“刷脸”安全:支付行业社会责任感是一场大考
时间:2019-10-14 09:53:30点击:847次
这是一个需要支付企业体现社会责任感的关键时刻,事关整个支付行业的未来。如能利用专用口令、“无感”活体检测等实现交易验证,突破人脸辨识支付应用性能瓶颈,由持牌金融机构构建以人脸特征为路由标识的转接清算模式,便可实现支付工具安全与便捷的统一。
谁也未曾料到,自拍时比划的“剪刀手”在“刷脸”支付时可能被违法分子窃取指纹信息,用以指纹登录或支付。虽然最后证实通常无须担忧,但类似的个案出来后,消费者的面孔信息会不会被盗用?用户“颜值”会不会被泄露?难免让人挂心。央行科技司司长李伟近日在金融网络安全论坛上表示,针对刷脸支付应用,线下应用风险相对可控,基本具备试点应用的条件。但人的生物特征显露在外,通过远程非接触方式,确有可能在本人毫无察觉之时被无声无息地采集。因而,网络空间仅靠人脸等单一特征实行金融交易验证,存在一定安全隐患,应用条件还有成熟与提升空间。必须根据风险等级结合用户口令等多因素认证,平衡好金融服务的安全与便捷。
与扫码支付已成大部分人所熟知的付款方式一样,“刷脸”支付已被越来越多的人尝试,商家和用户接受度不断提升。在零售、餐饮、医疗等多个行业,刷脸支付提升了用户体验,节省了商家的综合经营成本。相比二维码、NFC等移动支付手段,刷脸支付更省去了手机这个介质,进一步给消费者在线上、线下场景提供了便捷选择。更为要紧的是,在一些政务、金融或者民生领域,“刷脸”所带来的便捷远非当事人所能想象。不少人可能还记得这样一则新闻,某地重病卧床的老年人因存折丢失,依据现有规章,必须得用担架把本人抬到银行才让补办,引发社会舆论的强烈质疑。现在看来,这一矛盾完全可以通过“刷脸”等科技手段来解决。事实上,早在2017年上半年,深圳人力资源与社会保障局便已宣布,深圳离退休老人不管是在当地,还是在异地,都可足不出户,通过支付宝等平台在社保场景“刷脸”,靠人脸识别来完成,再也不必非得本人跑一趟人社大厅去做相关认证。
不过,这里有个细节不能被忽略,尤其在商业支付环节,无论扫码还是刷脸,都是一个涉及用户、商家、第三方支付机构与无线通讯运营商等多方主体参与的一个非直接接触式的交易链。在这根链条当中,存在着一定的交易风险,有没有得到应有的事前管控,是决定这一风险是否被屏蔽掉的关键。倘若部分支付平台高估了弱隐私特征的识别作用,在网络空间仅依靠单一特征实行金融交易验证,的确存在严重隐患。
创新,并非随心所欲,还需兼顾各方感受。相比以往针对二维码这一信息中枢,对二维码的生成环节可以做到风险防范前置,刷脸支付的风险防控难度直线上升。而对于这一点的认识,由于专业差异或消费心理,普通用户在享受刷脸支付带来的福利时,对其风险显然还缺乏足够的了解与判断,大多可以说只知其然而不知其所以然。这说明责任主要在商家与三方支付平台,尤其是负责具体研发的后者。
刷脸支付交易的安全与行业的长远发展牢牢捆绑在了一起,决定了支付行业是再一次升级还是阻滞其发展。此前,面对二维码的“隔空盗刷”问题,从支付宝到银联,均借助保险,明晰了“风险全赔付”原则。如果说扫码支付的防线由于支付机构的不作为或因为营销的需要而被外来者突破,那么由此产生的损失由支付平台而非弱势用户承担,更为合理。同样,面临更进一步的生物识别技术,用户的“颜值”比二维码承载了更多的隐私信息。支付平台除了主动建立健全风险赔付资金、保险计划、应急处置等风险补偿机制,在技术和制度上有所钻研也是应有之义。仍以支付宝为例,在其推广的“蜻蜓”等刷脸支付设备上配备了最新3D结构光摄像头,通过软硬件结合的方法检测,来判断采集到的人脸是否由照片、视频或者软件模拟生成,能有效避免各种人脸伪造带来的身份冒用情况。同时遵循“最小够用”原则将采集的人脸信息加密存储,并为每一人脸信息单独创建密钥进行安全管理,提高安全强度。
在万物互联的应用场景下,资金流动的电子数据化已不可逆转,刷脸等生物支付是大势所趋。众所周知,无论移动支付还是生物支付,我国的技术已处于世界领先水平。2018年天猫“双11”期间,以刷脸为主的生物支付占比达到了六成,到了今年“6·18”期间,生物支付占比已超过八成。如何在可控、合规的前提下支持这种新生事物的发展,带动生物识别等科技创新,已是当务之急。今年8月央行发布的金融科技发展规划已提出,将探索人脸识别线下支付安全应用,借助密码识别、隐私计算、数据标签、模式识别等技术,利用专用口令、“无感”活体检测等实现交易验证,突破人脸辨识支付应用性能瓶颈,由持牌金融机构构建以人脸特征为路由标识的转接清算模式,实现支付工具安全与便捷的统一。不久前,支付宝《生物识别用户隐私与安全保护倡议》要求各大支付平台应对采集到的用户生物信息加密存储、明确和规范用户信息使用的目的及范围,遵循“最小、够用”原则,防止被滥用。这与监管“用户授权、最小够用”、“表达意愿、多重认证”、“风险补偿、全程防护”的指导方针不谋而合。
