支付機構刷臉支付技術現狀及問題研究

導語：支付機構刷臉支付技術現狀及問題研究一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：隨著移動互聯網技術、人工智能、大數據的深入發展，移動支付已經成為了目前我國增速最快的支付方式。生物識別技術也被應用到移動支付領域，如指紋支付與刷臉支付等。2019年8月，人民銀行印發《金融科技（FinTech）發展規劃（2019-2021年）》，明確了刷臉支付的發展方向，認可了其“科技賦能支付服務”的能力。本文主要闡述了目前最具代表性的支付機構在刷臉支付技術上的發展歷程、支付流程、終端產品技術特點，并就刷臉技術應用中存在的問題提出相關對策建議。

關鍵詞：支付機構；人臉識別；刷臉支付；生物信息

一、我國支付機構刷臉支付技術應用現狀

（一）刷臉支付技術的發展歷程。刷臉支付主要依賴于人臉識別技術，將人臉識別應用于支付領域起源于芬蘭。2013年7月，芬蘭創業公司Uniqul推出了第一款基于人臉識別的支付系統。該刷臉支付流程為：用戶面對收款機的屏幕攝像頭，收銀系統會對用戶的面部進行自動拍照和掃描，再通過數據庫的信息與已采集到用戶面部圖像數據進行比較。同時，用戶面部數據信息關聯到支付系統，用戶身份信息會在收銀屏幕顯示，觸摸顯示屏數據信息確認，便完成支付交易。在此之后，美國、英國與日本也相繼推出了各自的刷臉支付系統，如Google的支付應用HandsFree等。隨著人臉識別技術不斷發展和完善，我國支付機構也開始進行刷臉支付的技術研發與商用探索，目前具有代表性的有支付寶、微信與銀聯三家支付機構（見表1所列）。（二）支付機構刷臉支付技術分析。1.刷臉支付人臉識別技術。在人臉識別中，根據人臉的表達模型不同，目前主要有二維和三維人臉識別技術。其中，三維人臉識別研究的時間相對較短，二維人臉識別相對成熟。但是由于二維信息存在深度數據丟失的局限性，無法完整地表達出真實人臉，所以存在識別準確率不高與活體檢測準確率不高等問題。三維人臉識別在顏色、紋理、深度等方面的數據信息更豐富，無論在識別準確度上還是活體檢測準確度上，均比二維人臉識別更加具有優勢。目前，支付機構在刷臉支付技術實現過程中，通常采用的是三維人臉識別技術。對用戶進行人臉識別時，系統運用軟件與硬件結合的方式進行活體檢測，由此辨別對采集到的面部數據是由為照片、視頻和其他軟件虛擬生成。刷臉支付不僅需要人臉識別算法的支持，還需要相應攝像頭模組等硬件設備的支持。2.刷臉支付硬件需求。目前，支付寶、微信和銀聯支付機構刷臉支付終端產品采用的是三維結構光攝像頭。三維結構光技術原理是以紅外發射激光器投出2萬-3萬個散斑點，然后根據紅外接收攝像頭感知到的光線折回后的變化來完成對位置深度的測算。由于攝像頭模組涉及精密光學設計、芯片、算法與生產多個環節，技術門檻高，因此國內當前能夠達到規?；慨a維攝像頭模組的企業數量很少。目前，支付寶“蜻蜓”選用了螞蟻金服與奧比中光共同成立的螞里奧提供的攝像頭；微信“青蛙”采用華捷艾米作為三維攝像頭模組服務提供商；銀聯“刷臉付”則多來自于奧比中光與華捷艾米。3.刷臉技術人臉識別算法區別。目前，支付寶、微信與銀聯主要采取自研或者與專業人臉識別公司合作的策略。其中，支付寶“蜻蜓”與微信“青蛙”的人臉識別算法主要來源于自研，銀聯“刷臉付”的人臉識別技術主要來自于云從科技、依圖科技、商湯科技、曠視科技等服務提供方（見表2所列）。（三）刷臉支付流程。1.支付寶、微信支付刷臉支付流程。由于目前刷臉支付的產品業務流程尚未標準化，所以不同機構的刷臉支付產品業務流程尚存在一定的差異。其中，支付寶和微信支付基本一致，具體如下：用戶進入支付環節，選擇刷臉支付方式；采集符合質量要求的人臉并完成活體檢測；用戶輸入支付寶（微信）所綁定的手機號，根據后臺安全風險智能決策系統，要求輸入的手機號位數可能會不同。從實際應用場景來看，用戶如果偶爾光顧某家門店使用刷臉支付，通常需要輸入11位手機號。對于經常光顧門店使用刷臉支付的用戶，只需要輸入后4位手機號甚至不需要輸入手機號，就可以直接進入支付確認頁面（手機號輸入位數的判定邏輯由刷臉支付系統自動決定），如圖1所示。2.銀聯刷臉支付流程。銀聯刷臉支付的業務流程與支付寶和微信支付有所不同，采用了“刷臉+支付口令”的安全驗證方式，主要流程如下：用戶進入支付環節，選擇刷臉支付方式；采集符合質量要求的人臉并完成活體檢測；用戶需要輸入支付密碼，如果正確，則會進入支付確認頁面，進行確認支付，如圖2所示。

