从扫码支付到指纹支付,再到基于
人脸识别的
刷脸支付,近年来,
移动支付的便捷度持续提升。据预测,2019年刷脸支付用户将达1.18亿人,3年后有望突破7亿人,取代扫码成为主流支付方式。不过,专家指出,人脸特征存在不稳定性、易复制性等问题,加之支付技术不完善、缺少明确的认证标准和制度规范,刷脸支付目前仍存在诸多安全隐患。
1、应用场景广阔
所谓刷脸支付,是基于
人工智能、机器视觉、3D传感、大数据等技术的新型支付方式。根据艾媒咨询发布的数据,在餐饮、零售、医疗、出行等领域,刷脸支付目前拥有广泛的应用前景,其中,超市、餐厅、购物广场等是最主要的应用场所。
近日,《上海金融报》记者在上海嘉定区的一家盒马鲜生体验了刷脸支付:在自动付款机上选择刷脸支付后,系统会自动关联消费者的支付宝账号,只要按照提示输入手机号后四位即可付款。
另据记者了解,建设银行此前联合上海张江有轨电车推出刷脸乘车服务。乘客只需提前绑定建行的“龙支付”并通过手持终端完成人脸注册,乘车时将脸对准摄像头,待系统完成人脸识别后,便可通过“龙支付”自动扣除票款,无需出示任何银行卡或凭证。“付款时,我更倾向使用刷脸支付,就算手机可能忘带,起码脸不会忘带。”消费者邓先生对《上海金融报》记者表示,“同时,刷脸支付无需打开手机,不仅避免了手机卡顿等问题,也能节省流量。”
“刷脸支付是现代科技发展的必然结果。对用户而言,刷脸支付更加便利,摆脱了手机等硬件设备,不再受手提重物、手机没电等情况制约,真正实现了‘靠脸吃饭’。”北京市盈科律师事务所刑事法律事务部主任高同武告诉《上海金融报》记者,“而且,刷脸支付付费时间更短,有助于提高支付效率、实现分流。此外,支付平台会通过优惠、红包等方式吸引新客户,间接为商家拉动客源。”
“刷脸支付带来了支付链条和交易场景的改变,引发了第三方支付革命。现实生活中,刷脸支付已进入零售、餐饮、医疗、交通等领域,在消费升级背景下,一定程度上满足了人们的新兴消费需求。与此同时,人脸识别技术正在走进更为广阔的应用场景。”上海社科院法学研究所研究员涂龙科告诉《上海金融报》记者。
2、安全痛点凸显
虽然有不少消费者愿意尝鲜,但目前来看,刷脸支付也存在诸多问题。近期,央行相关负责人曾多次公开对刷脸支付的安全性提出质疑。
中国人民银行科技司司长李伟表示,由于安全性差别悬殊,刷脸支付的线上和线下应用场景应予以谨慎区分。中国人民银行科技司副司长罗永忠表示,要坚决保护好强隐私生物特征,合理应用好弱隐私生物特征,牢牢守住信息和资金安全底限,特别是对人脸识别这一热点应用,应坚持守正创新,稳妥推进线下支付应用。
“刷脸支付依赖的人脸识别技术是生物特征识别技术之一。与其他生物特征识别技术不同,该技术以非接触方式识别,采集非常便利,这是其最大的优势,也是最大的风险隐患。”高同武指出。
事实上,在近期于乌镇举行的世界互联网大会上,一名乔装“黑客”的工作人员,通过一张用户个人照片制作了3D脸模,轻易骗过了人脸识别系统的活体检测。
“刷脸支付的数据存在被破译和盗取的风险。”涂龙科指出,“作为人类的生物特征,人脸数据具有唯一性。但当人脸数据被录入计算机,成为计算机代码后,就可能被截获、重构、重放。而且,该支付方式屏蔽了银行卡、
二维码等支付工具或介质,在免密免签情况下,一旦相关数据被不法分子获取,人脸将成为不设防的‘收款码’,不法分子‘隔空盗刷’将更方便。”
