支付机构刷脸支付技术现状及问题研究

中国论文网 发表于2021-06-28 21:09:29 归属于银行论文 本文已影响648 我要投稿 手机版

       
中国论文网-lunwen.net.cn

  摘要:随着移动互联网技术、人工智能、大数据的深入发展,移动支付已经成为了目前我国增速最快的支付方式。生物识别技术也被应用到移动支付领域,如指纹支付与刷脸支付等。2019年8月,人民银行印发《金融科技(FinTech)发展规划(2019-2021年)》,明确了刷脸支付的发展方向,认可了其“科技赋能支付服务”的能力。本文主要阐述了目前最具代表性的支付机构在刷脸支付技术上的发展历程、支付流程、终端产品技术特点,并就刷脸技术应用中存在的问题提出相关对策建议。

  关键词:支付机构;人脸识别;刷脸支付;生物信息

  一、我国支付机构刷脸支付技术应用现状

  (一)刷脸支付技术的发展历程。刷脸支付主要依赖于人脸识别技术,将人脸识别应用于支付领域起源于芬兰。2013年7月,芬兰创业公司Uniqul推出了第一款基于人脸识别的支付系统。该刷脸支付流程为:用户面对收款机的屏幕摄像头,收银系统会对用户的面部进行自动拍照和扫描,再通过数据库的信息与已采集到用户面部图像数据进行比较。同时,用户面部数据信息关联到支付系统,用户身份信息会在收银屏幕显示,触摸显示屏数据信息确认,便完成支付交易。在此之后,美国、英国与日本也相继推出了各自的刷脸支付系统,如Google的支付应用HandsFree等。随着人脸识别技术不断发展和完善,我国支付机构也开始进行刷脸支付的技术研发与商用探索,目前具有代表性的有支付宝、微信与银联三家支付机构(见表1所列)。(二)支付机构刷脸支付技术分析。1.刷脸支付人脸识别技术。在人脸识别中,根据人脸的表达模型不同,目前主要有二维和三维人脸识别技术。其中,三维人脸识别研究的时间相对较短,二维人脸识别相对成熟。但是由于二维信息存在深度数据丢失的局限性,无法完整地表达出真实人脸,所以存在识别准确率不高与活体检测准确率不高等问题。三维人脸识别在颜色、纹理、深度等方面的数据信息更丰富,无论在识别准确度上还是活体检测准确度上,均比二维人脸识别更加具有优势。目前,支付机构在刷脸支付技术实现过程中,通常采用的是三维人脸识别技术。对用户进行人脸识别时,系统运用软件与硬件结合的方式进行活体检测,由此辨别对采集到的面部数据是由为照片、视频和其他软件虚拟生成。刷脸支付不仅需要人脸识别算法的支持,还需要相应摄像头模组等硬件设备的支持。2.刷脸支付硬件需求。目前,支付宝、微信和银联支付机构刷脸支付终端产品采用的是三维结构光摄像头。三维结构光技术原理是以红外发射激光器投出2万-3万个散斑点,然后根据红外接收摄像头感知到的光线折回后的变化来完成对位置深度的测算。由于摄像头模组涉及精密光学设计、芯片、算法与生产多个环节,技术门槛高,因此国内当前能够达到规模化量产维摄像头模组的企业数量很少。目前,支付宝“蜻蜓”选用了蚂蚁金服与奥比中光共同成立的蚂里奥提供的摄像头;微信“青蛙”采用华捷艾米作为三维摄像头模组服务提供商;银联“刷脸付”则多来自于奥比中光与华捷艾米。3.刷脸技术人脸识别算法区别。目前,支付宝、微信与银联主要采取自研或者与专业人脸识别公司合作的策略。其中,支付宝“蜻蜓”与微信“青蛙”的人脸识别算法主要来源于自研,银联“刷脸付”的人脸识别技术主要来自于云从科技、依图科技、商汤科技、旷视科技等服务提供方(见表2所列)。(三)刷脸支付流程。1.支付宝、微信支付刷脸支付流程。由于目前刷脸支付的产品业务流程尚未标准化,所以不同机构的刷脸支付产品业务流程尚存在一定的差异。其中,支付宝和微信支付基本一致,具体如下:用户进入支付环节,选择刷脸支付方式;采集符合质量要求的人脸并完成活体检测;用户输入支付宝(微信)所绑定的手机号,根据后台安全风险智能决策系统,要求输入的手机号位数可能会不同。从实际应用场景来看,用户如果偶尔光顾某家门店使用刷脸支付,通常需要输入11位手机号。对于经常光顾门店使用刷脸支付的用户,只需要输入后4位手机号甚至不需要输入手机号,就可以直接进入支付确认页面(手机号输入位数的判定逻辑由刷脸支付系统自动决定),如图1所示。2.银联刷脸支付流程。银联刷脸支付的业务流程与支付宝和微信支付有所不同,采用了“刷脸+支付口令”的安全验证方式,主要流程如下:用户进入支付环节,选择刷脸支付方式;采集符合质量要求的人脸并完成活体检测;用户需要输入支付密码,如果正确,则会进入支付确认页面,进行确认支付,如图2所示。

