刷臉支付安全嗎？最全解析來了！

　　隨著人臉識別應用場景陸續落地，刷臉市場競爭已進入白熱化階段，甚至有人説刷臉支付或成為移動支付後的下一個大眾支付風口。

　　那麼，刷臉支付，你願意嘗試嗎？

　　《經濟參考報》日前在線上開展了一個小範圍的問卷調查，調查結果顯示，有不少受訪者認為刷臉支付存在臉部信息洩露、照片視頻和其他形式的偽冒、支付場景無法支持高效準確識別等安全風險。

　　針對用戶的種種擔憂，記者採訪諸多業內人士，整體而言，人臉識別借助深度學習的應用與發展，識別通過率明顯提升，但是和任何其他方案一樣，沒有一種單一的安全解決方案是“萬全之策”，人臉識別的廣泛應用絕不意味著要拋棄其他一些傳統的安全認證方式。人臉識別支付確實給客戶帶來了更加便捷的體驗，但是支付機構的創新必須建立在安全的基礎之上。

　　記者了解到，有關部門目前正在推進人臉識別領域相關金融標準的制定。央行相關人士最近也明確指出，針對人臉識別、支付應用熱點，由於線上開放的網絡環境中存在諸多風險，應用條件不成熟，而線下應用風險相對可控，基本具備試點應用的條件，機構相關交易應該遵循支付交易要堅持多重認證的原則。

　　小調查：“刷臉支付”你敢嗎？

　　有人認為，刷臉支付或成為移動支付後的下一個大眾支付風口，它讓支付脫離任何外在設備，讓“懶人”獲得更好的支付體驗。

　　當前，隨著人臉識別應用場景陸續落地，刷臉市場競爭已然進入白熱化階段。早在2017年8月底，京東在線下零售店京東之家開始測試“刷臉”支付服務。去年2月，支付寶在刷臉推介會上展示了最新的商用版刷臉産品——“蜻蜓”。微信作為支付寶的頭號競爭對手，在今年3月，推出了自己的刷臉産品——“青蛙”。此外，工行、建行等銀行均推出了刷臉支付相關方案，美團與小象生鮮曾合作試點刷臉支付，並且在北京地區有商業落地。

　　雖然刷臉支付快速普及，但用戶對刷臉支付的安全性仍存在一定質疑。

　　你使用過刷臉支付嗎？你認為刷臉支付安全嗎？《經濟參考報》近期開展了一個小範圍調查，有效樣本量為46人，其中男性18人，女性28人，年齡在18至25歲的樣本人數佔比為73%，本科及以上學歷佔比為75%。調查結果顯示，不少受訪者認為刷臉支付存在安全風險。

　　除設備不支持，線下應用場景不足等客觀原因外，大部分受訪者不使用刷臉支付的原因一方面是由於指紋支付在支付市場上仍佔據主流地位。作為當今最流行的生物支付方式，部分受訪者認為指紋支付比刷臉支付更便捷、更安全，一女性受訪者表示“指紋支付已經夠用，未來並不願意嘗試刷臉支付”。另一方面，對刷臉支付的安全性存在較多質疑是部分受訪者不願意使用或不願意頻繁使用的原因。

　　調查發現，受訪者認為刷臉支付存在的安全風險主要有：

　　•臉部信息洩露

　　•照片、視頻和其他形式的偽冒

　　•支付場景無法支持高效準確識別，如雙胞胎識別

　　吸人眼球的負面報道和真假難辨的傳言，潛移默化在影響用戶的認知。一旦“刷臉支付”和“安全”兩個關鍵詞出現組合，“信息被洩露”、“雙胞胎識別障礙”、“3D列印頭像偽冒支付成功”等詞語或事件也往往被自動觸發。調查發現，用戶是否選擇啟用新的支付方式，安全系數是最關鍵的指標。

