地鐵、超市、便利店、藥店……隨著應(yīng)用場景愈加廣泛，刷臉支付這項(xiàng)支付新體驗(yàn)正在巨頭力推之下試圖掀起又一次支付變革。但新生事物成長與完善尚需時間，面對人臉識別支付應(yīng)用可能存在的安全隱患，央行科技司司長李偉近日再度示警，不要簡單地將人臉特征作為唯一的交易驗(yàn)證因素，必須根據(jù)風(fēng)險(xiǎn)等級結(jié)合用戶口令等其他因素進(jìn)行多因素認(rèn)證。

　　央行再度示警

　　當(dāng)前，在金融反欺詐的手段中，人臉識別逐漸普遍，不過亦引發(fā)一些擔(dān)憂。央行科技司司長李偉在9月20日出席活動時對于該項(xiàng)技術(shù)在金融交易驗(yàn)證中存在的隱患進(jìn)行示警。

　　李偉表示，人臉屬于弱隱私生物特征，信息誤用風(fēng)險(xiǎn)比較大。現(xiàn)實(shí)生活中通常綜合人臉、聲音、體態(tài)等多個弱隱私特征來認(rèn)識他人，不光看你的臉，還要聽你的聲音、看你的動作，綜合判斷“你是誰”，來認(rèn)識一個人。這些特征普遍顯露在外，往往容易通過遠(yuǎn)程非接觸的方式，在本人豪無察覺的情況下無聲無息地采集，當(dāng)前這是難以避免的現(xiàn)象。問題在于部分機(jī)構(gòu)高估了弱隱私特征的識別作用，在網(wǎng)絡(luò)空間僅依靠單一特征進(jìn)行金融交易驗(yàn)證，存在嚴(yán)重隱患。

　　李偉同時表示，針對人臉識別支付應(yīng)用，由于線上開放的網(wǎng)絡(luò)環(huán)境中存在諸多風(fēng)險(xiǎn)，應(yīng)用條件不成熟，而線下應(yīng)用風(fēng)險(xiǎn)相對可控，基本具備試點(diǎn)應(yīng)用的條件。不過要遵循相應(yīng)的原則，其中包括數(shù)據(jù)采集應(yīng)提前告知信息使用方式，明確獲得客戶授權(quán)，避免與需求無關(guān)的特征采集，確保人臉特征采集的合理性和必要性；考慮到人臉識別過程悄無聲息，金融機(jī)構(gòu)要嚴(yán)格落實(shí)消費(fèi)者權(quán)益保護(hù)法，充分尊重用戶的主觀意愿，保護(hù)用戶的知情權(quán)、財(cái)產(chǎn)安全權(quán)等合法權(quán)益，不得在用戶不知情、未授權(quán)的情況下擅自發(fā)起交易，不要簡單地將人臉特征作為唯一的交易驗(yàn)證因素，必須根據(jù)風(fēng)險(xiǎn)等級結(jié)合用戶口令等其他因素進(jìn)行多因素認(rèn)證，平衡好金融服務(wù)的安全與便捷。后續(xù)，央行將對此強(qiáng)化監(jiān)督檢查和安全評估工作。

　　北京商報(bào)記者注意到，這已不是央行首次公開提醒人臉識別存在的安全隱患。早在今年7月，李偉就曾提到，“現(xiàn)在有的技術(shù)在3公里之外就能識別人臉，客戶沒有表達(dá)主觀意愿就去刷臉，這是多么可怕的一件事情”。

　　安全隱患引擔(dān)憂

　　隨著人臉識別的普及，刷臉支付這一新的支付體驗(yàn)也開始進(jìn)入大眾視野。盡管人臉識別已經(jīng)有較多的應(yīng)用場景，但此前刷臉支付遲遲未能投入商用，難點(diǎn)在于支付環(huán)節(jié)的應(yīng)用安全性要求更高、線下場景更為復(fù)雜，以及公開環(huán)境、公共設(shè)備的挑戰(zhàn)更大。

　　2017年9月1日，支付寶在肯德基的KPRO餐廳上線了刷臉支付，省去了手機(jī)介質(zhì)，通過刷臉即可支付，這是刷臉支付在全球范圍內(nèi)的首次商用試點(diǎn)。自2018年以來，支付寶和微信支付相繼推出刷臉支付機(jī)“蜻蜓”和“青蛙”，瞄準(zhǔn)線下支付場景，試圖掀起又一次支付變革。

　　為了推動刷臉支付快速普及，雙方在推廣過程中，往往伴隨補(bǔ)貼獎勵活動。比如，微信支付對刷臉支付服務(wù)商有一定的補(bǔ)貼，主要是基于硬件設(shè)備結(jié)合刷臉支付筆數(shù)的獎勵，針對普通用戶的營銷活動有隨機(jī)立減等活動。如今，地鐵、超市、便利店、藥店……在支付寶、微信支付兩大巨頭的大力推廣之下，刷臉支付在線下支付場景中的應(yīng)用越來越廣泛。

　　北京商報(bào)記者在某蛋糕店使用支付寶“蜻蜓”刷臉支付時發(fā)現(xiàn)，點(diǎn)擊屏幕刷臉支付，基本1秒識別后直接顯示出記者打碼后的支付寶賬號，下方顯示確認(rèn)支付，點(diǎn)擊便已成功扣款。屏幕顯示，目前支付寶刷臉支付有隨機(jī)立減活動，最高288元，不過店員告訴記者，目前使用刷臉支付的人較少，多數(shù)顧客仍會選擇支付寶付款碼掃碼支付。