二、刷臉支付存在的問題

（一）刷臉支付終端機具安全問題。目前，《金融科技（FinTech）發展規劃（2019-2021年）》明確了刷臉支付線下應用的發展方向，提出利用專用口令、“無感”活體檢測等實現交易驗證。支付機構和關聯企業相繼推出了刷臉支付的諸多終端機具設備，并在宣傳中主打活體檢測。軟件層面，通過大量的訓練和實踐讓深度學習算法具有極強的檢測能力。硬件層面，通過紅外等各種技術輔助驗證，成熟廠商的刷臉支付終端機具設備的錯誤率已經降至十萬甚至百萬分之一，基本解決人臉誤識、誤判的問題，但仍存在3D假體欺詐以及乘其不備盜刷他人賬戶的問題，其中假體攻擊包括通過AI換臉技術盜刷以及通過高3D頭部模型與照片盜刷等。2019年12月，美國公司Kneron表示通過高清3D面具和照片欺詐了多個人臉識別系統，包括支付寶和微信。2020年1月21日，中國裁判文書網公布了一起案件，不法分子通過制作公民3D頭像騙過支付寶人臉認證識別系統，注冊支付寶賬戶，非法獲利4萬元。上述案例說明了，目前支付機構刷臉支付硬件本身存在一定的問題和風險。（二）刷臉支付監管制度不完善?！斗倾y行支付機構網絡支付管理辦法》第二十條規定：“支付機構應當以‘最小化’原則采集、使用、存儲和傳輸客戶信息，并告知客戶相關信息的使用目的和范圍。支付機構不得向其他機構或個人提供客戶信息，法律法規另有規定，以及經客戶本人逐項確認并授權的除外?！钡@種原則性規定過于簡單，未明確對包括臉部信息在內的不可更改的生物特征信息進行區別性嚴格規定。同時，關于違反信息責任的罰則也較輕，《管理辦法》引用《中華人民共和國中國人民銀行法》第四十六條作為罰則，如果發生信息泄露，在無違法所得的情況下只能處以最高200萬元的罰款。（三）云端服務器信息泄露風險。支付寶、微信、銀聯等支付機構的刷臉支付技術，都是通過將硬件設備采集到的用戶面部信息數據與云端服務器存儲的個人臉部數據信息進行匹配、核對，當兩者數據相同時即可解鎖完成支付。這說明了云端服務器數據重要性。如果支付機構云端服務器中毒或被黑客攻擊，發生數據庫信息數據泄露現象，易出現以下后果。一是不法分子可以售賣個人臉部數據信息進行牟利。二是根據收集到的用戶個人臉部數據和個人隱私信息，應用AI技術手段進行實時換臉，再結合仿真音頻技術，與用戶個人親朋好友進行視頻聊天進而實施網絡詐騙，具有非常強的迷惑性。三是根據支付寶（微信）刷臉支付流程，如果不法分子獲得用戶個人臉部數據信息和注冊手機號碼，進行刷臉支付，用戶本人資金將被盜刷。（四）用戶生物信息安全問題。一是臉部生物信息易丟失。相較于二維碼支付、指紋支付、聲紋支付等方式，刷臉支付在信息采集上略有不同。由于人臉長時間暴露在外，各種攝像頭都有充足的機會捕捉到人臉特征，尤如“行走的密碼”，這也是刷臉支付技術推廣中最為疑難的安全問題。二是面部數據唯一性。用戶使用IC銀行卡密碼支付或者手機銀行二維碼支付時，密碼是可以更改的。如果用戶IC銀行卡或手機遺失，可以通過對IC銀行卡掛失止付或停用SIM卡等操作，確保資金安全。但是人臉支付、指紋支付則不同，指紋、人臉等生物信息具有唯一性和不可更換性，一旦泄露將無法變更，且容易產生用戶個人的資金被盜刷等問題和風險。