　　刷臉安全嗎？業內人士這麼説

　　通過上面的小調查可以看出，普通大眾對人臉識別這種新興的支付方式或多或少還是存在一定質疑。那麼，人臉識別究竟是否安全？

　　權威數據顯示，人臉識別借助深度學習的應用與發展，識別通過率明顯提升。例如，結合海量數據挖掘、神經網絡等技術，千萬級別人臉辨識的通過率可達99%以上。

　　而針對大家普遍存在的一些擔憂，記者也採訪了一些業內專家。

　　擔憂一：用一張照片和一段視頻就能成功刷臉？

　　業內人士表示，比起初代的2D人臉識別技術，現在市場上應用的3D人臉識別技術，基本可杜絕這類倣冒。3D人臉識別技術在進行人臉識別前，會通過軟硬體結合的方式進行活體檢測，來判斷採集到的人臉是否是照片、視頻或者軟體模擬生成的，有效避免人臉偽造帶來的身份冒用。另外，很多的手機APP或是線下的智慧終端在進行身份驗證時，會要求用戶眨眼睛或是做幾個連續的指定動作，以確定為活體。

　　擔憂二：雙胞胎或長相非常相近的人能準確區分嗎？

　　在2015年的漢諾威CeBIT展的開幕式上，針對刷臉支付是否能識別出雙胞胎的提問，馬雲回答稱，“雙胞胎識別難度確實有點大，畢竟任何一種技術都不是萬能的。但是如果加上一層指紋識別或密碼驗證就可以識別出來”。接受記者採訪的業內人士也表示，“雙胞胎”確實屬於一個難以攻克的難題，單純依靠人臉識別不能保證安全性，需要輔助其他手段來交叉驗證。

　　擔憂三：人臉信息洩露了怎麼辦？

　　伴隨著人工智能、雲計算、大數據等技術逐步規模應用，生物特徵數據存儲集中度越來越高。一旦熱點應用的生物特徵庫被攻破，極易導致大規模隱私洩露，甚至會引發系統性風險。而生物信息的無法重建也更加劇了用戶對信息洩露的擔憂，畢竟我們沒有另一張臉可以換。

　　萬事達卡中國區總裁常青此前在接受《經濟參考報》記者採訪時表示，就人臉識別而言，眾多實踐都傾向於將生物識別信息應儲存于設備而不是集中保存在某機構的數據庫中，以防止因駭客攻擊造成大規模的數據泄漏。“無論是指紋還是人臉識別，這些信息都儲存在手機的加密安全晶片中，這些晶片只能被授權的應用讀取，所以並沒有洩露的風險。即便是在一定情形下，生物識別信息必須要由機構的數據庫來保存，我們也認為應該建立一個分散保存的系統並且確保傳輸過程中信息不可被破解和追溯。”他説。

　　記者也了解到，有關部門目前正在推進人臉識別領域相關金融標準的制定，以明確在這部分信息採集、傳輸、存儲、利用等環節的安全管理要求。

　　監管定調多因素認證更安全

　　事實上，人臉識別的相關風險也引起了監管部門的高度關注。近期，針對人臉識別風險問題，多個監管部門密集發聲。

　　央行日前發佈的《金融科技（FinTech）發展規劃（2019-2021年）》提出，探索人臉識別線下支付安全應用，借助密碼識別、隱私計算、數據標簽、模式識別等技術，利用專用口令、“無感”活體檢測等實現交易驗證，突破1:N人臉辨識支付應用性能瓶頸，由持牌金融機構構建以人臉特徵為路由標識的轉接清算模式，實現支付工具安全與便捷的統一。

　　央行科技司司長李偉在9月20日舉辦的金融網絡安全論壇上也表示，在網絡空間僅依靠人臉等單一特徵進行金融交易驗證，存在嚴重交易隱患，機構在相關交易時，必鬚根據風險等級結合用戶口令等其他因素進行多因素認證。

