刷脸支付有没有危险(刷脸支付安全还是密码安全)
来源:证券时报
近5年来普及的新技术中,要说因为安全性而导致发展受到局限的,最典型的例子莫过于人脸识别。
人脸识别因技术迅速发展和便捷无感的体验得到快速推广,但在普及过程中,这项技术的另一面——收集敏感信息、信息滥用、泄露风险等问题也数次被推至舆论风口浪尖。随着今年欧美多地出台禁令,国内也开始出现“严监管”信号,尚未在便捷性与安全性之间找到平衡的人脸识别技术,一时前路莫测。
上班打卡刷脸、进出公园刷脸、回到小区刷脸、收取快递刷脸……不知不觉间,人脸识别设备已经侵入人们日常生活的方方面面。
但近两年来,人脸识别技术的迅速普及也使得相关实践运用泛滥,引起了部分用户的反感以及监管层面的关注。今年12月1日,天津通过的一项信用条例首次提出禁止相关单位采集个人生物识别信息。多位律师认为,这将对其他地方形成示范性作用。
尤其值得一提的是,人脸识别在金融领域中的应用——刷脸支付,曾经一度成为“网红”,但因各种争议在现实中的推广受到极大局限。“所以现在刷脸支付的推广情况其实不是很好。”有业内人士对证券时报·券商中国记者表示。
陷入争议“漩涡”
去年4月,浙江理工大学特聘副教授郭兵得知,自己在杭州野生动物园办理的年卡被“升级为人脸识别入园”,园方以此为由,要求他提供个人面部信息。郭兵对此不解并作出拒绝,在协商未果后将该动物园诉至法庭。
此次上诉被业内称为中国“人脸识别第一案”。今年11月20日,这场备受关注的官司迎来宣判。杭州富阳区人民法院一审判决:野生动物园赔偿郭兵合同利益损失及交通费共计1038元,并删除郭兵办理指纹年卡时提交的包括照片在内的面部特征等个人生物识别信息。
在监管层面,禁止采集人脸信息的首例地方立法也已“破冰”。12月1日,《天津市社会信用条例》通过表决,自2021年1月1日起施行,该条例规定市场信用信息提供单位不得采集包括人脸信息在内的生物识别信息。尽管这一条例的管辖范围仍存在争议,但不少分析人士认为,该条例释放了一定的监管信号,对刷脸支付可谓“敲山震虎”。
“该条例将起到示范性作用,除了信用领域外,未来其他领域的相关条例也会陆续出台。”宁人律师事务所金融与科技委员会副主任马军表示,“我国在立法层面已经对个人信息保护的原则性条款进行了约束,也就是合法、正当、必要性原则,后续每个行业都应该在这些原则的基础上,结合行业特征研究相应的监管规范。”
与此同时,国外多地政府机构对人脸识别技术也在进行狙击。今年9月,美国波特兰市发出禁令,要求在公共空间无论是当地政府还是商店、饭店和旅馆都不能使用人脸识别技术。
在联动效应之下,国内对人脸识别技术的质疑声也愈演愈烈。深度科技研究院院长张孝荣就认为,人脸识别技术在国际上恶名昭彰,一些发达国家已经着手立法禁用或限用,“我国需要与国际接轨,人脸识别技术最多只能用于安防反恐等公共安全领域,其他商业领域应用应该一律禁止”。
追问技术安全性
当前市场对人脸识别技术的普遍疑虑在于:人脸识别技术是否比其他技术更不安全?人脸信息被采集后能否安全保管?信息一旦发生泄露,是否会被用于在其他设备上进行支付、信贷等操作,进而侵害个人财产权益?
