笼罩刷脸支付的几个风险问题
(一)刷脸支付的人脸识别技术问题。相较于以前,识别技术一直在进步。特别是人脸识别算法逐步成熟,其1:1比对的误识率已可低于十万分之一,足以达到商用的标准。关于长相相近的人的误识问题,包括刷脸中的“双胞胎”问题,还不能很好解决。人脸识别技术的应用难点在于支付环节的应用安全性要求更高、线下场景更为复杂以及公开环境、公共设备的挑战更大。
需要指出的是,刷脸支付的安全性并不会有质的提升。因为次的人脸认证,依然依赖于原有的认证体系,如公安部身份证信息系统、银行账户认证等。因此,办身份证或者开立银行账户时的现场核验,依然是身份核实的基础。我们可以看到,很多高铁站和机场把人脸识别与身份证的人脸做比对,来确认身份证与人之间的一致性。人脸认证也是基于此逻辑,人脸的认证也是人脸信息收集的行为,是刷脸支付的一个前置条件。每一次刷脸支付是人脸识别与次人脸认证的信息做比对,只有客户和账户形成唯一性的对应后,才形成后续的支付行为。
(二)刷脸支付的“隔空盗刷”问题。银行卡需要刷,二维码需要扫,而人脸直接识别。看似越来越简单。但是我们可以看到,银行卡只有通过侧录或者录像方式盗取卡号和密码。条码则出现收款码被隔空盗刷,被人扫码的情况。这种情况虽然很少见,但是目前还没有很好的手段去直接防范。
由于刷脸支付屏蔽了银行卡、二维码等支付工具或者介质,人脸识别直接成为关联账户和解锁密码的凭证。在免密免签的情况下,只要通过刷脸进行身份识别后,就可以直接扣划资金。而刷脸支付的“隔空盗刷”,似乎会更方便。因为条码的“隔空盗刷”有时机的限制,需要被害人从手机中调出条码来。而刷脸支付则不存在这个问题,在双免的情况下,如果技术能够解决远距离识别的问题,那么人脸将成为不设防的“收款码”,犯罪分子可以轻易盗刷。在安全和便捷之间成为艰难的抉择。如果不能解决这个问题,将成为笼罩在刷脸支付上的乌云。
这就延伸出两个问题,一是要想解决可能出现的“隔空盗刷”问题,那么就要压缩刷脸支付扫描的距离,现在可以做到0.3-3米都能实现3D扫描,如果能把距离定在0.3米以内,形成技术强制性规范可以防范这个问题。问题在于考虑到当前对扫描终端管控力度,如果技术上实现3米的3D扫描,那么,犯罪分子铤而走险的可能性会很大,而且只要解决技术上的问题,“隔空盗刷”实施起来可能比条码更容易。当然,这只是笔者的一种假设。另外一个问题是如果要想解决这个问题,那么就配套要输入密码,但是这个体验就会很差。后的办法依然是限额+赔付这种解决模式。
从现在情况看,刷脸支付大的问题在于人们对于个人隐私信息的担忧,成为刷脸支付发展进程中的“灰犀牛”。用户生物特征普遍暴露在商场、饭店等各种公共场所,不法分子可通过远程、非接触方式,在用户本人毫无察觉的情况下“无声无息”地非法批量采集生物特征信息。刷脸支付的普遍应用,可能导致个人生物的非法采集和买卖成为新的“黑产业链”。这将引发人们对于个人隐私被非法收集和储存的担忧。这种担忧将比之前的个人隐私更甚。微软目前已经悄然删除其大的公开人脸识别数据库——数据库2016年建立,拥有超过1000万张图像,将近10万人的面部信息。微软描述其为世界上大的公开面部识别数据集,并用于培训全球科技公司和军事研究人员的面部识别系统。
人脸识别技术还引发过其他争议。例如,它使得跟踪个人行踪和探查个人行为变得轻而易举,从而对个人隐私造成大规模的侵害。如今一些执法机构经常依靠这项技术来帮助调查案件。如何在保证城市生活安全和个人隐私之间做到平衡,成为许多城市管理者需要解决的问题。今年5月份,美国旧金山就出台了一项法令,禁止警察和其他政府机构使用人脸识别技术。
可以预见,关于人脸识别技术应用产生的个人隐私问题引发的争议将会延绵不绝,可能对刷脸支付的发展前景蒙上一层阴影。
目前,对于将人脸识别技术应用于支付业务,政策上有一定松动。2015年末,央行公布了《中国人民银行关于改进个人银行账户服务加强账户管理的通知》,提出“提供个人银行账户开立服务时,有条件的银行可探索将生物特征识别技术和其他安全有效的技术手段作为核验开户申请人身份信息的辅助手段”。2017年,中国人民银行发布《中国人民银行关于优化企业开户服务的指导意见》,鼓励银行积极运用技术手段提升账户审核水平,包括鼓励银行将人脸识别、光学字符识别(OCR)、二维码等技术手段嵌入开户业务流程,作为读取、收集以及核验客户身份信息和开户业务处理的辅助手段。但这里都强调的是生物特征识别技术作为开户业务处理的辅助手段。如果刷脸技术来替代身份识别或者密码的验证,甚至于远程开户,在政策上似乎还没有“开闸”。