　　“從實(shí)用角度看，我更愿意使用不暴露個人這么多生物特征的驗(yàn)證方式，人臉識別驗(yàn)證從體驗(yàn)上讓我感覺不舒服，也不想被相應(yīng)機(jī)構(gòu)獲取我人臉識別數(shù)據(jù)。”在與業(yè)內(nèi)交流時，北京商報(bào)記者發(fā)現(xiàn)，隱私風(fēng)險(xiǎn)、體驗(yàn)問題以及對刷臉支付安全性的擔(dān)憂成為用戶不愿輕易使用刷臉支付的原因。

　　前段時間一款名為ZAO的App爆火，用戶上傳一張照片，用AI換臉功能，將短視頻中的演員換成自己的臉，就可以“過足戲癮”。而在目前人臉識別技術(shù)的精準(zhǔn)度還達(dá)不到100％的情況下，對相似度高的臉很難避免識別誤差。此前不乏有漏洞案例曝出，比如兒子能解開媽媽的臉部識別解鎖、雙胞胎妹妹刷臉劃走姐姐賬戶錢、3D打印人臉成功刷臉支付等，這些都對刷臉支付的安全性提出了更高的考驗(yàn)。

　　關(guān)于刷臉支付的安全性，支付寶對北京商報(bào)記者表示，支付寶的“刷臉支付”采用的是3D人臉識別技術(shù)，在進(jìn)行人臉識別前，會通過軟硬件結(jié)合的方式進(jìn)行檢測，來判斷采集到的人臉是否是照片、視頻或者軟件模擬生成的。微信支付團(tuán)隊(duì)方面表示，微信刷臉支付使用3D活體檢測技術(shù)，綜合使用3D、紅外、RGB等多模態(tài)信息，可以抵御視頻、紙片、面具等的攻擊，部分用戶需要輸入與微信賬號綁定的手機(jī)號或掃描二維碼等進(jìn)行校驗(yàn)。

　　探索輔助驗(yàn)證方式

　　“如央行領(lǐng)導(dǎo)所說，有技術(shù)可以在3公里之外檢測人臉�，F(xiàn)在高端智能手機(jī)鏡頭可以放大倍數(shù)，甚至有的手機(jī)都能拍月亮，使用這類設(shè)備也可從遠(yuǎn)處獲取人臉數(shù)據(jù)，不經(jīng)過你允許，再掃描你的人臉，銀行卡是在兜里面的，人臉是露在外面的，考慮到用戶是不是真的有意愿使用人臉支付，尚需要有其他驗(yàn)證手段�！� 蘇寧金融研究院金融科技中心主任孫揚(yáng)如是說。

　　孫揚(yáng)對北京商報(bào)記者表示，央行領(lǐng)導(dǎo)特別提到要保證客戶表達(dá)意愿，并且用戶在不同環(huán)境、商戶、時間下的支付交易風(fēng)險(xiǎn)等級不同，必須根據(jù)支付交易的風(fēng)險(xiǎn)等級進(jìn)行多重驗(yàn)證。人臉識別支付應(yīng)用可以探索通過手動輸入密碼、短信驗(yàn)證碼、語音驗(yàn)證、靜脈、指紋驗(yàn)證、數(shù)字盾牌等方式來輔助人臉識別認(rèn)證。

　　今年8月央行發(fā)布的金融科技發(fā)展規(guī)劃中也提出，將探索人臉識別線下支付安全應(yīng)用，借助密碼識別、隱私計(jì)算、數(shù)據(jù)標(biāo)簽、模式識別等技術(shù)，利用專用口令、“無感”活體檢測等實(shí)現(xiàn)交易驗(yàn)證，突破1：N人臉辨識支付應(yīng)用性能瓶頸，由持牌金融機(jī)構(gòu)構(gòu)建以人臉特征為路由標(biāo)識的轉(zhuǎn)接清算模式，實(shí)現(xiàn)支付工具安全與便捷的統(tǒng)一。

　　目前，刷臉支付商業(yè)化仍處于初期階段，新事物的成長尚需時間。孫揚(yáng)表示，發(fā)展刷臉支付、刷臉交易的機(jī)構(gòu)，首先應(yīng)當(dāng)確保安全，確保用戶知情的前提下，合法獲得用戶授權(quán)，還需確保人臉生物特征數(shù)據(jù)沒有超范圍的收集，人臉數(shù)據(jù)沒有被用在其他用途。

　　李偉指出，鑒于人臉識別高度依賴人工智能算法模型，攻防技術(shù)不斷迭代升級，因此要主動建立健全風(fēng)險(xiǎn)賠付資金、保險(xiǎn)計(jì)劃、應(yīng)急處置等風(fēng)險(xiǎn)補(bǔ)償機(jī)制，綜合運(yùn)用多種信息技術(shù)，加強(qiáng)人臉特征信息端到端的全鏈條安全防護(hù)，切實(shí)保障消費(fèi)者資金與信息的安全。目前微信支付和支付寶均對北京商報(bào)記者表示，如果因?yàn)樗⒛樦Ц秾?dǎo)致賬號資金損失，可申請全額賠付。

　　北京商報(bào)記者 岳品瑜 馬嫡