一位了解人脸识别技术的从业人员向证券时报·券商中国记者假设了一个具体场景:用户在小区门禁录入的人脸信息发生泄露,不法分子要想成功利用这些被泄露的人脸信息通过其他信贷公司的审批环节,取决于信贷公司人脸核验程序逻辑是否存在漏洞,“包括API是否暴露出来、模型特性如何等等”。
据这位技术人士介绍,人脸核验程序由很多环节组成,包括输入人脸程序的API、人脸核验模型等。人脸核验模型就是用户普遍接触到的录入人脸信息,进行比对以及输出结果的过程,安全性取决于模型特性。“例如,有的核验模型能识别出来一张人脸照片里的人脸是真人脸还是对着人脸照片拍出来的,有的核验模型却不能,这就是模型安全性的差距。”上述业内人士解释。
问题是,部分小公司的人脸识别技术能力没有达到可匹配其展业范围的水平,人脸核验程序的反黑客能力较弱,并存在滥用所收集的个人信息数据的可能。“比如小区门禁用的人脸识别设备很多是由一些小运营商提供,而一些不规范的小公司获取数据后,很有可能进行倒卖来换取收益。”马军表示。
此外,人脸识别技术在实践层面还面临安全性与便捷性难以兼顾的问题。据上述从业人员介绍,设置多种核验方式是保障人脸识别安全性的重要手段,“这是由于仅使用人脸信息作为核验要求,安全性极低,尤其是人脸时刻暴露在公共环境中,不法分子随时可能在用户无感的情况下获取”。
多位业内人士更是强调,虽然人脸识别是生物特征识别中的一种,但人脸信息具有唯一性和不变性。与传统的数字密码相比,这样的生物信息一旦丢失,意味着用户没有“重新设定”的机会。因此,该类信息的泄露对用户隐私造成危害性也就更大。
证券时报·券商中国记者了解到,支付宝的“刷脸支付”技术背后,就包含对用户日常轨迹数据的对比,在用户常光顾的小店消费可直接“刷脸”,在首次消费的小店还需结合手机号进行验证。银联“刷脸付”则采用人脸识别结合支付口令输入的方式完成双重验证。
但采用多重核验方式也意味着,作为人脸识别技术最大优势的便捷性必然受到削弱。“所以现在刷脸支付的推广情况其实不是很好。”有业内人士表示。
看好还是唱衰?
“最近一年对刷脸支付的质疑声要远远多过支持。”杭州电子科技大学教授刘大为表示。这一情况不仅与刷脸支付的应用问题有关,也受到国际市场对人脸识别技术极度排斥的影响。
今年以来,欧美多地针对人脸识别技术出台禁令,国内也开始显示出“严监管”信号。除天津最新通过的条例明确相关单位禁止收集人脸信息外,《个人信息保护法(草案)》对公共场所人脸识别设备的铺设作出专门规定,网信办对移动应用程序(APP)的信息收集也做出了规范。
对此,刘大为表示,欧美国家禁止刷脸支付是有自身金融背景的。“毕竟信用卡是欧美国家的主流支付手段,推进移动支付也在起步阶段,直接进入刷脸支付的转换成本和潜在风险都很高”。另外,人脸识别需要特殊的生物识别代码,如果有漏洞就很容易被黑客攻击,很可能造成用户巨额的财产损失。“欧美金融机构对用户财产损失的赔付制度与历史习惯也导致他们不敢轻易尝试刷脸支付。”刘大为分析称。
国内市场环境则完全不同,刘大为进一步表示,如果没有政策干预,刷脸支付在国内不会停下来,只会继续发展与完善。在未来一段时间,刷脸支付在移动支付的市场份额会逐步增加,甚至很快会和扫码支付平分天下。
日本支付机构Netstars的CTO陈斌也表示,人脸识别技术并非不能用,关键在于怎么用。陈斌认为,未来监管必将对刷脸支付的使用限制在一定范围内。例如,限制于小额支付场景等,而在身份认证方面,随着数字化转型的推进,人脸识别技术或存在巨大价值。
“现在监管对远程开户还很谨慎,主要受限于技术能力,无法判断远程认证的到底是真人还是其他情况。”陈斌举例说明,“未来或许可以进一步通过某些辅助的手段降低远程开户风险,如现在已经出现的结合周边环境因素判断真实度、要求用户眨眼或移动图片等,谁有创造性,谁能发明更好的手段,就有发展机会”。
责任编辑: 杨晓波