  二、刷脸支付存在的问题

  (一)刷脸支付终端机具安全问题。目前,《金融科技(FinTech)发展规划(2019-2021年)》明确了刷脸支付线下应用的发展方向,提出利用专用口令、“无感”活体检测等实现交易验证。支付机构和关联企业相继推出了刷脸支付的诸多终端机具设备,并在宣传中主打活体检测。软件层面,通过大量的训练和实践让深度学习算法具有极强的检测能力。硬件层面,通过红外等各种技术辅助验证,成熟厂商的刷脸支付终端机具设备的错误率已经降至十万甚至百万分之一,基本解决人脸误识、误判的问题,但仍存在3D假体欺诈以及乘其不备盗刷他人账户的问题,其中假体攻击包括通过AI换脸技术盗刷以及通过高3D头部模型与照片盗刷等。2019年12月,美国公司Kneron表示通过高清3D面具和照片欺诈了多个人脸识别系统,包括支付宝和微信。2020年1月21日,中国裁判文书网公布了一起案件,不法分子通过制作公民3D头像骗过支付宝人脸认证识别系统,注册支付宝账户,非法获利4万元。上述案例说明了,目前支付机构刷脸支付硬件本身存在一定的问题和风险。(二)刷脸支付监管制度不完善。《非银行支付机构网络支付管理办法》第二十条规定:“支付机构应当以‘最小化’原则采集、使用、存储和传输客户信息,并告知客户相关信息的使用目的和范围。支付机构不得向其他机构或个人提供客户信息,法律法规另有规定,以及经客户本人逐项确认并授权的除外。”但这种原则性规定过于简单,未明确对包括脸部信息在内的不可更改的生物特征信息进行区别性严格规定。同时,关于违反信息责任的罚则也较轻,《管理办法》引用《中华人民共和国中国人民银行法》第四十六条作为罚则,如果发生信息泄露,在无违法所得的情况下只能处以最高200万元的罚款。(三)云端服务器信息泄露风险。支付宝、微信、银联等支付机构的刷脸支付技术,都是通过将硬件设备采集到的用户面部信息数据与云端服务器存储的个人脸部数据信息进行匹配、核对,当两者数据相同时即可解锁完成支付。这说明了云端服务器数据重要性。如果支付机构云端服务器中毒或被黑客攻击,发生数据库信息数据泄露现象,易出现以下后果。一是不法分子可以售卖个人脸部数据信息进行牟利。二是根据收集到的用户个人脸部数据和个人隐私信息,应用AI技术手段进行实时换脸,再结合仿真音频技术,与用户个人亲朋好友进行视频聊天进而实施网络诈骗,具有非常强的迷惑性。三是根据支付宝(微信)刷脸支付流程,如果不法分子获得用户个人脸部数据信息和注册手机号码,进行刷脸支付,用户本人资金将被盗刷。(四)用户生物信息安全问题。一是脸部生物信息易丢失。相较于二维码支付、指纹支付、声纹支付等方式,刷脸支付在信息采集上略有不同。由于人脸长时间暴露在外,各种摄像头都有充足的机会捕捉到人脸特征,尤如“行走的密码”,这也是刷脸支付技术推广中最为疑难的安全问题。二是面部数据唯一性。用户使用IC银行卡密码支付或者手机银行二维码支付时,密码是可以更改的。如果用户IC银行卡或手机遗失,可以通过对IC银行卡挂失止付或停用SIM卡等操作,确保资金安全。但是人脸支付、指纹支付则不同,指纹、人脸等生物信息具有唯一性和不可更换性,一旦泄露将无法变更,且容易产生用户个人的资金被盗刷等问题和风险。