“首先,被识别的人脸可能存在容貌近似等情况,而且目前已可以利用技术手段呈现各种容貌,因此,仅通过识别人脸这一单一生物特征进行支付行为存在极高的风险。其次,刷脸支付需将个人面容乃至基因信息上传保存至数据终端,从信息采集、分析、计算到保存,各阶段均不同程度存在信息泄露的风险。若数据终端被不法分子攻陷,将是整个社会的灾难。”高同武进一步指出,“并且,受时间、环境、妆容等因素影响,人的外貌极易改变,若识别条件过于严苛将无法落实技术使用,若过于宽松则不能保证安全性,而相关标准的制定又天然落后于技术发展,这是刷脸支付必须要应对的安全性挑战。此外,相较于密码或指纹支付,刷脸支付的主观意愿是否真实更难把控,在发生纠纷时,如何进行司法裁量也是新的挑战。”
3、规则亟待建立
在业内人士看来,要解决刷脸支付的痛点,需社会各方共同发力。
“首先,政府应当引导行业建立统一标准,筑起保护用户隐私的‘堤坝’。尽快完善《支付机构网络支付业务管理办法》,统一出台相应的安全技术标准、检测认证标准、业务规则及消费者权益保护机制,严格刷脸支付的审批程序和业务报送制度。”涂龙科如是建议。“其次,监管部门应将刷脸支付纳入日常监测范畴,对数据传输、内部控制等方面存在较大风险的业务要严密监测,预测到潜在风险时应及时警告甚至叫停,防止风险的发生和蔓延。此外,对于刷脸支付相关案例,司法部门应及时判决,并适当加重处罚力度,发挥典型司法案例对社会的教育作用。”
“技术开发平台方面,则应进一步加大技术研发攻关力度,切实查找并弥补现行刷脸支付平台运行中的技术漏洞,通过多种技术手段联合使用,提高支付平台的技术安全性。同时,应主动建立健全风险赔付资金、保险计划、应急处置等风险补偿机制,保障消费者资金与信息安全。”涂龙科进一步表示。
“司法部门在处理涉及利用人脸信息的案件时,可依据《刑法》、《网络安全法》、《电子商务法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》及2020年1月1日起实施的《中华人民共和国密码法》等相关法律法规,并应及时出台相关领域的司法解释,以应对可能出现的相关问题。”高同武指出,“同时,区块链具有去中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等特点,保证了区块链的‘诚实’与‘透明’,为区块链创造信任奠定了基础,可利用区块链技术降低支付风险。”涂龙科也认为,区块链技术可解决刷脸支付中的相关风险。“一方面,利用该技术可搭建一个去中心化的分布式记账平台,即使黑客篡改了某个节点上某位用户的信息,其他用户也能通过其他节点发现相关问题。另一方面,区块链技术对用户隐私的保密性极强,可为刷脸支付的安全性提供多重保障,并能够确保所有参与者诚信交易,实现人际信任的最大化。”涂龙科表示,“目前,区块链技术已得到全球的高度重视,并落地了一些颇有成效的应用。在金融、互联网、大数据紧密结合,刷脸支付即将普及的时代,具有诸多先天优势的区块链技术有望大放异彩。”
“一旦用户在使用刷脸支付后钱款受损,应第一时间联系银行暂停使用绑定的银行卡或通过手机App暂停第三方支付软件的使用。如果条件允许,可通过客服电话尽可能详细获取盗刷者的信息,包括何时、何地、通过何种方式消费,以及购买的物品种类、金额等,并尽快拨打110或到当地公安机关报案,将获取的信息详尽告知公安机关,以便追究其法律责任。若因为支付机构未设置好相关安全措施、泄露用户生物信息等情形给消费者造成损失,支付机构也应承担相应赔偿责任,用户可向法院提起民事诉讼。”高同武指出。
“用户在使用刷脸支付后权益受损,可直接和商家协商,要求其退回资金。若商家拒绝退回,可向技术平台反馈,要求技术平台作出相应处理;在不易发现具体侵害人的前提下,可向刷脸支付的技术开发平台要求赔偿。如果通过上述两种方式,消费者均不能很好维护自身权益,则可保留刷脸支付的相关证据,向消费者保护组织投诉,也可向市场监管部门投诉,或向法院起诉。”涂龙科表示。