人臉識別技術在支付領域的發(fā)展及存在問題的研究

摘要：人臉識別是一種基于人的面部特征信息進行身份識別的先進技術，應用這種技術進行支付活動具有支付速度快、非接觸性和操作簡單的優(yōu)勢，近年來在支付領域得到迅速發(fā)展。但因個人面部特征信息與金融密切相關，所以操作存在一定風險。該文闡述了人臉識別生物技術在支付領域的發(fā)展歷程、發(fā)展現(xiàn)狀，分析了該技術在支付系統(tǒng)的應用優(yōu)勢，指出了人臉識別在安全性方面存在的風險，并提出了該技術在支付領域持續(xù)安全穩(wěn)定發(fā)展的對策建議。

關鍵詞：人臉識別;支付領域;支付安全

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）19-0082-03

人臉信息識別技術是近幾年借助光電技術、信息技術、圖像處理技術與模式識別等先進技術而迅速發(fā)展出現(xiàn)的一種嶄新技術，屬人體生物信息識別技術范疇，它可以高效、精準、衛(wèi)生地對用戶進行身份認定，現(xiàn)已被廣泛應用于支付領域[1]。用戶在進行支付時不必出示錢包、銀行卡或手機，只需要面向刷臉屏幕上的攝像頭或者手機App付款界面的面部識別框，收銀終端設備就會對消費用戶的面部生物信息進行定位和識別處理，同時與個人資金賬戶相匹配，交易過程十分便捷，尤其在疫情期間這種非接觸式的支付更加安全可靠。

1人臉識別技術在支付領域的起源發(fā)展

2013年7月芬蘭創(chuàng)業(yè)公司Uniqul發(fā)布并啟動了世界上第一款應用臉部信息識別技術的支付平臺，利用該項技術不僅可以極大地縮短支付時間、簡化支付流程，而且因其擁有“軍用級別”算法的保護[2]，安全性也可以得到保障。人臉識別支付可以稱為顛覆支付行業(yè)的全新革命，從1.0的現(xiàn)金時代到2.0的刷卡時代，再到3.0的掃碼時代，短短幾年的時間，掃碼支付成為深受人們追捧的支付方式。而今4.0時代已經(jīng)到來，刷臉支付技術隨之誕生了，如圖1所示。

2人臉識別技術在支付領域的應用現(xiàn)狀

傳統(tǒng)支付認證方法存在不足，如簽名容易被偽造、密碼容易被遺忘。指紋和虹膜識別新技術雖然誤識率較低，但采集設備需要特制的攝像頭和紅外感應等，應用場景推廣成本居高不下，導致未能被廣泛地推廣和普及。聲紋驗證難以精確匹配，而且容易被不法分子復制。人臉識別支付認證技術因其具有唯一性、不可復制性和穩(wěn)定性的特點，安全性更高，優(yōu)勢更明顯，應用場景也更為廣泛。

2.1 人臉識別支付用戶規(guī)模持續(xù)擴大

目前我國移動支付產(chǎn)品已滲透生活方方面面，行業(yè)呈高速增長態(tài)勢。其中能提高用戶支付體驗度的人臉識別支付在技術探索和商業(yè)化運作方面更是領先世界。數(shù)據(jù)顯示，2018—2020年中國人臉識別支付用戶規(guī)模持續(xù)擴大。其中2018年為0.61億人，2019年1.18億人，2020年達到2.43億人。預測2021年將達到4.95億人，2022年有望達到7.61億人，見圖2。

