近日,中国人民银行科技司司长李伟发文称生物识别技术正迅速在各行各业推广应用,要冷静看待生物识别技术。并表示,中国人民银行作为监管部门之一,对于新技术在金融领域的应用高度敏感,正在加快制定人脸识别、活体检测、个人信息保护等相关标准。
文中,他阐述了一系列针对生物识别尤其是人脸识别技术在支付领域应用的观点,其中有两点值得注意:
1、由于安全性差别悬殊,刷脸支付的线上和线下应用场景应予以谨慎区分。
2、人脸识别支付需要体现用户资金的自主支配权,而“人脸识别+支付口令”是目前兼顾安全与便捷的实现方式。
刷脸支付的线上线下差别监管
在李伟看来,线下刷脸支付技术已较为成熟,具备了试点应用的基本条件。
目前,无论是第三方支付巨头还是银联,都在进行线下刷脸支付的布局和试点。就拿支付宝和微信而言,其在线下的刷脸支付主要采用3D结构光、TOF、红外双目摄像头等方式来进行活体检测,一定程度上缓解了假体攻击的威胁。同时,还在操作流程上,还采用了输入手机号的方式来进行验证,通过大量的数据和算法来进行风险控制。
因此,规范引导人脸识别技术在线下支付场景的应用,有助于满足安全便捷支付服务的要求,提升现有受理环境资源使用效能,激发我国金融系统主动创新活力。
但在线上,他认为人脸识别仍存在诸多风险,暂不具备应用条件,若要应用推广需采用可信执行环境(TEE)、安全元件(SE)等技术加强风险防控。据移动支付网了解,目前银联在试推行的线下刷脸支付设备需要经过严格的金融认证,具备相应的安全能力,以保证数据存储和交易安全。基于智能手机的线上支付,在安全可控能力上显然不够。
实际上,另一方面线上刷脸支付的应用主要受制于并非所有智能手机的摄像头都具备主动进行活体检测的能力,因此在对人脸的防范假体攻击能力上较为欠缺。目前诸多在智能手机上进行人脸识别认证的操作都需要配合“张嘴、眨眼、摇头”等动作来进行,倘若应用在支付上显然不够便捷和智能。然而,据移动支付网了解,支付宝目前已经在手机端开通了刷脸支付功能,相应地采用了“第一次需输入支付密码、换手机需重新登录和输入密码、盗刷全额赔付”等风控措施来解决安全问题,这样的方式尽管有效,但无法从源头解决问题。
人脸识别+支付口令会成为趋势吗?
《中国人民银行支付结算办法》第十九条规定,银行应依法维护用户资金的自主支配权。在支付交易时,银行卡交易需用户提供实体卡片并输入密码,条码支付需用户打开手机APP并向商户展示条码,手机PAY需用户主动唤起支付功能(如双击电源键)并验证身份,这些方式均不同程度体现了用户自主意愿。
而在刷脸支付上,李伟认为个别机构仅靠人脸特征判断用户身份,存在一定的安全隐患。
他表示,相关部门经过前期深入调查研究,结合行业实践探索情况,目前来看,“人脸识别+支付口令”是兼顾安全与便捷的实现方式。另外,在人脸支付推广过程中可加强身份认证管理,建议综合运用支付口令、活体检测、数据标签等实现多因素交易验证,提高交易安全强度,提升支付交易抗抵赖能力。
目前,以支付宝和微信为例的线下刷脸支付,其通过“人脸识别+手机号”的方式进行身份认证从而实现代扣支付,部分常用场景也可以实现免输入手机号的操作。但实际上人脸识别和手机号只是用来确认账户进行代扣的过程,和传统的支付流程还是有一些区别。
而按照银联“人脸识别+支付口令”的操作来看,则是将人脸特征作为了关联支付账户的媒介,再通过支付口令、无感活体检测的方式实现交易验证,整个流程与“银联卡+输入密码”的操作如出一辙。至于后续是否也会加入“小额免密”来优化操作体验,现在不得而知,毕竟每次刷脸支付都要输入支付密码的话还是稍有麻烦的。
最后,李伟强调了技术创新与市场的热情给生物识别安全带来了挑战,需要尽快完善相关法律法规并形成多维度、立体式的监管体系。一方面要明确个人生物特征信息采集、传输、存储、利用等环节的安全管理要求,为生物识别技术金融应用提供制度保障;另一方面要引导金融机构运用标记化技术进行数据脱敏、隐私计算、分散存储等科技手段加强生物特征信息保护,提升风险技防能力。
领取专属 10元无门槛券
私享最新 技术干货