原標題：央行司長示警 刷臉支付單一特征交易隱患待解

　　來源 北京商報

　　地鐵、超市、便利店、藥店……隨著應用場景愈加廣泛，刷臉支付這項支付新體驗正在巨頭力推之下試圖掀起又一次支付變革。但新生事物成長與完善尚需時間，面對人臉識別支付應用可能存在的安全隱患，央行科技司司長李偉近日再度示警，不要簡單地將人臉特征作為唯一的交易驗證因素，必須根據風險等級結合用戶口令等其他因素進行多因素認證。

　　央行再度示警

　　當前，在金融反欺詐的手段中，人臉識別逐漸普遍，不過亦引發一些擔憂。央行科技司司長李偉在9月20日出席活動時對于該項技術在金融交易驗證中存在的隱患進行示警。

　　李偉表示，人臉屬于弱隱私生物特征，信息誤用風險比較大。現實生活中通常綜合人臉、聲音、體態等多個弱隱私特征來認識他人，不光看你的臉，還要聽你的聲音、看你的動作，綜合判斷“你是誰”，來認識一個人。這些特征普遍顯露在外，往往容易通過遠程非接觸的方式，在本人豪無察覺的情況下無聲無息地采集，當前這是難以避免的現象。問題在于部分機構高估了弱隱私特征的識別作用，在網絡空間僅依靠單一特征進行金融交易驗證，存在嚴重隱患。

　　李偉同時表示，針對人臉識別支付應用，由于線上開放的網絡環境中存在諸多風險，應用條件不成熟，而線下應用風險相對可控，基本具備試點應用的條件。不過要遵循相應的原則，其中包括數據采集應提前告知信息使用方式，明確獲得客戶授權，避免與需求無關的特征采集，確保人臉特征采集的合理性和必要性；考慮到人臉識別過程悄無聲息，金融機構要嚴格落實消費者權益保護法，充分尊重用戶的主觀意愿，保護用戶的知情權、財產安全權等合法權益，不得在用戶不知情、未授權的情況下擅自發起交易，不要簡單地將人臉特征作為唯一的交易驗證因素，必須根據風險等級結合用戶口令等其他因素進行多因素認證，平衡好金融服務的安全與便捷。后續，央行將對此強化監督檢查和安全評估工作。

　　北京商報記者注意到，這已不是央行首次公開提醒人臉識別存在的安全隱患。早在今年7月，李偉就曾提到，“現在有的技術在3公里之外就能識別人臉，客戶沒有表達主觀意愿就去刷臉，這是多么可怕的一件事情”。

　　安全隱患引擔憂

　　隨著人臉識別的普及，刷臉支付這一新的支付體驗也開始進入大眾視野。盡管人臉識別已經有較多的應用場景，但此前刷臉支付遲遲未能投入商用，難點在于支付環節的應用安全性要求更高、線下場景更為復雜，以及公開環境、公共設備的挑戰更大。

　　2017年9月1日，支付寶在肯德基的KPRO餐廳上線了刷臉支付，省去了手機介質，通過刷臉即可支付，這是刷臉支付在全球范圍內的首次商用試點。自2018年以來，支付寶和微信支付相繼推出刷臉支付機“蜻蜓”和“青蛙”，瞄準線下支付場景，試圖掀起又一次支付變革。

　　為了推動刷臉支付快速普及，雙方在推廣過程中，往往伴隨補貼獎勵活動。比如，微信支付對刷臉支付服務商有一定的補貼，主要是基于硬件設備結合刷臉支付筆數的獎勵，針對普通用戶的營銷活動有隨機立減等活動。如今，地鐵、超市、便利店、藥店……在支付寶、微信支付兩大巨頭的大力推廣之下，刷臉支付在線下支付場景中的應用越來越廣泛。