　　李偉認為，人臉屬於弱隱私生物特徵，信用誤用風險比較大。現實生活中通常綜合人臉、聲音、體態等多個弱隱私特徵來認識他人，不光看你的臉，還要聽你的聲音、看你的動作，綜合判斷你是誰，來認識一個人，這些特徵普遍暴露在外，往往容易通過遠程非接觸的方式，在本人豪無察覺的情況下無聲無息的採集，這是無法避免的現象。問題在於，部分機構高估了弱隱私特徵的識別作用，在網絡空間僅依靠單一特徵進行金融交易驗證，存在嚴重交易隱患。

　　李偉表示，針對人臉識別、支付應用熱點，由於線上開放的網絡環境中存在諸多風險，應用條件條件不成熟，而線下應用風險相對可控，基本具備試點應用的條件，機構相關交易應該遵循支付交易要堅持多重認證的原則。

　　“考慮到人臉識別過程悄無聲息，要嚴格落實消費者權益保護法，充分尊重用戶的主觀意願、保護用戶的知情權、財産安全權等合法權益，不得在用戶不知情未授權的情況下擅自發起交易，不允許將人臉特徵作為唯一的交易驗證因素，必鬚根據風險等級結合用戶口令等其他因素進行多因素認證，平衡好金融服務、安全與便捷。”李偉説。

　　交叉認證、多重認證的理念實際上是業內人士的共識，而生物識別只是多層級安全體系中的一部分。常青表示，面對安全風險，沒有哪個單一的解決方案是刀槍不入的。但如果我們能同時使用多層次的安全措施，就能將風險最小化。在於今年6月在上海舉行的Visa 2019亞太區安全峰會期間，Visa亞太區首席風險官Joe Cunningham認為，為了保證生物識別信息能夠合適的存儲並且合適的使用，應當鼓勵標準，基於標準建立自己的創新體制。生物識別只是方便快捷的一部分，還有其他的支付方法讓總體安全性更好。

　　事實上，在多家機構的人臉識別應用中，已開啟多重因素認證以保護交易安全。多數銀行手機APP為了確保交易的安全可靠，在一些安全等級較高的交易中均在推進多種方式組合在一起的交叉身份驗證。記者從一些銀行了解到，登陸手機APP可以單獨應用人臉識別進行驗證，但若用戶運用銀行手機APP進行轉賬等交易，並不會單獨應用人臉識別，而是與密碼等其他驗證方式共同進行認證。

　　支付寶方面也表示，支付寶App的刷臉登錄和刷臉支付，只能在密碼登錄和支付過的手機上才能開啟。如果一台手機從未用密碼登錄過，則不可能僅通過刷臉就完成登錄或支付。

　　整體而言，人臉識別支付確實給客戶帶來了更加便捷的體驗，但是支付機構的創新必須建立在安全的基礎上。

　　Visa産品和創新風險負責人Chackan Lai表示，生物信息的使用所帶來的便捷和用戶隱私保護之間需要一個平衡，其平衡點在哪取決於具體所在的國家和這個國家的文化。“通常來講，東方文化相對注重社會總體的福祉，西方文化可能更注重個人隱私，我們密切關注刷臉支付動態的進展，同時確保生物識別像其他任何新技術一樣，是非常負責任的被人們去使用的”。

　　作為用戶，為了確保手機支付安全，可做到以下：

　　•使用多層級安全驗證。沒有100%的安全的支付方法，在設置生物識別的同時，疊加其他認證方式，可以有效降低安全風險；

　　•設置複雜的手機鎖屏密碼和手勢驗證，有條件的情況下設置指紋或人臉識別；

　　•開啟隱私保護，儘量不在手機鎖定的螢幕上展示短信內容，也不將短信內容自動備份至雲伺服器等遠程位置；

　　•丟失手機後第一時間遠程抹除手機數據，或使用設備鎖等手機app提供的安全功能阻止其他用戶登錄自己的一些重要的app。　（記者 張莫 汪子旭）