“靠脸吃饭”有啥安全隐患
3月21日,一套可用于刷脸支付的3D人脸感知摄像头模组正式发布,随着网络和手机普及,微信、支付宝这类钱包支付使消费者出门无需携带现金和银行卡,支付变得更方便了。作为目前人脸识别技术最广泛的一种应用方式,刷脸支付逐渐在全国多处落地商用。
就如其他网络产品,刷脸支付从问世起,其安全性就受到质疑。作为网络安全专家,上海众人网络安全技术有限公司董事长谈剑锋在多个场合提醒,尽量不要在网络上使用人脸识别技术作为唯一的认证方法。作为人的生物特征,人脸数据具有唯一性,当人脸数据进入计算机后,就可能会被截获、被重构、被重放,存在比较大的安全风险。
刷脸支付真的会带来安全风险吗?如何保证自己的财产和隐私安全?
人脸数据被盗无法再生
在超市、餐厅、便利店,刷个脸就能把钱付了……去年底,支付宝推出一款“刷脸”支付产品,将“刷脸”支付的接入成本降低80%;银联也正式对外宣布推出“刷脸”支付,其实早在2017年,农业银行、建设银行等已在试点“刷脸取款”等业务了;苏宁的无人店“苏宁体育Biu”、京东线下的京东之家体验店等也纷纷推出“刷脸支付”功能,“刷脸支付”被认为,能准确识别独立的用户个体、提升用户的支付体验。
厦门游仁信息科技有限公司负责人吴迪炜多年从事图像等识别研究,他在接受科技日报记者专访时表示,从目前的技术看,刷脸支付还是存在较大安全风险。
“目前刷脸支付存在两大问题,一是失误率比较高,这样会降低用户的使用体检,比如苹果公司是较早使用刷脸业务的,苹果的刷脸还存在一定比例的失误率;二是只要数据被采集、上网,就可能存在被破译和盗取的风险。”吴迪炜提醒说,对于黑客来说,是否盗取数据取决于数据的“价值量”,比如该客户的存款量是否足够高等。
专家对刷脸支付质疑的重点之一是人脸数据的唯一性。人们可能认为,人脸在网络上使用,可能只是一张照片或图片,但实际上却并非如此。每个人都只有一张脸、两个虹膜、十个指纹,人脸、指纹、虹膜或笔迹、声音、步态等都属于生物识别的鉴别项目,对每个人来说,具有唯一性。
“任何一个数据进入到计算机里面以后,都会变成计算机代码,生物特征数据也不例外。”谈剑锋说,一旦这些数据被还原,并被黑客等犯罪分子拿到后,人们唯一的身份数据就丢失了,而且永远没办法更换、再生,因此风险很大。
采用非技术手段兜底盗刷
中央财经大学中国互联网经济研究院、经济学院及社会科学文献出版社共同发布的《互联网金融创新蓝皮书:中国互联网金融创新与治理发展报告(2018)》指出,互联网支付创新业务、模式涌现,整个支付行业面临大洗牌,目前刷脸支付等新支付模式已大规模出现,这对行业可能是个新挑战。
其实,国外科技公司谷歌、苹果等早在数年前就已推出了刷脸支付功能,为应对竞争,国内支付巨头也纷纷布局。有人预测,随着门槛的进一步降低,“刷脸支付”或在未来三年内呈现爆发式增长。
除了在支付领域外,如银行卡开卡、信贷等金融业务也都采用了刷脸系统。科技日报记者曾在银行新开银行卡,除了要在自助系统前输入身份证信息、验证手机号外,还要通过人脸识别系统来印证;而中国平安推出的金融壹账通供应链金融业务中,中小企业家在网上办理信贷业务时,需要在手机摄像头前“点点头”“摇摇头”和“眨眨眼”,来确证办理人是企业主本人。
然而便利的背后是风险。在今年的央视3·15晚会上,一种小额免密免签、带有“闪付”功能的银行卡或可让卡里的钱“闪没”的视频引起了广泛关注。随后,中国银联声明,“隔空盗刷”是极少数个案,据中国银联和商业银行统计,2015年业务开通以来,其风险比率为千万分之二,远低于万分之一点一六的行业平均交易欺诈率。
“人脸等数据被盗取是无法完全杜绝的,你会发现银行、支付宝等都是采用非技术手段来减少用户的损失。”吴迪炜说,面对“隔空盗刷”问题,银联已明晰赔付政策的“风险全赔付”原则,每位持卡人每年最高累计赔付3万元;对于超出上述范围的风险损失,通过例外协商机制,持卡人的正常用卡损失均可以足额补偿。而支付宝则是采用保险兜底的方法,来解决盗刷风险的。
刷脸是否安全离不开监管
面对新技术发展带来的便利,消费者该如何保证自己的财产和隐私安全?吴迪炜说,在互联网时代,每个人都是“透明”的,比如只要上网,网络轨迹都可以被辨识,这是无法避免的时代趋势。作为消费者,要保证自己的信息安全就必须增强个人信息安全意识。
比如大额交易采用银行发的动态密码器、U盾等产品;在公共区域中,不要轻易连接WIFI,特别是没有密码的WIFI,即使连接上了也不进行转账、支付等操作,防止金融信息被黑客截获;当收到的短信中有网络链接的,不要轻易点击,否则极易中木马病毒,之后手机就可能被黑客控制;不要随意扫二维码,特别是来路不明的二维码,其中很可能包含病毒或是木马链接,也可能直接被转走钱财;用手机下载 APP时,要看一下其权限设置,只开放需要的权限即可等。
尽管很多厂商宣称自己对采集的照片和人脸生物特征数据会进行脱敏处理,吴迪炜认为,脱敏的作用不大。保护用户隐私不仅需要企业自律,更需要政府引导行业建立统一标准,筑起保护用户隐私的堤坝。
目前,欧洲监管机构已在即将出台的数据保护法规中嵌入了一套原则,规定包括“脸纹”在内的生物信息属于其所有者,使用这些信息需要征得本人同意。
“在互联网时代,便捷和安全很难两全,没有一项技术是绝对安全的,技术只是辅助手段,用户要提高安全防范意识,行业要自律,相关部门也要加强监管,才能更好地保护好个人财产和隐私信息安全。”吴迪炜说。
金融科技的创新,始终离不开监管的约束。对于刷脸支付,目前尚未出台较为详细的监管文件。不过,央行曾在《中国人民银行关于优化企业开户服务的指导意见》(银发〔2017〕288号)文中提出,鼓励银行使用人脸识别潜入开户流程。
中央财经大学中国互联网经济研究院副院长欧阳日辉表示,在此背景下,加强法律法规研究,加强关键技术研发和安全体系研究,加强相关金融标准研究,建设公共服务平台和服务体系显得越来越重要。
来源:科技日报