详细介绍
1月21日,中国支付清算协会公告,已于20日印发人脸识别线下支付行业自律公约(试行),并自20日起实施。
《公约》明确,应建立人脸信息全生命周期安全管理机制。在采集环节,要坚持“用户授权、最小够用”,明确告知用户个人信息使用目的、方式和范围,并获得用户授权,避免与需求无关的特征采集。在存储环节,将原始人脸信息加密存储,并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离。在使用环节,收单机构、商户等中间环节不得归集或截留原始人脸信息,实现端到端的个人隐私保护。
对此,中国社科院支付清算研究中心特约研究员赵鹞表示,继条码支付成为中国人主要的小额非现金支付方式之后,刷脸支付(face-recognition)已经走入我们的生活。人们既能够正常的使用各种移动支付APP,将脸对准普通的智能手机的摄像头完成支付交易的身份识别与授权,也可以在自动售货机的专用人脸识别终端机具上完成刷脸支付的全过程。的确,刷脸支付的便利性比条码支付更加进一步,使得用户不必携带任何支付介质与工具(银行卡),甚至连手机都可以略去,就能进行小额的消费支付,是技术进步推动无卡支付、无物理介质支付的最新成果。
但是,再先进的支付技术与手段,也逃脱不了支付的“跷跷板”规律的约束---安全与便利的权衡。如同当初条码支付方兴未艾的时候,现在刷脸支付在各方商业力量的推动下日益成为人类关心与乐于尝试的新兴事物,那么如何认识刷脸支付,如何发挥刷脸支付的优势,避免其弊端?为解决此问题,在中国人民银行的领导下,中国支付清算协会组织相关会员单位制定并发布了《人脸识别线下支付行业自律公约(试行)》。
继条码支付成为中国人主要的小额非现金支付方式之后,刷脸支付(face-recognition)已经走入我们的生活。人们既能够正常的使用各种移动支付APP,将脸对准普通的智能手机的摄像头完成支付交易的身份识别与授权,也可以在自动售货机的专用人脸识别终端机具上完成刷脸支付的全过程。的确,刷脸支付的便利性比条码支付更加进一步,使得用户不必携带任何支付介质与工具(银行卡),甚至连手机都可以略去,就能进行小额的消费支付,是技术进步推动无卡支付、无物理介质支付的最新成果。
但是,再先进的支付技术与手段,也逃脱不了支付的“跷跷板”规律的约束---安全与便利的权衡。如同当初条码支付方兴未艾的时候,现在刷脸支付在各方商业力量的推动下日益成为人类关心与乐于尝试的新兴事物,那么如何认识刷脸支付,如何发挥刷脸支付的优势,避免其弊端?为解决此问题,在中国人民银行的领导下,中国支付清算协会组织相关会员单位制定并发布了《人脸识别线下支付行业自律公约(试行)》。
顾名思义,刷脸支付是运用人脸识别技术(face-recognition technology)作为支付活动的交易阶段(transaction phase)的身份识别(ID)与支付授权(authorization)的方法,去验证(verify)支付工具与支付指令的真实性、唯一性与不可撤销性。相较于条码支付,刷脸支付的最大特征是:一是彻底将支付工具数字化,被认为是无卡支付的终极阶段,使得用户完全不必携带任何物理设备就能完成支付交易的发起(initiation)、授权(authorization)(与验证(verification))。二是将原有的支付交易流程压缩,特别是将支付的发起、授权(与验证)这一传统支付方式所要求的贯序流程压缩为一次动作,比如客户主动将面部呈现在摄像头前面即被视为客户主动出示支付工具并向支付服务商进行支付授权的意思表示。当然,如果将客户的面部特征还作为支付密码的话,支付的发起、授权与验证则被“三合一”,这必然是一种具有争议的支付“创新”。由此可见,刷脸支付和条码支付创新一样,只是提高了支付的交易阶段的效率,并没改变交易阶段之后的支付流程与运作原理,因此刷脸支付并没改变支付业务的本质特征。
但是,相较于技术准入门槛很低的条码支付,刷脸支付的技术上的含金量确实非常高。刷脸支付的关键技术是人脸识别技术,而该技术是靠一系列算法(algorithms)去分析被数字摄影设备所获取的人脸特征,将特征数字化、唯一化,与人脸形成一一对应关系。一般来说,这些属于高度私密的个人隐私数据被存放于高度安全的身份数据库(identity database)。进一步,人脸识别技术的一个关键技术是“活体检测”(liveness test),即通过硬件与软件技术检验被分析的人脸是否属于活体人脸。最简单的是要求用户轻微左右或上下摇动头部,抑或使用专业方面技术,如3D结构光/TOF(time of flight)、近红外活体检测技术等。很明显,之所以活体检测如此关键,是为了防范有人使用一张照片,或者3D打印的人脸面具去欺骗人脸识别系统。由此可知,人脸识别技术的可靠性,特别是活体检测技术的可靠性对于刷脸支付的安全性有着决定性的作用。试想,当犯罪分子拿着被害人的人脸面具就能轻易转走被害人账户里的钱财,没人会冒险使用刷脸支付!
