|
来源:人民日报中央厨房-点金工作室
相信很多人已经尝过刷脸付款的便利:不用银行卡甚至不需要手机,只要刷下脸,就能进行小额消费支付了———刷脸支付已经来了!如何认识刷脸支付?如何发挥其优势、避免其弊端?中国支付清算协会(下称“协会”)日前组织制定并发布了《人脸识别线下支付行业自律公约(试行)》(下称《公约》),明确刷脸支付先从线下场景试点,并为支付从业者做出相关自律规范---刷脸支付新规来了!。
本《公约》发布与试行,既维护公共利益,也鼓励支付行业创新发展,体现了监管部门对金融科技创新的包容态度,也为未来正式的刷脸支付监管办法出台积累经验。
线上、线下应用刷脸支付
刷脸支付,就是运用人脸识别技术作为支付活动的交易阶段的身份识别与支付授权的方法,去验证支付工具与支付指令的真实性、唯一性与不可撤销性。刷脸支付彻底将支付工具数字化,而且将原有的支付交易流程压缩。刷脸支付和条码支付创新一样,只是提高了支付的交易阶段的效率,并没有改变支付业务的本质特征。
刷脸支付的关键技术是人脸识别技术,而人脸识别技术中的一个关键技术是“活体检测”,即通过硬件与软件技术检验被分析的人脸是否属于活体人脸。最简单的是要求用户轻微左右或上下摇动头部,抑或使用专业技术,如3D结构光/TOF(time of flight)、近红外活体检测技术等。之所以活体检测如此关键,是为了防范有人使用一张照片,或者3D打印的人脸面具去欺骗人脸识别系统。因而人脸识别技术的可靠性,特别是活体检测技术的可靠性对于刷脸支付的安全性有着决定性的作用。
我国人脸识别的运用日益普遍,为刷脸支付的商业落地创造了独一无二的条件与基础。我们的刷脸支付商业应用场景主要分为线上与线下。
所谓线上场景,主要是指将人脸识别活动应用于开放网络环境,通过普通的移动终端(如智能手机)进行人脸信息采集与验证。而《公约》试行的线下场景是指在专用终端及专门活体检测设备上完成人脸识别,并在充分考虑了具体场景与业务流程的风险点,加以制度防范后的消费支付业务、金融业务等。其最常见的应用场景是在封闭环境下使用人脸识别ATM机具进行现金存取业务。
刷脸支付可能面临四大风险
根据刷脸支付的场景划分,其风险表征既有共同性,也有特殊性。共同性是,刷脸支付在提升支付服务便捷性的同时,也存在一些可能发生的共性风险:
一是信息泄露风险。人脸特征具有唯一性与不可再生性,与人类生命相伴而生,不法分子可通过远程、非接触方式,在商场、旅馆、饭店、街道等公共场所非法批量获取用户人脸信息,导致基于人脸特征的身份认证系统可被轻易绕过,危害程度较大。另一方面,人脸特征数据失窃或被盗用,因其不可再生性,将产生“我证明是我”的伦理难题。
二是假体攻击风险。人脸识别技术难以判断识别对象是否为真实活体,不法分子通过照片、视频、高仿面具等手段,仿冒用户人脸进行2D或3D攻击,且随着人工智能、大数据等技术不断发展演进,新型攻击手段不断出现,可能对用户资金安全造成严重威胁。
三是算法漏洞风险。目前,活体检测、人脸识别算法仍在快速迭代,识别通过率、误识率等关键指标相互关联、难以同时兼顾,且随光照、遮挡等外界环境因素干扰较大,可能存在隐藏的未知漏洞,一旦被不法分子发现并加以利用,易导致活体检测或人脸识别失效,造成系统风险。
四是非授权支付风险。刷脸支付将三个贯序流程压缩为一个人脸扫描动作,那么对于非授权支付应该如何重新界定?如隔空盗刷问题,即通过远程、非接触方式在用户本人毫无察觉的情况下获取用户的人脸信息,且手机号码也极易被获取,“隔空盗刷”现象就极易出现。问题在于,即使采用基于保护消费者权益的救济原则,要求支付服务提供商举证“盗刷”业务属于用户主动授权行为,也会在用户侧产生严重的道德风险。进一步,与条码支付通过区分主动扫码与被动扫码两种方式解决非授权支付风险不同,人脸扫描无法区分主动扫脸,或被动扫脸,因此,刷脸支付或者说未来的无感支付可能不再有清晰的发起、授权、验证等逐一和贯序流程,特别是在分工日益细化的第三方、第四方支付行业,这将带来较为严重的法律合规风险。因此,《公约》第二章第八条强调,刷脸支付时,会员单位应采用支付口令或其他可靠的技术手段,确保支付行为是经本人主动确权。
相较于线下场景,线上场景刷脸支付的风险更具特殊性:开放的网络环境与没有硬件加固的普通终端,会加剧信息泄露风险、假体攻击风险与非授权支付风险,也使得用户授权的主动性与真实性更加难以举证,从而形成多种风险的叠加效应,因而现阶段线上场景未被鼓励发展。
对于线下场景,尤为突出的风险点是免密。由于线下场景多发生在商场、旅馆、饭店、街道等各种公共场所,过度的便捷不仅给不法分子带来可乘之机,同时免密会造成将用户人脸作为支付授权验证的唯一方式,一旦人脸特征数据丢失、被盗用,会使用户在缺乏第三方权威认证的情况下无法通过密码重置的方式找回自己的账户与账户里的财产,这无疑会形成严重的系统性风险。
同时也应看到,现阶段,线上场景的刷脸支付业务存在诸多现阶段无法克服的技术与制度障碍,应继续冻结开展线上场景的刷脸支付业务,明确数据脱敏、隐私计算、分散存储等安全红线;尽快发布线下场景的刷脸支付技术安全原则,尽快建立国家级人脸特征(生物特征)数据库,在源头上规范人脸特征(生物特征)的采集、分析、加工与使用,使刷脸支付规范、持续和稳健发展,
(人民日报中央厨房点金工作室专稿 作者赵鹞系中国社科院支付清算研究中心特约研究员)
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|