2.2 人臉識別支付應用場景不斷增多

隨著人臉識別身份審核在交通場所、邊境通關等身份核驗場景的廣泛應用，該技術在用戶“無感”體驗方面的優(yōu)勢越發(fā)明顯，同時也得到了國內(nèi)金融市場的關注。刷臉支付具有準確性、安全性、實時性的特點目前已經(jīng)實現(xiàn)線上線下打通，數(shù)字化經(jīng)營[3]。線下應用如ATM刷臉存取款、自助點餐、商超購物、自助結賬、公共交通、醫(yī)療衛(wèi)生、酒店住宿等方面均可完成身份識別和付款過程。在大型商超及餐飲業(yè)，相較于二維碼支付人臉識別支付更為便捷。在一些不方便攜帶手機甚至禁止使用手機的公共場所，如游泳池、加油站人臉識別支付更有優(yōu)勢。線上應用如銀行手機App、京東和阿里巴巴等線上消費平臺，消費者無須掃碼或輸入支付密碼，只需利用自身手機的人臉解鎖攝像頭即可完成身份識別和賬單支付。線上的手機人臉識別支付設備擁有3D結構光等人臉識別攝像頭，具有活體檢測工作能力，可達到金融級安全驗證，更能安全保障消費者的交易資金和信息數(shù)據(jù)安全。

2.3 人臉識別支付與其他支付方式相比優(yōu)勢更明顯

（1）安全性可靠，用戶使用更放心

和傳統(tǒng)數(shù)字密碼相比，人臉面部特征信息具有唯一性、穩(wěn)定性和不可復制性特點，而且在人臉識別支付驗證時采用生物信息識別技術，能夠大大提升信息比對的準確性，降低密碼泄露概率。和條碼支付相比，手機支付靜態(tài)碼存在被盜取、冒用和植入病毒的風險，而人臉識別支付進行的是活體檢測，在信息審核過程中可以杜絕冒名頂替的現(xiàn)象發(fā)生，安全性更高[4]。即使有些消費者做過整容手術，生物信息識別技術也能從數(shù)百項面部特征中開展匹配工作，找出“原來的你”。

（2）便利性更好，提升用戶體驗

首先，相較于虹膜識別和指紋識別等生物技術手段需要強制用戶個體配合，人臉識別則不需要每次識別時有用戶的授權與配合?，F(xiàn)在的技術可以實現(xiàn)在用戶幾乎沒有意識的情況下獲取人臉信息特征，而且算法的提升也會讓人臉識別檢驗在瞬間完成，方便快捷。其次，要實現(xiàn)采集所有用戶的虹膜信息和指紋信息工作量巨大，還需要在手機或POS機上附加額外的裝置，更是難上加難[5]。而每個用戶辦理身份證時都采集過面部信息，從對比庫的層面來看人臉識別還是具有優(yōu)勢的。再者，在移動互聯(lián)網(wǎng)時代，使用手機進行支付非常方便，所以大多數(shù)人外出不帶現(xiàn)金只帶手機，但是一旦遇到手機斷電或者丟失，支付活動將無法進行，而刷臉支付卻可以解決這類尷尬的問題。

（3）疫情期間成為最好的“防護手段”

在當今新冠病毒疫情環(huán)境下，人類抗疫防疫工作已經(jīng)常態(tài)化，人臉識別技術可以有效減少人們用手接觸物體也可以縮短在人群中停留的時間。在公共區(qū)域如菜市場、超市、醫(yī)院使用人臉識別支付可以簡化消費者付款時拿出手機、解鎖、掃碼和輸入密碼等一系列操作，整個支付過程只需3-5秒，可以迅速完成支付并離開，避免了人群在收銀處排隊聚集的情況，確保公眾安全。

3人臉識別支付的潛在風險

雖然刷臉支付因能提升支付服務的便捷性而越來越主流，但是從安全的角度考慮也并非萬無一失，存在如下潛在風險。

3.1 假體攻擊風險

利用假體攻擊可乘人不備盜刷用戶現(xiàn)有財產(chǎn)。不法分子借助照片、視頻、高仿面具等資源，仿冒用戶人臉進行3D攻擊，且隨著大數(shù)據(jù)、云計算和人工智能等高新技術的運用，攻擊手段也迭代更新，不法分子可應用日趨成熟的AI換臉技術完成盜刷或通過高清3D仿真面具完成盜刷等，無疑會給用戶資金安全帶來嚴重威脅。而且用戶信息的泄露是不可逆的，原因在于人臉信息密碼不同于傳統(tǒng)的數(shù)字密碼和二維碼密碼，傳統(tǒng)密碼泄露之后可以通過手機短信驗證或郵箱驗證的方式更改數(shù)字組合、重置二維碼加以挽救。而人臉生物信息一旦被采集即具有唯一性和不可更改性，如遇非法操作導致信息泄露將是終身泄露無法彌補，無疑會將個人財產(chǎn)和信息安全置于更大的不確定性中，進而引發(fā)一系列風險。

