近日，中国人民银行科技司司长李伟在文章中表示，生物识别技术正在各行各业快速推广应用，要冷静看待生物识别技术。他还表示，作为监管部门之一，人民银行对新技术在金融领域的应用高度敏感，正加快制定人脸识别、活体检测、个人信息保护等相关标准。

在文章中他阐述了对生物识别特别是人脸识别技术在支付领域的应用的一系列观点，其中有两点值得注意：

1、由于安全性差异巨大，刷脸支付应谨慎区分线上和线下的应用场景。

2、刷脸支付需要体现用户对资金的自主掌控权，而“刷脸识别+支付密码”是目前最安全、便捷的实现方式。

线上线下刷脸支付监管不同

在李伟看来，线下刷脸支付技术已经比较成熟，具备试点应用的基本条件。

目前，无论是第三方支付巨头还是银联都在进行线下刷脸支付的布局和试点。以支付宝和微信为例，他们的线下刷脸支付主要采用3D结构光、TOF、红外双目摄像头等方式进行活体检测，在一定程度上缓解了假肢攻击的威胁。同时在操作流程上，也采用输入手机号的方式进行验证，并通过大量数据和算法进行风控。

因此，规范和引导人脸识别技术在线下支付场景的应用，有利于满足安全、便捷的支付服务要求，提高现有受理环境下的资源利用效率，激发我国金融体系主动创新活力。

但他认为，人脸识别在线上仍存在诸多风险，还未做好应用准备，若要推广，需采用可信执行环境（TEE）、安全元件（SE）等技术加强风险防控。据移动支付网了解，目前银联正在试点的线下刷脸支付设备，需要经过严格的金融认证，具备相应的安全能力，确保数据存储和交易安全。基于智能手机的线上支付显然不够安全可控。

其实，另一方面，线上刷脸支付的应用主要受限于并非所有智能手机摄像头都具备主动活体检测能力，因此在防范人脸假体攻击方面的能力相对欠缺。目前，智能手机上人脸识别认证的很多操作都需要“张嘴、眨眼、摇头”等动作，如果应用到支付上，显然不够便捷、不够智能。不过据手机支付网站介绍，目前支付宝已在手机端开通刷脸支付功能，并采取“首次输入支付密码、换手机重新登录输入密码、支付被盗全额赔偿”等风控措施解决安全问题。这种方式虽然有效，但并不能从源头上解决问题。

人脸识别+支付密码会成为趋势吗？

《中国人民银行支付结算办法》第十九条规定，银行应当依法保障用户资金自主支配权。在支付交易中，银行卡交易需要用户提供实体卡并输入密码，条码支付需要用户打开手机APP向商户出示条码，手机支付需要用户主动调出支付功能（如双击电源键）并验证身份。这些方式都在不同程度上体现了用户的自主意愿。

对于刷脸支付，李伟认为，一些机构仅仅依靠面部特征来确定用户身份，这存在一定的安全风险。

他表示，经过前期相关部门的深入调查研究，结合行业实践探索，目前来看，“人脸识别+支付密码”是实现安全性和便捷性并存的一种方式。此外，在推广刷脸支付过程中，可以加强身份认证管理，建议结合支付密码、活体检测、数据标签等实现多因素交易验证，提高交易安全性，增强支付交易的抗抵赖能力。

目前，支付宝、微信等线下刷脸支付都是通过“人脸识别+手机号”认证身份，实现直接支付，一些常见场景下也可以实现不输入手机号的操作。但实际上，人脸识别和手机号只是用于确认账户进行直接支付，与传统支付流程还是有些区别的。

根据银联“人脸识别+支付密码”操作，以面部特征为媒介，关联支付账户，通过支付密码和无感活体检测实现交易验证，整个流程和“银联卡+密码输入”操作完全一样。至于未来是否会加入“小额免密码”优化操作体验，目前还不得而知，毕竟每次刷脸支付都要输入支付密码还是有些麻烦的。

最后，李伟强调，技术创新和市场热情给生物识别安全带来挑战，需尽快完善相关法律法规，形成多维度、立体化的监管体系。一方面，需明确个人生物识别信息采集、传输、存储、利用等环节的安全管理要求，为生物识别技术金融应用提供制度保障；另一方面，需引导金融机构利用通证化技术进行数据脱敏、隐私计算、去中心化存储等科技手段，加强生物识别信息保护，提升风险防范能力。