁、超市、便利店、药店……在支付宝、微信支付两大巨头的大力推广之下,刷脸支付在线下支付场景中的应用越来越广泛。
北京商报记者在某蛋糕店使用支付宝“蜻蜓”刷脸支付时发现,点击屏幕刷脸支付,基本1秒识别后直接显示出记者打码后的支付宝账号,下方显示确认支付,点击便已成功扣款。屏幕显示,目前支付宝刷脸支付有随机立减活动,最高288元,不过店员告诉记者,目前使用刷脸支付的人较少,多数顾客仍会选择支付宝付款码扫码支付。
“从实用角度看,我更愿意使用不暴露个人这么多生物特征的验证方式,人脸识别验证从体验上让我感觉不舒服,也不想被相应机构获取我人脸识别数据。”在与业内交流时,北京商报记者发现,隐私风险、体验问题以及对刷脸支付安全性的担忧成为用户不愿轻易使用刷脸支付的原因。
前段时间一款名为ZAO的App爆火,用户上传一张照片,用AI换脸功能,将短视频中的演员换成自己的脸,就可以“过足戏瘾”。而在目前人脸识别技术的精准度还达不到100%的情况下,对相似度高的脸很难避免识别误差。此前不乏有漏洞案例曝出,比如儿子能解开妈妈的脸部识别解锁、双胞胎妹妹刷脸划走姐姐账户钱、3D打印人脸成功刷脸支付等,这些都对刷脸支付的安全性提出了更高的考验。
关于刷脸支付的安全性,支付宝对北京商报记者表示,支付宝的“刷脸支付”采用的是3D人脸识别技术,在进行人脸识别前,会通过软硬件结合的方式进行检测,来判断采集到的人脸是否是照片、视频或者软件模拟生成的。微信支付团队方面表示,微信刷脸支付使用3D活体检测技术,综合使用3D、红外、RGB等多模态信息,可以抵御视频、纸片、面具等的攻击,部分用户需要输入与微信账号绑定的手机号或扫描二维码等进行校验。
探索辅助验证方式
“如央行领导所说,有技术可以在3公里之外检测人脸。现在高端智能手机镜头可以放大倍数,甚至有的手机都能拍月亮,使用这类设备也可从远处获取人脸数据,不经过你允许,再扫描你的人脸,银行卡是在兜里面的,人脸是露在外面的,考虑到用户是不是真的有意愿使用人脸支付,尚需要有其他验证手段。” 苏宁金融研究院金融科技中心主任孙扬如是说。
孙扬对北京商报记者表示,央行领导特别提到要保证客户表达意愿,并且用户在不同环境、商户、时间下的支付交易风险等级不同,必须根据支付交易的风险等级进行多重验证。人脸识别支付应用可以探索通过手动输入密码、短信验证码、语音验证、静脉、指纹验证、数字盾牌等方式来辅助人脸识别认证。
今年8月央行发布的金融科技发展规划中也提出,将探索人脸识别线下支付安全应用,借助密码识别、隐私计算、数据标签、模式识别等技术,利用专用口令、“无感”活体检测等实现交易验证,突破1:N人脸辨识支付应用性能瓶颈,由持牌金融机构构建以人脸特征为路由标识的转接清算模式,实现支付工具安全与便捷的统一。
目前,刷脸支付商业化仍处于初期阶段,新事物的成长尚需时间。孙扬表示,发展刷脸支付、刷脸交易的机构,首先应当确保安全,确保用户知情的前提下,合法获得用户授权,还需确保人脸生物特征数据没有超范围的收集,人脸数据没有被用在其他用途。
李伟指出,鉴于人脸识别高度依赖人工智能算法模型,攻防技术不断迭代升级,因此要主动建立健全风险赔付资金、保险计划、应急处置等风险补偿机制,综合运用多种信息技术,加强人脸特征信息端到端的全链条安全防护,切实保障消费者资金与信息的安全。目前微信支付和支付宝均对北京商报记者表示,如果因为刷脸支付导致账号资金损失,可申请全额赔付。
北京商报记者 岳品瑜 马嫡
- 标签:
- 编辑:茶博士
- 相关文章