在近日舉行的世界互聯網大會上,中國銀聯與中國工商銀行等60余家機構聯合發布人臉支付產品“刷臉付”。此前,支付寶、財付通等非銀行支付機構紛紛推出了人臉支付產品和服務。以人臉支付為代表的創新支付方式,或將成為支付發展趨勢。不過,支付的便捷性必須建立在安全的基礎之上,注意保護用戶個人隱私。

所謂人臉識別技術,是基于人的面部特征信息識別身份的一種技術,一般是通過拍照或攝像得到的圖像信息與后臺數據庫中預先收集儲存的面部信息作比對,從而完成身份識別。根據場景的不同,人臉識別技術可分為線上和線下兩種。從現階段看,人臉識別線上支付仍存在諸多風險,暫不具備普遍應用條件;人臉識別線下支付相關技術較為成熟,具備一定的應用條件。

但是,技術是一把“雙刃劍”。人臉支付在提升支付服務便捷性的同時,也存在一些應用風險,在某些時候這種風險還非常大。一是信息泄露風險。人臉特征具有唯一性,不法分子可通過遠程等方式,在公共場所批量獲取用戶人臉信息,“盜臉”一旦發生后患無窮。二是假體攻擊風險。雖然現在活體檢測技術水平已經大大改進,但新型攻擊手段不斷出現,對用戶資金安全造成潛在威脅,不容忽視。三是算法漏洞風險。目前,人臉識別算法仍在快速迭代,可能存在隱藏的未知漏洞,一旦被不法分子發現并加以利用,或將造成系統性風險。

當前,一些非銀行支付機構在開展人臉支付的時候,僅從用戶體驗出發,只需用戶在屏幕上輸入手機號碼(有的甚至不需要輸入手機號碼),并不需要用戶進一步交易驗證,這就很可能給人臉支付埋下風險隱患。據報道,現在有的技術可以在3公里之外識別并盜取人臉信息。賬戶密碼被盜尚且可以修改,人臉信息被盜了難道只能去整容?

對此,央行相關負責人多次表示,人臉是非常敏感的個人信息,不宜將人臉作為支付的唯一交易驗證因素,輸入支付口令的交易習慣不應因此而改變。據悉,此次60余家機構聯合發布的“刷臉付”在支付時就必須驗證支付口令,相關考慮一是可以體現用戶支付的真實意愿,二是防止通過偽造人臉冒用身份,保障交易安全。此外,“刷臉付”注重保護用戶個人信息,將用戶的人臉特征信息與用戶關聯性較高的身份信息做了安全隔離,嚴格控制存儲設備和介質的訪問權限,嚴防信息泄漏、篡改與濫用。相關商戶和受理交易的終端,也都須通過權威安全檢測機構的專業檢測。從上述舉措來看,“刷臉付”基本符合監管要求,彌補了市場上同類產品的不足。

盡管備受關注,但目前人臉支付產品總體上仍處于探索階段,相關產業發展還尚不成熟。央行作為支付行業的監管者,應加快出臺包括人臉識別在內的生物識別技術在支付領域的應用規范、技術標準等,推動各類參與主體提高認識,共筑支付安全防線。各類市場主體應正確把握安全與發展的關系,把支付安全放在第一位,認真落實相關要求,確保人臉支付行穩致遠。廣大消費者則應正確看待支付技術創新,謹慎選擇新的支付方式,并妥善保護好個人信息,降低信息泄露風險。

(作者系國家金融與發展實驗室特聘研究員,本欄目話題由今日頭條提供大數據分析支持)