三、對策建議

（一）規范技術標準和強化行業監管。一是統一技術標準。目前支付機構刷臉支付技術、終端機具設備各不相同，人民銀行應出臺刷臉支付相關制度文件，統一技術規范，明確系統軟硬件要求，包括人臉識別算法、三維攝像頭參數標準、系統安全等方面。二是強化行業監管。刷臉支付是較為復雜的支付技術，要統籌各方監管力量，加強對刷臉支付行業的監管。建議建立聯合監管協調工作機制，人民銀行作為牽頭部門，積極做好與公安部、工信部等部門的監管合作，定期召開聯席會議，加強對用戶個人信息的安全保護，堅決打擊不法分子利用刷臉支付侵犯用戶個人權利的行為，督促支付機構和關聯廠商對刷臉支付終端機具設備進行技術改造和升級，不斷提高刷臉支付的安全性。（二）規范信息采集和加快立法保護。一是明確臉部信息采集內容。人民銀行可通過實地調研、座談、發放調查問卷等方式，收集銀行業金融機構、支付機構、終端機具設備廠商、社會公眾關于人臉生物信息的采集、存儲標準的意見和建議，制定出臺統一的生物信息采集規范和細則。二是加快個人生物信息立法保護。目前，歐盟、巴西等組織和國家都統一在立法中加強了對用戶生物信息數據的保護，我國可以參照做法，以立法的形式，將個人生物信息保護等內容納入《中華人民共和國個人信息保護法》之中。三是強化商戶培訓考核。支付機構應當最大限度地確保用戶信息安全，嚴防人臉等生物信息泄露，嚴格商戶準入條件，認真審核商戶終端設備持有者的資料，加強對商戶培訓，以定期考核等方式保證商戶操作者專業化水平的提升。（三）做好系統運維和防范數據泄露。支付機構要高度重視刷臉支付系統信息維護和安全管理工作。一是要建立完善的內部管理制度。支付機構應建立完善的刷臉支付系統等內部管理制度，明確系統安全管理職責和人員配置。二是做好服務器升級維護工作。定期升級服務器防火墻和下載系統漏洞補丁，有效防范黑客利用服務器系統漏洞進行惡意攻擊，造成用戶個人臉部數據和隱私信息泄露。三是做好服務器災容備份。鑒于刷臉支付信息數據、人臉數據等信息的重要性，應建立服務器異地災容備份，定期開展應急演練，有效提高支付機構現場處置和恢復能力，在災難性事件時，可將損失降到最小。（四）提高社會公眾安全與防范意識。隨著刷臉支付三維人臉識別技術的日趨成熟，刷臉支付覆蓋了交通、餐飲、金融、醫療等人們生活的各個方面。其便捷性、智能性的特點，越來越受到社會公眾的喜愛，但同時也帶來一些問題，需要用戶提高安全防范意識。人民銀行和支付機構應加強刷臉支付、指紋支付等生物支付宣傳工作，通過電視廣播報紙、現場活動答惑、電子屏幕、橫幅標語、官方微信等線上線下方式進行宣傳，向社會公眾宣傳刷臉支付等典型案件的技術特點、犯罪特征、防范措施，進一步提高社會公眾的法律意識、安全意識。

四、結論

隨著人工智能和信息技術的不斷升級完善，刷臉支付技術的識別精準率將持續提高，在一定程度上保障了刷臉支付的安全性。然而，目前我國的刷臉支付市場仍然處在試點推廣期，支付寶、微信和銀聯等支付機構刷臉支付在技術準入、終端機具檢測認證、支付方式等方面仍需不斷完善，刷臉支付存在一定的問題和隱患，亟須監管機構對支付機構刷臉支付的準入機制、技術認證、支付流程、風險防范機制進行統一構建和規范。支付機構在為用戶提供刷臉支付服務的同時，應在人臉識別的基礎上增加其他因素驗證方式，從最大程度上保護用戶的財產安全。只有做到安全與便捷同行，刷臉支付才能成為未來主流支付方式。

參考文獻：

[1]趙淑鈺. 生物識別信息法律規制的國際經驗與啟示[J]. 中國信息安全，2019(11):37-39．

[2]呂堯，周千荷. 歐美限制人臉識別技術對我國的啟示[J]. 網絡空間安全，2020(2):93.

[3]蔡雄山，袁俊. 如何應對人臉識別技術的安全隱憂[N]. 光明日報，2019-12-26.

[4]鄒棟，顏飛. 計算機人臉識別技術的發展現狀與應用實踐[J]. 計算機產品與流通，2017(9):13.

作者:劉曉明 夏天文 單位:1.中國人民銀行鹽城市中心支行2.中國人民銀行建湖縣支行