说白了,这是一个需要支付企业体现社会责任感的关键时刻,事关整个支付行业的未来。
谁也未曾料到,自拍时比划的“剪刀手”在“刷脸”支付时可能被违法分子窃取指纹信息,用以指纹登录或支付。虽然最后证实通常无须担忧,但类似的个案出来后,消费者的面孔信息会不会被盗用?用户“颜值”会不会被泄露?难免让人挂心。央行科技司司长李伟近日在金融网络安全论坛上表示,针对刷脸支付应用,线下应用风险相对可控,基本具备试点应用的条件。但人的生物特征显露在外,通过远程非接触方式,确有可能在本人毫无察觉之时被无声无息地采集。因而,网络空间仅靠人脸等单一特征实行金融交易验证,存在一定安全隐患,应用条件还有成熟与提升空间。必须根据风险等级结合用户口令等多因素认证,平衡好金融服务的安全与便捷。
与扫码支付已成大部分人所熟知的付款方式一样,“刷脸”支付已被越来越多的人尝试,商家和用户接受度不断提升。在零售、餐饮、医疗等多个行业,刷脸支付提升了用户体验,节省了商家的综合经营成本。相比二维码、NFC等移动支付手段,刷脸支付更省去了手机这个介质,进一步给消费者在线上、线下场景提供了便捷选择。更为要紧的是,在一些政务、金融或者民生领域,“刷脸”所带来的便捷远非当事人所能想象。不少人可能还记得这样一则新闻,某地重病卧床的老年人因存折丢失,依据现有规章,必须得用担架把本人抬到银行才让补办,引发社会舆论的强烈质疑。现在看来,这一矛盾完全可以通过“刷脸”等科技手段来解决。事实上,早在2017年上半年,深圳人力资源与社会保障局便已宣布,深圳离退休老人不管是在当地,还是在异地,都可足不出户,通过支付宝等平台在社保场景“刷脸”,靠人脸识别来完成,再也不必非得本人跑一趟人社大厅去做相关认证。
不过,这里有个细节不能被忽略,尤其在商业支付环节,无论扫码还是刷脸,都是一个涉及用户、商家、第三方支付机构与无线通讯运营商等多方主体参与的一个非直接接触式的交易链。在这根链条当中,存在着一定的交易风险,有没有得到应有的事前管控,是决定这一风险是否被屏蔽掉的关键。倘若部分支付平台高估了弱隐私特征的识别作用,在网络空间仅依靠单一特征实行金融交易验证,的确存在严重隐患。
创新,并非随心所欲,还需兼顾各方感受。相比以往针对二维码这一信息中枢,对二维码的生成环节可以做到风险防范前置,刷脸支付的风险防控难度直线上升。而对于这一点的认识,由于专业差异或消费心理,普通用户在享受刷脸支付带来的福利时,对其风险显然还缺乏足够的了解与判断,大多可以说只知其然而不知其所以然。这说明责任主要在商家与三方支付平台,尤其是负责具体研发的后者。
刷脸支付交易的安全与行业的长远发展牢牢捆绑在了一起,决定了支付行业是再一次升级还是阻滞其发展。此前,面对二维码的“隔空盗刷”问题,从支付宝到银联,均借助保险,明晰了“风险全赔付”原则。如果说扫码支付的防线由于支付机构的不作为或因为营销的需要而被外来者突破,那么由此产生的损失由支付平台而非弱势用户承担,更为合理。同样,面临更进一步的生物识别技术,用户的“颜值”比二维码承载了更多的隐私信息。支付平台除了主动建立健全风险赔付资金、保险计划、应急处置等风险补偿机制,在技术和制度上有所钻研也是应有之义。仍以支付宝为例,在其推广的“蜻蜓”等刷脸支付设备上配备了最新3D结构光摄像头,通过软硬件结合的方法检测,来判断采集到的人脸是否由照片、视频或者软件模拟生成,能有效避免各种人脸伪造带来的身份冒用情况。同时遵循“最小够用”原则将采集的人脸信息加密存储,并为每一人脸信息单独创建密钥进行安全管理,提高安全强度。
在万物互联的应用场景下,资金流动的电子数据化已不可逆转,刷脸等生物支付是大势所趋。众所周知,无论移动支付还是生物支付,我国的技术已处于世界领先水平。2018年天猫“双11”期间,以刷脸为主的生物支付占比达到了六成,到了今年“6·18”期间,生物支付占比已超过八成。如何在可控、合规的前提下支持这种新生事物的发展,带动生物识别等科技创新,已是当务之急。今年8月央行发布的金融科技发展规划已提出,将探索人脸识别线下支付安全应用,借助密码识别、隐私计算、数据标签、模式识别等技术,利用专用口令、“无感”活体检测等实现交易验证,突破人脸辨识支付应用性能瓶颈,由持牌金融机构构建以人脸特征为路由标识的转接清算模式,实现支付工具安全与便捷的统一。不久前,支付宝《生物识别用户隐私与安全保护倡议》要求各大支付平台应对采集到的用户生物信息加密存储、明确和规范用户信息使用的目的及范围,遵循“最小、够用”原则,防止被滥用。这与监管“用户授权、最小够用”、“表达意愿、多重认证”、“风险补偿、全程防护”的指导方针不谋而合。
说白了,这是一个需要支付企业体现社会责任感的关键时刻,事关整个支付行业的未来。