　　北京商報記者在某蛋糕店使用支付寶“蜻蜓”刷臉支付時發現，點擊屏幕刷臉支付，基本1秒識別后直接顯示出記者打碼后的支付寶賬號，下方顯示確認支付，點擊便已成功扣款。屏幕顯示，目前支付寶刷臉支付有隨機立減活動，最高288元，不過店員告訴記者，目前使用刷臉支付的人較少，多數顧客仍會選擇支付寶付款碼掃碼支付。

　　“從實用角度看，我更愿意使用不暴露個人這么多生物特征的驗證方式，人臉識別驗證從體驗上讓我感覺不舒服，也不想被相應機構獲取我人臉識別數據。”在與業內交流時，北京商報記者發現，隱私風險、體驗問題以及對刷臉支付安全性的擔憂成為用戶不愿輕易使用刷臉支付的原因。

　　前段時間一款名為ZAO的APP爆火，用戶上傳一張照片，用AI換臉功能，將短視頻中的演員換成自己的臉，就可以“過足戲癮”。而在目前人臉識別技術的精準度還達不到100%的情況下，對相似度高的臉很難避免識別誤差。此前不乏有漏洞案例曝出，比如兒子能解開媽媽的臉部識別解鎖、雙胞胎妹妹刷臉劃走姐姐賬戶錢、3D打印人臉成功刷臉支付等，這些都對刷臉支付的安全性提出了更高的考驗。

　　關于刷臉支付的安全性，支付寶對北京商報記者表示，支付寶的“刷臉支付”采用的是3D人臉識別技術，在進行人臉識別前，會通過軟硬件結合的方式進行檢測，來判斷采集到的人臉是否是照片、視頻或者軟件模擬生成的。微信支付團隊方面表示，微信刷臉支付使用3D活體檢測技術，綜合使用3D、紅外、RGB等多模態信息，可以抵御視頻、紙片、面具等的攻擊，部分用戶需要輸入與微信賬號綁定的手機號或掃描二維碼等進行校驗。

　　探索輔助驗證方式

　　“如央行領導所說，有技術可以在3公里之外檢測人臉。現在高端智能手機鏡頭可以放大倍數，甚至有的手機都能拍月亮，使用這類設備也可從遠處獲取人臉數據，不經過你允許，再掃描你的人臉，銀行卡是在兜里面的，人臉是露在外面的，考慮到用戶是不是真的有意愿使用人臉支付，尚需要有其他驗證手段。” 蘇寧金融研究院金融科技中心主任孫揚如是說。

　　孫揚對北京商報記者表示，央行領導特別提到要保證客戶表達意愿，并且用戶在不同環境、商戶、時間下的支付交易風險等級不同，必須根據支付交易的風險等級進行多重驗證。人臉識別支付應用可以探索通過手動輸入密碼、短信驗證碼、語音驗證、靜脈、指紋驗證、數字盾牌等方式來輔助人臉識別認證。

　　今年8月央行發布的金融科技發展規劃中也提出，將探索人臉識別線下支付安全應用，借助密碼識別、隱私計算、數據標簽、模式識別等技術，利用專用口令、“無感”活體檢測等實現交易驗證，突破1：N人臉辨識支付應用性能瓶頸，由持牌金融機構構建以人臉特征為路由標識的轉接清算模式，實現支付工具安全與便捷的統一。

　　目前，刷臉支付商業化仍處于初期階段，新事物的成長尚需時間。孫揚表示，發展刷臉支付、刷臉交易的機構，首先應當確保安全，確保用戶知情的前提下，合法獲得用戶授權，還需確保人臉生物特征數據沒有超范圍的收集，人臉數據沒有被用在其他用途。

　　李偉指出，鑒于人臉識別高度依賴人工智能算法模型，攻防技術不斷迭代升級，因此要主動建立健全風險賠付資金、保險計劃、應急處置等風險補償機制，綜合運用多種信息技術，加強人臉特征信息端到端的全鏈條安全防護，切實保障消費者資金與信息的安全。目前微信支付和支付寶均對北京商報記者表示，如果因為刷臉支付導致賬號資金損失，可申請全額賠付。

責任編輯：楊希 1904183207