作者:中国光大银行信用卡中心作业部项殷
2019年可谓是中国刷脸支付的元年。支付宝、微信支付、中国银联纷纷推出自己的线下刷脸支付产品,刷脸支付这一新兴支付市场形成了三足鼎立之势。
线下刷脸支付市场开启
我们简要回顾支付宝、微信支付、中国银联布局线下刷脸支付的时间轴:
· 2018年12月
支付宝推出刷脸支付终端“蜻蜓”,开启线下刷脸支付市场。
· 2019年3月
微信支付推出刷脸支付终端“青蛙”,主打“刷脸即会员”模式。
· 2019年10月20日
中国银联联合60家金融机构发布“刷脸付”(代号“蓝鲸”),蓝鲸作为首个基于金融级安全标准打造的人脸支付服务,采用“人脸识别+支付口令”的支付方式,兼顾安全与便捷。
对于当下支付市场来说,三大支付巨头对刷脸支付的市场布局和推广普及无疑是让人欣喜和期待的。一方面,对于商家来说,刷脸设备不只是一种简单的交易结算工具,“刷脸即会员”的智能性叠加营销广告和增值服务,大大增加了商家收益;另一方面,对于消费者来说,刷脸设备可以使其摆脱对手机介质的依赖,这是一次完全脱离实物承载介质的支付变革,大大提升了支付体验。
刷脸支付安全性有待考量
在提升消费者支付体验的同时,刷脸支付的安全性还有待考量。理论上,刷脸支付的基本原理是将刷脸终端硬件采集到的人脸信息与云端存储的人脸信息进行识别对比,确定信息是否一致,然后解锁完成人脸支付。由此可能带来三种风险:一是云端生物数据库发生信息泄露,并被不法分子获取和掌握,从而发生“盗脸”;二是运用照片、面具等假体进行攻击,对用户资金安全造成危害;三是隐藏或新增的算法漏洞可能被不法分子发现并加以利用,进而造成系统性风险。
近一年内,不断被爆出的“人脸信息”泄露和公开贩卖的危机事件,如换脸App“ZAO”可以让人随意AI换脸、丰巢智能柜人脸识别系统被打印的照片破解、某些互联网平台低价售卖不同表情的人脸照片……这些危机事件的发生进一步说明人们对于刷脸支付安全性的担忧不无道理。
三家刷脸支付产品分析
针对刷脸支付的安全风险,我们从人脸识别、账户信息验证、交易限额管控三个方面来分析支付宝的蜻蜓、微信支付的青蛙和中国银联的蓝鲸三种刷脸支付产品各自的安全性。
(1)人脸识别方面,目前,人脸识别技术主要分为两大类:2D人脸识别技术和3D人脸识别技术。其中,丰巢智能柜人脸识别系统采用的是2D人脸识别技术,摄像头简单采集一些面部信息并经过简单算法后,形成2D平面图像,安全级别低,易被照片和面具攻击破解。而三大支付巨头的刷脸终端设备在采集人脸信息时使用的都是安全等级最高的3D活体检测技术,即终端的摄像头采用的是最高级的3D结构光摄像头,该摄像头犹如人的双眼,能够感知物体的深度信息,从而构建人脸3D立体模型,再附加眨眼检测、点头转头动作,通过人工智能大数据算法来精准识别人脸是否为活体,精准率基本能达到99%以上,可以有效避免利用打印的照片、软件视频或面具等冒充用户等情况,以此杜绝假体攻击。
支付宝的蜻蜓、微信支付的青蛙和中国银联的蓝鲸这三类刷脸终端设备都是由各自合作的摄像头提供商、算法机构、终端厂商生产,并在各家拓展的刷脸商户使用。其中,只有中国银联的蓝鲸正式通过了银行卡检测中心的人脸识别技术检测和认证。
(2)账户信息验证方面,支付宝和微信支付除了首次支付时需要验证绑定手机号以验证用户的账户信息外,后续支付均无需再次验证手机号,只要通过人脸识别,即默认账户信息验证成功,便可发起扣款请求。而中国银联在完成人脸活体检测后,需要用户输入自定义的支付口令,用户主动确权,通过支付口令完成账户验证后方可发起扣款请求。
基于人脸生物特征的弱隐私性,用户暴露在商场、饭店等各种公共场所,不法分子可通过远程、非接触方式,在用户本人毫无察觉的情况下,“无声无息”地非法批量采集生物特征信息。此外,基于生物特征信息数据的集中存储,一旦热点应用的生物特征库被攻破,会导致大规模隐私泄露的系统性风险。这些客观存在的风险意味着在支付时仅依靠单一生物特征进行金融交易验证,存在着严重资金盗刷交易隐患。因此,为了兼顾金融交易服务的安全性和便捷性,不能只将人脸特征作为唯一的交易验证要素,需要根据风险等级结合支付口令等其他因素进行多因素认证。
(3)交易限额管控方面,为防控交易风险,三家机构推出的刷脸支付服务都设置了交易限额。其中,支付宝的刷脸支付单日限额是5000元,即一个人单日刷脸支付的交易金额累计不超过5000元。微信的刷脸支付单笔限额1000元,单日限额1000元,单日刷脸次数为100次,即用户通过微信进行刷脸支付的次数若超过100次,则当日无法再进行刷脸支付。中国银联的刷脸支付单笔限额为3000元,单日累计限额为5000元,各银行的银行卡所具备的刷脸支付具体限额仍由各银行依据其风控策略自行定义,并支持用户自行修改。
从三家刷脸支付产品的交易限额设置来看,微信的刷脸支付限额最低,同时还增加了单日支付次数的限制,风控策略更为完善。此外,为了切实保障用户的支付安全,支付宝和中国银联对刷脸支付也配套了相应的风险赔付机制。
随着信息技术的不断升级完善,刷脸支付所采用的最高级别的人脸识别技术的确大大提高了人脸识别精准率,同时,通过交易金额的限制,在一定程度上保障了刷脸支付的安全性。然而,目前我国的刷脸支付市场仍然处在试点推广期,三家支付巨头的刷脸支付服务无论在技术准入、终端检测认证还是个人信息保护与支付限额控制方面都是各自为政,需要监管机构对刷脸支付的准入机制、检测认证机制、业务规则、风险防范机制进行统一构建和完善。此外,在当前个人隐私信息存在严重泄露风险的情况下,相关机构在为用户提供刷脸支付服务时,应在人脸识别的基础上增加其他因素验证,以确保用户的自主确权,从而切实保护用户的自主选择权和财产安全。只有安全与便捷同行,刷脸支付成为主流的支付方式方未来可期。
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。
