|
近日,中国人民银行科技司司长李伟发文称生物识别技术正迅速在各行各业推广应用,要冷静看待生物识别技术。并表示,中国人民银行作为监管部门之一,对于新技术在金融领域的应用高度敏感,正在加快制定人脸识别、活体检测、个人信息保护等相关管理标准制度。
文中,他阐述了一系列针对生物识别尤其是人脸识别技术在支付领域应用的观点,其中有两点值得注意:
1、由于安全性差别悬殊,刷脸支付的线上和线下应用场景应予以谨慎区分。
2、人脸识别支付需要体现用户资金的自主支配权,“人脸识别+支付口令”是目前兼顾安全与便捷的实现方式。
一、刷脸支付的线上线下差别监管
在李伟看来,线下刷脸支付技术已较为成熟,具备了试点应用的基本条件。目前,无论是银行、卡组织还是支付机构,都在进行线下刷脸支付的布局和试点。因此,规范引导人脸识别技术在线下支付场景的应用,有助于满足安全便捷支付服务的要求,提升现有受理环境资源使用效能,激发我国金融系统主动创新活力。
但在线上,他认为人脸识别仍存在诸多风险,暂不具备应用条件,若要应用推广需采用可信执行环境(TEE)、安全单元(SE)等技术加强风险防控。据移动支付网了解,目前银行、卡组织在试推行的线下刷脸支付设备需要经过严格的金融认证,具备相应的安全能力,以保证数据存储和交易安全。基于智能手机的线上支付,在安全可控能力上显然不够。
实际上,另一方面线上刷脸支付的应用主要受制于并非所有智能手机的摄像头都具备主动进行活体检测的能力,因此在对人脸的防范假体攻击能力上较为欠缺。目前诸多在智能手机上进行人脸识别认证的操作都需要配合“张嘴、眨眼、摇头”等动作来进行,倘若应用在支付上显然不够便捷和智能。然而,据移动支付网了解,某支付机构目前已经在手机端开通了刷脸支付功能,相应地采用了“第一次需输入支付密码、换手机需重新登录和输入密码”等风控措施来解决安全问题,这样无法从源头解决问题。
二、人脸识别+支付口令会成为趋势吗?
《中国人民银行支付结算办法》第十九条规定,银行应依法维护用户资金的自主支配权。在支付交易时,银行卡交易需用户提供实体卡片并输入密码,条码支付需用户打开手机APP并向商户展示条码,手机PAY需用户主动唤起支付功能(如双击电源键)并验证身份,这些方式均不同程度体现了用户自主意愿。
而在刷脸支付上,李伟认为个别机构仅靠人脸特征判断用户身份,存在一定的安全隐患和系统性技术风险。他表示,相关部门经过前期深入调查研究,结合行业实践探索情况,目前来看,“人脸识别+支付口令”是兼顾安全与便捷的实现方式。另外,在人脸支付推广过程中可加强交易验证管理,建议综合运用支付口令、活体检测、数据标签等实现多因素交易验证,提高交易安全强度,提升支付交易抗抵赖能力。
目前,以某支付机构线下刷脸支付为例,其通过“人脸识别+手机号”的方式实现支付,部分常用场景也可以实现免输入手机号的操作。但实际上人脸识别和手机号只是用来确认账户的过程,和传统的支付流程还是有一些区别,无法体现用户意愿,交易验证强度较弱,存在一定安全隐患。
而按照商业银行“人脸识别+支付口令”的操作来看,则是将人脸特征作为了关联支付账户的媒介,再通过支付口令、无感活体检测的方式实现交易验证,整个流程与“银行卡+输入密码”的操作如出一辙,安全性更高,也符合持卡人的用户习惯。
最后,李伟强调了技术创新与市场的热情给生物识别安全带来了挑战,需要尽快完善相关法律法规并形成多维度、立体式的监管体系。一方面要明确个人生物特征信息采集、传输、存储、利用等环节的安全管理要求,为生物识别技术金融应用提供制度保障;另一方面要引导金融机构运用标记化技术进行数据脱敏、隐私计算、分散存储等科技手段加强生物特征信息保护,提升风险技防能力。
本文源自移动支付网
更多精彩资讯,请来金融界网站(www.jrj.com.cn)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|