在中国,
移动支付的发展一直走在世界的前列。
二维码时代如此,如今
刷脸支付的到来也被媒体们称作是一场向后看5年的战争。
风口之下,风险与机遇并存
2018年12月,支付宝推出全新刷脸支付硬件产品“蜻蜓”,今年3月,微信支付推出刷脸支付设备“青蛙”。似乎从起名字开始,就预示着刷脸支付会是一场竞争和补贴大战。
从刷脸支付的产品,到双方描绘的智能支付和数字化经营的未来,再到补贴政策,无不昭示着刷脸支付正处在“风口浪尖”。而“风口”意味着机遇,“浪尖”则意味着风险和挑战。
机遇是显而易见的,互联网时代所有的风口来临时都大同小异,比如电商、共享单车、网约车、短视频等等,谁先上了车就有机会迎风而上。但现阶段,刷脸支付作为一种指向未来的支付方式,风险和挑战显然更值得人们关注和产业深思。
首先,刷脸支付的风险存在于超前支付体系下的安全问题。目前,无论是支付宝还是微信,其刷脸支付的原理即是将硬件终端采集到的人脸信息与云端服务器存储的信息进行比对,即1:N的方式,判断信息是否一致,然后进行认证完成人脸支付。整个支付过程中,一方面是如何保证硬件终端侧收集的个人信息和支付信息安全,另一方面则是云端服务器如何防范信息泄漏。
其次,刷脸支付的挑战在于推广成本和接受度问题。尽管目前巨头推出了补贴政策,但是刷脸终端仍然有着较高的硬件成本,对于商户而言,目前的二维码支付已经能满足移动支付需求,对于刷脸的需求不足。另外,无论是商户还是用户,刷脸支付需要有人用才算成功,然而据部分媒体报道目前市面上已经铺设的刷脸支付终端使用率不高,消费者和商家对其接受度有限。
最后,刷脸支付的风口滋生了推广乱象,代理市场混乱不堪。刷脸支付的本质仍然是基于第三方支付账户的支付,和二维码支付一样,线下推广仍然依靠层层代理。支付宝微信需要向商家收取0.2%的手续费,而刷脸支付收取0.3-0.6%的手续费,其中1到4个点的空间便是代理商们的利润来源。无上限的补贴让代理商们将目标瞄准了手续费,层层代理、层层分润导致商户和小代理商很难辨别谁是真正的代理,谁是骗取加盟费的局。
监管之下,刷脸支付需要合规发展
不久前,中国人民银行印发《金融科技(FinTech)发展规划(2019-2021年)》提出,探索
人脸识别线下支付安全应用,借助密码识别、隐私计算、数据标签、模式识别等技术,利用专用口令、“无感”活体检测等实现交易验证,突破1:N人脸辨识支付应用性能瓶颈,由持牌金融机构构建以人脸特征为路由标识的转接清算模式,实现支付工具安全与便捷的统一。
同时,中国人民银行科技司司长李伟发文称生物识别技术正迅速在各行各业推广应用,要冷静看待生物识别技术。并表示,中国人民银行作为监管部门之一,对于新技术在金融领域的应用高度敏感,正在加快制定人脸识别、活体检测、个人信息保护等相关管理标准制度。
其中,对于生物识别尤其是人脸识别技术在支付领域的应用他强调了两点:
1、由于安全性差别悬殊,刷脸支付的线上和线下应用场景应予以谨慎区分。
2、人脸识别支付需要体现用户资金的自主支配权,“人脸识别+支付口令”是目前兼顾安全与便捷的实现方式。
而实际上,由央行组织银联、银行卡检测中心、算法及终端厂商等单位共同编写的《人脸识别线下支付安全应用技术规范》中就明确规定了,人脸的注册与识别都需要采用活体检测,并采用多因数确保用户真实性;对于人脸识别受理终端,建议采用SE、TEE等技术,使其具备唯一标识,并保障无法被篡改;支持基于支付标记化技术的交易处理,支付敏感数据需要进行脱敏,并符合170号文要求;支付交易涉及的软硬件应使用经国家密码管理机构认可的商用密码产品。
因此,无论是线上线下差别监管、人脸识别+支付口令的方式还是TEE、SE技术的加持,刷脸支付的未来需要在监管下合规发展,而标准制定与检测要求则成了重中之重。
如何保护刷脸支付终端算法的安全执行及结果完整性?如何防范人脸数据在支付终端的普通环境下被泄露或篡改?如何更好地满足刷脸支付的安全要求?
在2019第四届中国移动金融安全大会上,银行卡检测中心金融科技研究室主任李博文将为我们带来《人脸识别技术检测要点分析》,一方面分析人脸识别技术潜在的风险,另一方面分享人脸识别的检测方案及指标要求,以及对生物识别技术的应用建议。