3.2 信息泄露風險

目前支付機構在提供人臉識別支付服務時，都會采集和存儲用戶的人臉生物信息、身份信息和銀行賬號等，并將這些信息存儲于用戶特征數(shù)據(jù)庫。然而服務器端存儲的這些用戶特征數(shù)據(jù)一旦泄露，會對公民信息造成侵犯，導致用戶信息被買賣或者被黑客竊取。買賣公民信息的問題屢見不鮮，媒體也不斷爆出類似“人臉數(shù)據(jù)遭公開售賣”的新聞。在利益的驅使下，除了公民信息被買賣以外，還有黑客竊取刷臉支付采集信息。被黑客竊取的用戶信息會被用于任何能夠獲利的地方，致使用戶個人信息被公開造成重大經(jīng)濟損失。再者人臉生物信息具有不可挽回性，如果不慎泄露或者被黑客盜用將無法重置或找回，這勢必會形成嚴重的系統(tǒng)性風險。

3.3 非授權支付風險

人臉識別支付是將云端存儲的信息與通過終端硬件采集的活體人臉信息進行比對，驗證個人身份后完成認證與支付。將三個貫序流程壓縮為一個人臉掃描的動作雖然速度快，但也存在非授權支付，比如隔空盜刷的風險，不法分子可在用戶本人毫無察覺的情況下，通過遠程、非接觸的方式獲取用戶人臉信息。與條碼支付通過區(qū)分主動掃碼與被動掃碼兩種方式解決非授權支付風險不同，人臉掃描是無法區(qū)分主動掃臉或被動掃臉的，因此，難以舉證用戶授權的主動性與真實性，用戶權益無法得到法律的保護。

4人臉識別支付的風險防控建議

4.1 提高公眾安全防范意識

隨著人臉三維識別技術的日趨成熟，刷臉支付已經(jīng)覆蓋人們生活的方方面面包括交通、醫(yī)療、教育、金融、線上交易等行業(yè)，人們在青睞于它的便捷、智能的同時也要提高自身的安全防范意識。首先，有關部門必須加大宣傳力度，通過開展線下的人臉識別安全宣傳進社區(qū)或者線上的網(wǎng)絡信息安全知識問答等多種形式的活動提高公眾的個人信息保護意識，從源頭上杜絕人臉信息泄露。其次，用戶使用刷臉支付APP時一定要認真閱讀隱私條款，如發(fā)現(xiàn)條款存在模糊不清、晦澀難懂的情況一定謹慎操作，甚至可以拒絕使用。如發(fā)生個人信息泄露一定及時向執(zhí)法部門舉報，維護個人利益。

4.2 規(guī)范人臉信息采集標準

雖然在人臉識別支付技術發(fā)展過程中遇到的安全問題時，我國已經(jīng)建立了相關的政策法規(guī)保障消費者的權益和數(shù)據(jù)隱私，但是目前對人臉信息采集、存儲、傳輸和利用等環(huán)節(jié)的標準還有很多不明確之處，導致用戶的信息和財產(chǎn)不能得到保護。針對這些問題，首先建議數(shù)據(jù)源提供部門、人臉識別技術提供企業(yè)、公安部門多方合作，制定出統(tǒng)一的應用規(guī)范、技術標準應用于人臉識別支付行業(yè)，明確人臉實行各個環(huán)節(jié)的安全管理要求。其次，對提供人臉識別業(yè)務的服務商嚴加管控，只允許部分信任度高、技術成熟的服務商提供人臉識別服務，如政府單位部門。對于那些信任度低、技術不成熟的服務提供商，應當要求他們在提供人臉識別服務的同時，附加如密碼認證等其他認證方式加以保護。以期構建一個健康的人臉信息數(shù)據(jù)生態(tài)圈，使人臉識別支付行業(yè)在數(shù)字經(jīng)濟環(huán)境下健康發(fā)展。