尽管人脸识别技术是西方首创,刷脸支付也是一家芬兰Uquil公司在2013年首创,但主要是智能手机生产厂商使用人脸识别技术,比如苹果手机等,极少将人脸识别大规模用于公共生活方面,更不用谈金融支付领域。在中国,人脸识别的运用日益普遍,从公共安全,到学校门禁系统,再到车船交通,人脸识别几乎无处无在,这样大规模的采纳与技术设施普及,为刷脸支付的商业落地创造了独一无二的条件与基础。在我国,刷脸支付的商业应用场景大致上可以分为线上与线下。所谓线上场景,主要是指将人脸识别活动应用于开放网络环境,通过普通的移动终端(如智能手机)进行人脸信息采集与验证。比如通过手机完成基于人脸识别的支付转账、特定金融业务开通等。而《公约》试行的线下场景是指在专用终(具有安全芯片、加密模块)以及专门的活体检测设备上完成人脸识别,并在最大限度地考虑了具体场景与业务流程的风险点,加以制度防范后的消费支付业务、金融业务等。常见的是在封闭环境下使用人脸识别ATM机具进行现金存取业务,或者在加载了专业人脸识别终端设备的自动售货机上的小额商品消费支付。
根据刷脸支付的场景划分,其风险表征既有共同性,也有特殊性。共同性是,刷脸支付在提升支付服务便捷性的同时,也存在一些共性风险。一是信息泄露风险。人脸特征具有唯一性与不可再生性(unrecyclable),与人类生命相伴而生,不法分子可通过远程、非接触方式,在商场、旅馆、饭店、街道等公共场所非法批量获取用户人脸信息,导致基于人脸特征的身份认证系统可被轻易绕过,危害程度较大。另一方面,人脸特征数据失窃或被盗用,因其不可再生性,将产生“我证明是我”的伦理难题。二是假体攻击风险。人脸识别技术难以判断识别对象是否为真实活体,不法分子通过照片、视频、高仿面具等手段,仿冒用户人脸进行2D或3D攻击,且随着人工智能、大数据等技术持续不断的发展演进,新型攻击手段不断出现,对用户资金安全导致非常严重威胁。三是算法漏洞风险。目前,活体检测、人脸识别算法仍在快速迭代,识别通过率、误识率等关键指标相互关联、难以同时兼顾,且随光照、遮挡等外界外因干扰较大,有几率存在隐藏的未知漏洞,一旦被不法分子发现并加以利用,易导致活体检测或人脸识别失效,造成系统风险。四是非授权支付风险。如前述,刷脸支付将三个贯序流程压缩为一个人脸扫描的动作,那么对于非授权支付该怎么样重新界定?比如隔空盗刷问题,即通过远程、非接触方式,在用户本人毫无察觉的情况下“无声无息”地获取用户的人脸信息,且手机号码作为用户社交工具也极易被获取,“隔空盗刷”现象就极易出现。问题就在于,即使采用基于保护消费者权益的救济原则,要求支付服务提供商举证“盗刷”业务属于用户主动授权行为,也会在用户侧产生严重的道德风险。进一步,与条码支付通过区分主动扫码与被动扫码两种方式解决非授权支付风险不同,人脸扫描是无法区分主动扫脸,或被动扫脸的,因此,刷脸支付或者说未来的无感支付(frictionless payment)可能不再有清晰的支付交易阶段的逐一与贯序流程,特别是在分工日益细化的第三方、第四方支付行业,这将带来较为严重的法律合规风险。正因为此,《公约》第二章第八条强调刷脸支付时,会员单位应采用支付口令或其他可靠的技术方法确保支付行为是经本人主动确权。
