“刷臉”支付強化安全管理 標準製定中
2019年06月11日00:11

  來源:經濟參考報

  識別通過率99%以上 關鍵步驟交叉認證

  “刷臉”支付強化安全管理 標準製定中

  經濟參考報 □記者 張莫 實習生 何蕊 北京報導

  “刷臉”日趨流行,多家銀行和支付機構已經在多個場景應用了人臉識別技術。習慣了密碼等傳統支付方式的人不禁要問:刷臉支付靠譜嗎?

  記者日前採訪多個業內人士瞭解到,人臉識別借助深度學習的應用與發展,識別通過率明顯提升,而結合一些其他的輔助身份認證手段以及大數據分析手段,能夠較大程度地確保交易的安全性。

  不過,人臉等生物信息的隱私安全問題也引發了關注。《經濟參考報》記者瞭解到,目前,有關部門正在推進人臉識別領域相關金融標準的製定,以明確在這部分信息採集、傳輸、存儲、利用等環節的安全管理要求。與此同時,業內人士也呼籲,應該加快製定和出台適應生物特徵識別技術應用的法律法規。

  服務數億用戶 場景應用陸續落地

  人臉識別技術通過身份特徵的數字化和隱形化,為身份核驗提供便捷高效的可選替代方案。牛津大學與萬事達卡合作研究的一份報告顯示,高達93%的消費者傾向於使用生物識別技術,且92%的銀行專業人士希望採用生物識別解決方案。

  多家銀行和支付機構已大量應用人臉識別技術。2015年,支付寶率先將人臉識別技術應用於用戶登錄後,這一技術先後用於實名認證、找回密碼、支付風險校驗等場景,迄今服務用戶超過數億。目前,支付寶的刷臉支付功能可應用於藥店、超市、便利店等眾多的線下零售場景。今年4月17日,支付寶宣佈推出第二代基於線下消費場景的刷臉支付機具“蜻蜓”。

  銀行方面,招商銀行是國內首家研究人臉識別技術的銀行。目前,已相繼推出了刷臉取款、刷臉轉賬、刷臉支付等功能。光大銀行的人臉識別技術也應用於賬戶登陸、轉賬、線上融資、線上申請辦卡等不同場景。

  值得注意的是,多數銀行手機APP為了確保交易的安全可靠,在一些安全等級較高的交易中均在推進多種方式組合在一起的交叉身份驗證。記者從一些銀行瞭解到,登陸手機APP可以單獨應用人臉識別進行驗證,但若用戶運用銀行手機APP進行轉賬等交易,並不會單獨應用人臉識別,而是與密碼等其他驗證方式共同進行認證。

  技術日趨成熟 多方案結合保安全

  伴隨著“人臉識別”在金融和支付領域應用的日益普及,一些人也對其識別的準確性提出了質疑,網絡上有人提出了類似“用照片代替真人能否識別出來”、“雙胞胎長相幾乎一樣能否識別出來”以及“做個假頭套是不是就能矇混過關”的疑問。記者在採訪中瞭解到,隨著目前技術的進步,人臉識別的識別通過率已經明顯提升。

  中國人民銀行科技司司長李偉撰文指出,人臉識別借助深度學習的應用與發展,識別通過率明顯提升。例如,結合海量數據挖掘、神經網絡等技術,千萬級別人臉辨識的通過率可達99%以上。

  以用照片或視頻代替真人或是戴假頭套仿冒的問題為例,業內人士表示,比起初代的2D人臉識別技術,現在市場上應用的3D人臉識別技術,可杜絕這類仿冒。螞蟻金服商學院研究員葉文添對記者說,支付寶線下推廣的“刷臉支付”採用的是3D人臉識別技術,在進行人臉識別前,會通過軟硬件結合的方式進行活體檢測,來判斷採集到的人臉是否是照片、視頻或者軟件模擬生成的,相比較於2D人臉識別技術,能更有效地避免各種人臉偽造帶來的身份冒用情況。另外,在一些銀行手機APP的應用中,銀行也會要求用戶眨眼睛或是做幾個連續的指定動作等,以確定為活體。

  而關於長相相近的人的誤識問題,招商銀行相關業務負責人對記者表示,這涉及人臉識別算法。人臉識別算法現今已非常成熟,其1:1比對的誤識率已可低於十萬分之一,足以達到商用的標準。同時,招行也可以採用大數據技術,在人臉識別算法的基礎上,結合對用戶屬性、位置等信息的綜合判斷,基本扼殺誤識的可能。多位業內人士也對記者表示,“雙胞胎”確實屬於一個難以攻克的難題,因此銀行才多會通過一些輔助認證、交叉認證的方式來確保交易的安全性。

  實際上,支付機構和銀行等保證支付和交易的安全性的手段也不僅僅是依靠人臉、指紋或密碼這樣的身份驗證方式,其更多的是構建一個完整的、多層次的安全措施體系。

  萬事達卡中國區總裁常青在接受《經濟參考報》記者採訪時表示,面對安全風險,沒有哪個單一的解決方案是刀槍不入的。但如果我們能同時使用多層次的安全措施,就能將風險最小化。他介紹,網上交易由於距離和設備的原因,很難進行有效的生物識別。而傳統網絡支付的信息比對又只限於簡單的卡號、姓名、有效期和CVC2等簡單信息。在這樣的情形下,其與業界合作開發了全球通用的3DS 2.0標準,讓交易可以包含更多信息(設備信息、IP地址等),讓商戶和金融機構都可以憑藉這些信息進行更準確的交易判斷,也提升了交易的可靠性。

  易造隱私泄露 治理體系待完善

  值得注意的是,伴隨著人臉識等生物識別技術在金融領域的應用蓬勃興起,其安全問題也成為社會普遍關注的熱門話題。

  李偉撰文指出,由於生物特徵涉及人臉、虹膜、聲紋等用戶隱私信息,其固有特性、採集方式、集中存儲的特點導致信息泄露風險較大。一般來說,生物特徵與人類生命相伴而生,不隨個人主觀意願而產生變化,難以針對不同業務、渠道、場景使用不同憑據進行安全隔離。其次,用戶生物特徵普遍暴露在商場、飯店等各種公共場所,不法分子可通過遠程、非接觸方式,在用戶本人毫無察覺的情況下“無聲無息”地非法批量採集生物特徵信息。最後,人工智能、雲計算、大數據等技術逐步規模應用,生物特徵數據存儲集中度越來越高。一旦熱點應用的生物特徵庫被攻破,極易導致大規模隱私泄露,甚至會引發系統性風險。

  李偉撰文建議有關部門加強頂層設計與規範引導,不斷完善治理體系,多措並舉推動生物識別應用健康有序發展。推進科學立法、嚴格執法,製定出台適應生物特徵識別技術應用的法律法規,加強生物特徵數據濫用、侵犯個人隱私等行為的管理和懲戒。記者也瞭解到,有關部門目前正在推進人臉識別領域相關金融標準的製定,以明確在這部分信息採集、傳輸、存儲、利用等環節的安全管理要求。

  常青表示,在眾多實踐中,萬事達卡傾向於將生物識別信息應儲存於設備中,而不是集中保存在某機構的數據庫中,以防止因駭客攻擊造成大規模的數據泄漏。“無論是指紋還是人臉識別,這些信息都儲存在手機的加密安全芯片中,這些芯片只能被授權的應用讀取,所以並沒有泄露的風險。即便是在一定情形下,生物識別信息必須要由機構的數據庫來保存,我們也認為應該建立一個分散保存的系統並且確保傳輸過程中信息不可被破解和追溯。”

關注我們Facebook專頁
    相關新聞
      更多瀏覽