4.3 加大公安機關打擊犯罪力度

針對刷臉支付過程中可能引發(fā)的一系列安全問題，建議公安機關組織多部門聯(lián)合預測預警、開展嚴厲打擊違法犯罪行為行動將其斬斷殺絕。具體可從以下幾方面開展：一是聯(lián)合相關執(zhí)法部門和信任度好的科技公司，對采用刷臉支付的線上線下場景同抓共管，實施大數(shù)據(jù)預測預警以及常態(tài)化監(jiān)控機制，掌握打擊刷臉支付違法犯罪行為的主動權，將未經(jīng)用戶允許而非法采集用戶信息的行為遏制在萌芽期;二是對已被認定為違法犯罪的行為，如對實施假體攻擊、未經(jīng)允許私自采集公民人臉信息的人員，加強行政執(zhí)法和監(jiān)督檢查，在法律規(guī)定的范圍內(nèi)從嚴從重處罰以震懾違法犯罪分子，確保用戶交易安全。

4.4 加快立法保護和全方位監(jiān)管

執(zhí)法部門應盡快在已有的法律制度基礎上建立健全人體面部信息的采集、使用、保管及終端設備的設計、生產(chǎn)、銷售標準規(guī)范，并逐漸將其細化完善。探索安全長效監(jiān)督機制規(guī)范用戶信息采集流程、限制人臉識別支付技術使用范圍、明確信息采集深度與合理的數(shù)據(jù)保管方法，同時給予信息被采集者選擇權、知情權、個人信息控制權和刪除權等基本信息行使權利。

人臉識別支付的監(jiān)管方主要是央行、公安部和工信部，各部門分別在支付、公民信息財產(chǎn)安全、終端設備安全方面占據(jù)主導地位。中國人民銀行作為支付行業(yè)的監(jiān)管者，應加快出臺支付行業(yè)中人臉識別技術應用的技術標準和應用規(guī)范;公安部作為公共信息網(wǎng)絡安全監(jiān)察的主體應加強對公民信息安全的保護，對利用人臉信息侵犯公民權利的犯罪行為予以嚴厲打擊;工信部作為信息化建設主體應督促刷臉支付機構對云端服務器等終端設備進行技術升級，降低信息泄露風險。

5結束語

隨著我國人工智能和移動支付的不斷發(fā)展，人臉識別支付在金融行業(yè)已大范圍應用，未來也將有廣闊的發(fā)展空間。對于刷臉支付服務商來說其所遭遇的困境，在一定程度反映了新技術尚有很長的路要走。對于人們來說在感受其帶給我們便利性的同時，也要注意使用過程中的安全問題。微信、支付寶和銀聯(lián)等支付機構要不斷完善技術標準和終端設備功能，監(jiān)管部門也要統(tǒng)一規(guī)范支付機構的技術認證和風險防范機制，全方位地最大限度地保護社會公眾的財產(chǎn)和信息安全，使人臉支付行業(yè)健康穩(wěn)定發(fā)展。

參考文獻：

[1] 胡娟，秦玉華.淺析人臉識別技術在支付領域的應用[J].金融會計，2020（6）：53-56.

[2] 謝丹.無感支付發(fā)展現(xiàn)狀與思考[J].福建金融，2019（9）：35-37.

[3] 劉曉明，夏天文.支付機構刷臉支付技術應用現(xiàn)狀及問題研究[J].金融科技時代，2020，28（12）：59-63.

[4] 于一男.人臉識別支付應用研究[J].金融縱橫，2019（12）：32-36

[5] 李冰.人臉識別在金融領域應用的安全性分析[J].保密科學技術，2021（1）：48-52.

收稿日期：2021-12-05

基金項目：《網(wǎng)上支付與結算》課程改革;《網(wǎng)上支付與結算》實訓指導書成果

作者簡介：劉偉偉（1982—），女，黑龍江齊齊哈爾人，哈爾濱職業(yè)技術學院電子商務專業(yè)教師，講師，碩士研究生，主要研究方向為電子商務。