近日,人民銀行科技司司長(zhǎng)李偉發(fā)文稱生物識(shí)別技術(shù)正迅速在各行各業(yè)推廣應(yīng)用,要冷靜看待生物識(shí)別技術(shù)�����。并表示���,人民銀行作為監(jiān)管部門之一,對(duì)于新技術(shù)在金融領(lǐng)域的應(yīng)用高度敏感���,正在加快制定人臉識(shí)別��、活體檢測(cè)�、個(gè)人信息保護(hù)等相關(guān)標(biāo)準(zhǔn)。
文中���,他闡述了一系列針對(duì)生物識(shí)別尤其是人臉識(shí)別技術(shù)在支付領(lǐng)域應(yīng)用的觀點(diǎn)���,其中有兩點(diǎn)值得注意:
1、由于安全性差別懸殊�����,刷臉支付的線上和線下應(yīng)用場(chǎng)景應(yīng)予以謹(jǐn)慎區(qū)分�����。
2��、人臉識(shí)別支付需要體現(xiàn)用戶資金的自主支配權(quán)��,而“人臉識(shí)別+支付口令”是目前兼顧安全與便捷的實(shí)現(xiàn)方式�。
刷臉支付的線上線下差別監(jiān)管
在李偉看來,線下刷臉支付技術(shù)已較為成熟���,具備了試點(diǎn)應(yīng)用的基本條件���。
目前����,無論是第三方支付巨頭還是銀聯(lián)���,都在進(jìn)行線下刷臉支付的布局和試點(diǎn)���。就拿和微信而言,其在線下的刷臉支付主要采用3D結(jié)構(gòu)光�、TOF、紅外雙目攝像頭等方式來進(jìn)行活體檢測(cè)���,一定程度上緩解了假體攻擊的威脅��。同時(shí)��,還在操作流程上,還采用了輸入手機(jī)號(hào)的方式來進(jìn)行驗(yàn)證���,通過大量的數(shù)據(jù)和算法來進(jìn)行風(fēng)險(xiǎn)控制�。
因此,規(guī)范引導(dǎo)人臉識(shí)別技術(shù)在線下支付場(chǎng)景的應(yīng)用����,有助于滿足安全便捷支付服務(wù)的要求,提升現(xiàn)有受理環(huán)境資源使用效能����,激發(fā)我國(guó)金融系統(tǒng)主動(dòng)創(chuàng)新活力。
但在線上����,他認(rèn)為人臉識(shí)別仍存在諸多風(fēng)險(xiǎn),暫不具備應(yīng)用條件����,若要應(yīng)用推廣需采用可信執(zhí)行環(huán)境(TEE)、安全元件(SE)等技術(shù)加強(qiáng)風(fēng)險(xiǎn)防控��。據(jù)移動(dòng)支付網(wǎng)了解����,目前銀聯(lián)在試推行的線下刷臉支付設(shè)備需要經(jīng)過嚴(yán)格的金融認(rèn)證,具備相應(yīng)的安全能力��,以保證數(shù)據(jù)存儲(chǔ)和安全���?�;谥悄苁謾C(jī)的線上支付��,在安全可控能力上顯然不夠�����。
實(shí)際上���,另一方面線上刷臉支付的應(yīng)用主要受制于并非所有智能手機(jī)的攝像頭都具備主動(dòng)進(jìn)行活體檢測(cè)的能力��,因此在對(duì)人臉的防范假體攻擊能力上較為欠缺�����。目前諸多在智能手機(jī)上進(jìn)行人臉識(shí)別認(rèn)證的操作都需要配合“張嘴��、眨眼����、搖頭”等動(dòng)作來進(jìn)行���,倘若應(yīng)用在支付上顯然不夠便捷和智能��。然而�,據(jù)移動(dòng)支付網(wǎng)了解��,目前已經(jīng)在手機(jī)端開通了刷臉支付功能���,相應(yīng)地采用了“次需輸入支付密碼��、換手機(jī)需重新登錄和輸入密碼����、盜刷全額賠付”等風(fēng)控措施來解決安全問題����,這樣的方式盡管有效,但無法從源頭解決問題�����。
人臉識(shí)別+支付口令會(huì)成為趨勢(shì)嗎�?
《人民銀行支付結(jié)算辦法》第十九條規(guī)定,銀行應(yīng)依法維護(hù)用戶資金的自主支配權(quán)����。在支付時(shí)����,銀行卡需用戶提供實(shí)體卡片并輸入密碼�����,條碼支付需用戶打開手機(jī)APP并向商戶展示條碼����,手機(jī)PAY需用戶主動(dòng)喚起支付功能(如雙擊電源鍵)并驗(yàn)證身份,這些方式均不同程度體現(xiàn)了用戶自主意愿���。
而在刷臉支付上�,李偉認(rèn)為個(gè)別機(jī)構(gòu)僅靠人臉特征判斷用戶身份�,存在一定的安全隱患。
他表示�����,相關(guān)部門經(jīng)過前期深入調(diào)查研究��,結(jié)合行業(yè)實(shí)踐探索情況���,目前來看���,“人臉識(shí)別+支付口令”是兼顧安全與便捷的實(shí)現(xiàn)方式�����。另外,在人臉支付推廣過程中可加強(qiáng)身份認(rèn)證管理�,建議綜合運(yùn)用支付口令、活體檢測(cè)�����、數(shù)據(jù)標(biāo)簽等實(shí)現(xiàn)多因素驗(yàn)證���,提高安全強(qiáng)度��,提升支付抗抵賴能力�����。
目前��,以和微信為例的線下刷臉支付����,其通過“人臉識(shí)別+手機(jī)號(hào)”的方式進(jìn)行身份認(rèn)證從而實(shí)現(xiàn)代扣支付,部分常用場(chǎng)景也可以實(shí)現(xiàn)免輸入手機(jī)號(hào)的操作��。但實(shí)際上人臉識(shí)別和手機(jī)號(hào)只是用來確認(rèn)賬戶進(jìn)行代扣的過程���,和傳統(tǒng)的支付流程還是有一些區(qū)別�����。
而按照銀聯(lián)“人臉識(shí)別+支付口令”的操作來看���,則是將人臉特征作為了關(guān)聯(lián)支付賬戶的媒介,再通過支付口令�、無感活體檢測(cè)的方式實(shí)現(xiàn)驗(yàn)證,整個(gè)流程與“銀聯(lián)卡+輸入密碼”的操作如出一轍����。于后續(xù)是否也會(huì)加入“小額免密”來優(yōu)化操作體驗(yàn),現(xiàn)在不得而知����,畢竟每次刷臉支付都要輸入支付密碼的話還是稍有麻煩的。
���,李偉強(qiáng)調(diào)了技術(shù)創(chuàng)新與市場(chǎng)的熱情給生物識(shí)別安全帶來了挑戰(zhàn)�,需要盡快完善相關(guān)法律法規(guī)并形成多維度、立體式的監(jiān)管體系�。一方面要明確個(gè)人生物特征信息采集、傳輸�、存儲(chǔ)、利用等環(huán)節(jié)的安全管理要求��,為生物識(shí)別技術(shù)金融應(yīng)用提供制度保障��;另一方面要引導(dǎo)金融機(jī)構(gòu)運(yùn)用標(biāo)記化技術(shù)進(jìn)行數(shù)據(jù)�����、隱私計(jì)算��、分散存儲(chǔ)等科技手段加強(qiáng)生物特征信息保護(hù)�,提升風(fēng)險(xiǎn)技防能力�����。
