3月21日,一套可用於刷臉支付的3D人臉感知攝像頭模組正式發布，隨著網絡和手機普及，微信、支付寶這類錢包支付使消費者出門無需攜帶現金和銀行卡，支付變得更方便了。作為目前人臉識別技術最廣泛的一種應用方式，刷臉支付逐漸在全國多處落地商用。

　　就如其他網絡產品，刷臉支付從問世起，其安全性就受到質疑。作為網絡安全專家，上海眾人網絡安全技術有限公司董事長談劍鋒在多個場合提醒，盡量不要在網絡上使用人臉識別技術作為唯一的認証方法。作為人的生物特征，人臉數據具有唯一性，當人臉數據進入計算機后，就可能會被截獲、被重構、被重放，存在比較大的安全風險。

　　刷臉支付真的會帶來安全風險嗎？如何保証自己的財產和隱私安全？

　　人臉數據被盜無法再生

　　在超市、餐廳、便利店，刷個臉就能把錢付了……去年底，支付寶推出一款“刷臉”支付產品，將“刷臉”支付的接入成本降低80%﹔銀聯也正式對外宣布推出“刷臉”支付，其實早在2017年，農業銀行、建設銀行等已在試點“刷臉取款”等業務了﹔蘇寧的無人店“蘇寧體育Biu”、京東線下的京東之家體驗店等也紛紛推出“刷臉支付”功能，“刷臉支付”被認為，能准確識別獨立的用戶個體、提升用戶的支付體驗。

　　廈門游仁信息科技有限公司負責人吳迪煒多年從事圖像等識別研究，他在接受科技日報記者專訪時表示，從目前的技術看，刷臉支付還是存在較大安全風險。

　　“目前刷臉支付存在兩大問題，一是失誤率比較高，這樣會降低用戶的使用體檢，比如蘋果公司是較早使用刷臉業務的，蘋果的刷臉還存在一定比例的失誤率﹔二是隻要數據被採集、上網，就可能存在被破譯和盜取的風險。”吳迪煒提醒說，對於黑客來說，是否盜取數據取決於數據的“價值量”，比如該客戶的存款量是否足夠高等。

　　專家對刷臉支付質疑的重點之一是人臉數據的唯一性。人們可能認為，人臉在網絡上使用，可能只是一張照片或圖片，但實際上卻並非如此。每個人都隻有一張臉、兩個虹膜、十個指紋，人臉、指紋、虹膜或筆跡、聲音、步態等都屬於生物識別的鑒別項目，對每個人來說，具有唯一性。

　　“任何一個數據進入到計算機裡面以后，都會變成計算機代碼，生物特征數據也不例外。”談劍鋒說，一旦這些數據被還原，並被黑客等犯罪分子拿到后，人們唯一的身份數據就丟失了，而且永遠沒辦法更換、再生，因此風險很大。

　　採用非技術手段兜底盜刷

　　中央財經大學中國互聯網經濟研究院、經濟學院及社會科學文獻出版社共同發布的《互聯網金融創新藍皮書：中國互聯網金融創新與治理發展報告（2018）》指出，互聯網支付創新業務、模式涌現，整個支付行業面臨大洗牌，目前刷臉支付等新支付模式已大規模出現，這對行業可能是個新挑戰。

　　其實，國外科技公司谷歌、蘋果等早在數年前就已推出了刷臉支付功能，為應對競爭，國內支付巨頭也紛紛布局。有人預測，隨著門檻的進一步降低，“刷臉支付”或在未來三年內呈現爆發式增長。

　　除了在支付領域外，如銀行卡開卡、信貸等金融業務也都採用了刷臉系統。科技日報記者曾在銀行新開銀行卡，除了要在自助系統前輸入身份証信息、驗証手機號外，還要通過人臉識別系統來印証﹔而中國平安推出的金融壹賬通供應鏈金融業務中，中小企業家在網上辦理信貸業務時，需要在手機攝像頭前“點點頭”“搖搖頭”和“眨眨眼”，來確証辦理人是企業主本人。

　　然而便利的背后是風險。在今年的央視3·15晚會上，一種小額免密免簽、帶有“閃付”功能的銀行卡或可讓卡裡的錢“閃沒”的視頻引起了廣泛關注。隨后，中國銀聯聲明，“隔空盜刷”是極少數個案，據中國銀聯和商業銀行統計，2015年業務開通以來，其風險比率為千萬分之二，遠低於萬分之一點一六的行業平均交易欺詐率。

　　“人臉等數據被盜取是無法完全杜絕的，你會發現銀行、支付寶等都是採用非技術手段來減少用戶的損失。”吳迪煒說，面對“隔空盜刷”問題，銀聯已明晰賠付政策的“風險全賠付”原則，每位持卡人每年最高累計賠付3萬元﹔對於超出上述范圍的風險損失，通過例外協商機制，持卡人的正常用卡損失均可以足額補償。而支付寶則是採用保險兜底的方法，來解決盜刷風險的。

　　刷臉是否安全離不開監管

　　面對新技術發展帶來的便利，消費者該如何保証自己的財產和隱私安全？吳迪煒說，在互聯網時代，每個人都是“透明”的，比如隻要上網，網絡軌跡都可以被辨識，這是無法避免的時代趨勢。作為消費者，要保証自己的信息安全就必須增強個人信息安全意識。

　　比如大額交易採用銀行發的動態密碼器、U盾等產品﹔在公共區域中，不要輕易連接WIFI，特別是沒有密碼的WIFI，即使連接上了也不進行轉賬、支付等操作，防止金融信息被黑客截獲﹔當收到的短信中有網絡鏈接的，不要輕易點擊，否則極易中木馬病毒，之后手機就可能被黑客控制﹔不要隨意掃二維碼，特別是來路不明的二維碼，其中很可能包含病毒或是木馬鏈接，也可能直接被轉走錢財﹔用手機下載 APP時，要看一下其權限設置，隻開放需要的權限即可等。

　　盡管很多廠商宣稱自己對採集的照片和人臉生物特征數據會進行脫敏處理，吳迪煒認為，脫敏的作用不大。保護用戶隱私不僅需要企業自律，更需要政府引導行業建立統一標准，筑起保護用戶隱私的堤壩。

　　目前，歐洲監管機構已在即將出台的數據保護法規中嵌入了一套原則，規定包括“臉紋”在內的生物信息屬於其所有者，使用這些信息需要征得本人同意。

　　“在互聯網時代，便捷和安全很難兩全，沒有一項技術是絕對安全的，技術只是輔助手段，用戶要提高安全防范意識，行業要自律，相關部門也要加強監管，才能更好地保護好個人財產和隱私信息安全。”吳迪煒說。

　　金融科技的創新，始終離不開監管的約束。對於刷臉支付，目前尚未出台較為詳細的監管文件。不過，央行曾在《中國人民銀行關於優化企業開戶服務的指導意見》（銀發〔2017〕288號）文中提出，鼓勵銀行使用人臉識別潛入開戶流程。

　　中央財經大學中國互聯網經濟研究院副院長歐陽日輝表示，在此背景下，加強法律法規研究，加強關鍵技術研發和安全體系研究，加強相關金融標准研究，建設公共服務平台和服務體系顯得越來越重要。

分享讓更多人看到