《公约》之所以试行线下支付场景,是因为相较于线下场景,线上场景的风险特殊性在于开放的网络环境与没有正真获得硬件加固的普通终端,这会加剧信息泄露风险、假体攻击风险与非授权支付风险(更加难以举证用户授权的主动性与真实性),或者形成多种风险的叠加效应,因而,在现阶段,线上场景不应该被鼓励发展,至少要采用可信执行环境(TEE)、安全单元(SE)等技术加强风险防控,才能审慎开展线上场景的刷脸支付业务。对于线下场景,尤为突出的风险点是免密。由于线下场景多发生在商场、旅馆、饭店、街道等各种公共场所,过度的便捷不仅给不法分子带来可乘之机,同时免密会造成将用户人脸作为支付授权验证的唯一方式,一旦人脸特征数据丢失、被盗用,会使得用户在缺乏第三方权威认证的情况下无法通过密码重置的方式找回自己的账户与账户里的财产,这无疑会形成严重的系统性风险。
本次《公约》发布与试行,充足表现出监管部门对金融科学技术创新的包容,协会的审时度势,既要鼓励支付行业创新发展,还要维护公共利益,为未来正式的刷脸支付监管办法出台积累经验。就现阶段的我国刷脸支付发展现状与风险特征,笔者做出监管建议,作为抛砖引玉:
如前述,线上场景的刷脸支付业务存在诸多现阶段无法克服的技术与制度障碍,在规范发展线下场景的刷脸支付业务的同时,可继续冻结开展线上场景的刷脸支付业务。
可由相关金融技术监督管理部门发布线下场景的刷脸支付的技术安全原则,明确安全红线:一是数据脱敏。在获取用户充分授权前提下采集用户人脸特征信息,利用标记化等技术对采集的用户人脸特征原始信息进行脱敏处理,并通过不可逆加密技术将转换后的信息进行加密,保障用户人脸特征数据传输、存储的安全性,实现用户人脸特征敏感信息的可靠保护。二是隐私计算。借助可信执行环境(TEE)、安全多方计算(MPC)等技术方法,在不归集、不共享原始数据的前提下,完成对人脸特征信息的安全处理,仅向外提供脱敏后的计算结果,确保人脸特征数据在使用、处理和流转过程中不发生泄露,有效解决数据隐私保护和高效处理流通之间的矛盾。三是分散存储。将用户人脸信息与姓名、电话等关联性较高的敏感信息进行安全隔离、分散存储,达到差分隐私的目的,保证攻击者无法通过部分数据推断出其他隐私信息,降低敏感数据集中存储带来的隐私泄露风险。
无论是线下场景还是线上场景,相关支付服务提供商和技术服务提供商都很难保证人脸特征(生物特征)数据的绝对安全性。事实上,现阶段鱼龙混杂的人脸识别技术公司已成为重大的信息安全风险隐患,若发生大规模人脸特征数据泄露,其后果不堪设想。因而,亟需在个人隐私数据保护法律制度中授权有关公共部门统一技术与安全标准,建立安全存储中国人脸特征与其他生物特征识别数据库,进而在源头上规范人脸特征(生物特征)的采集、分析、加工与使用,为金融机构和支付机构在未来规范发展基于人脸特征(生物特征)的金融与支付业务提供公共基础设施。(经济日报记者 陈果静)