  三、对策建议

  (一)规范技术标准和强化行业监管。一是统一技术标准。目前支付机构刷脸支付技术、终端机具设备各不相同,人民银行应出台刷脸支付相关制度文件,统一技术规范,明确系统软硬件要求,包括人脸识别算法、三维摄像头参数标准、系统安全等方面。二是强化行业监管。刷脸支付是较为复杂的支付技术,要统筹各方监管力量,加强对刷脸支付行业的监管。建议建立联合监管协调工作机制,人民银行作为牵头部门,积极做好与公安部、工信部等部门的监管合作,定期召开联席会议,加强对用户个人信息的安全保护,坚决打击不法分子利用刷脸支付侵犯用户个人权利的行为,督促支付机构和关联厂商对刷脸支付终端机具设备进行技术改造和升级,不断提高刷脸支付的安全性。(二)规范信息采集和加快立法保护。一是明确脸部信息采集内容。人民银行可通过实地调研、座谈、发放调查问卷等方式,收集银行业金融机构、支付机构、终端机具设备厂商、社会公众关于人脸生物信息的采集、存储标准的意见和建议,制定出台统一的生物信息采集规范和细则。二是加快个人生物信息立法保护。目前,欧盟、巴西等组织和国家都统一在立法中加强了对用户生物信息数据的保护,我国可以参照做法,以立法的形式,将个人生物信息保护等内容纳入《中华人民共和国个人信息保护法》之中。三是强化商户培训考核。支付机构应当最大限度地确保用户信息安全,严防人脸等生物信息泄露,严格商户准入条件,认真审核商户终端设备持有者的资料,加强对商户培训,以定期考核等方式保证商户操作者专业化水平的提升。(三)做好系统运维和防范数据泄露。支付机构要高度重视刷脸支付系统信息维护和安全管理工作。一是要建立完善的内部管理制度。支付机构应建立完善的刷脸支付系统等内部管理制度,明确系统安全管理职责和人员配置。二是做好服务器升级维护工作。定期升级服务器防火墙和下载系统漏洞补丁,有效防范黑客利用服务器系统漏洞进行恶意攻击,造成用户个人脸部数据和隐私信息泄露。三是做好服务器灾容备份。鉴于刷脸支付信息数据、人脸数据等信息的重要性,应建立服务器异地灾容备份,定期开展应急演练,有效提高支付机构现场处置和恢复能力,在灾难性事件时,可将损失降到最小。(四)提高社会公众安全与防范意识。随着刷脸支付三维人脸识别技术的日趋成熟,刷脸支付覆盖了交通、餐饮、金融、医疗等人们生活的各个方面。其便捷性、智能性的特点,越来越受到社会公众的喜爱,但同时也带来一些问题,需要用户提高安全防范意识。人民银行和支付机构应加强刷脸支付、指纹支付等生物支付宣传工作,通过电视广播报纸、现场活动答惑、电子屏幕、横幅标语、官方微信等线上线下方式进行宣传,向社会公众宣传刷脸支付等典型案件的技术特点、犯罪特征、防范措施,进一步提高社会公众的法律意识、安全意识。

  四、结论

  随着人工智能和信息技术的不断升级完善,刷脸支付技术的识别精准率将持续提高,在一定程度上保障了刷脸支付的安全性。然而,目前我国的刷脸支付市场仍然处在试点推广期,支付宝、微信和银联等支付机构刷脸支付在技术准入、终端机具检测认证、支付方式等方面仍需不断完善,刷脸支付存在一定的问题和隐患,亟须监管机构对支付机构刷脸支付的准入机制、技术认证、支付流程、风险防范机制进行统一构建和规范。支付机构在为用户提供刷脸支付服务的同时,应在人脸识别的基础上增加其他因素验证方式,从最大程度上保护用户的财产安全。只有做到安全与便捷同行,刷脸支付才能成为未来主流支付方式。

  参考文献:

  [1]赵淑钰. 生物识别信息法律规制的国际经验与启示[J]. 中国信息安全,2019(11):37-39.

  [2]吕尧,周千荷. 欧美限制人脸识别技术对我国的启示[J]. 网络空间安全,2020(2):93.

  [3]蔡雄山,袁俊. 如何应对人脸识别技术的安全隐忧[N]. 光明日报,2019-12-26.

  [4]邹栋,颜飞. 计算机人脸识别技术的发展现状与应用实践[J]. 计算机产品与流通,2017(9):13.

  作者:刘晓明 夏天文 单位:1.中国人民银行盐城市中心支行2.中国人民银行建湖县支行

中国论文网-lunwen.net.cn
返回银行论文列表
展开剩余(