来源：北京商报

地铁、超市、便利店、药店……随着应用场景越来越多，刷脸支付这一全新支付体验在巨头的推动下，正试图掀起又一场支付革命。然而，新生事物的成长和完善需要时间。面对人脸识别支付应用可能存在的安全风险，中国人民银行科技司司长李伟近日再次提醒，不能简单将面部特征作为唯一交易验证因素，而应根据风险等级和用户密码等其他因素进行多因素认证。

央行再次发出警告

目前，人脸识别在金融反欺诈手段中越来越常见，但也引发了一些担忧。中国人民银行科技司司长李伟9月20日在参加一场活动时警告，该技术在金融交易验证中存在隐患。

李伟表示，人脸属于弱隐私生物特征，信息滥用风险较高。现实生活中，人们通常使用人脸、声音、体形等多个弱隐私特征来识别他人，不仅看你的脸，还会听你的声音、看你的动作，综合判断“你是谁”来识别一个人。这些特征一般暴露在外界，往往很容易在当事人不知情的情况下通过远程非接触方式悄无声息地被收集，这是目前无法避免的现象。问题是，一些机构高估了弱隐私特征的识别功能，仅依赖单一特征来验证网络空间的金融交易，风险十分严重。

李伟还表示，对于人脸识别支付应用，在开放的线上网络环境下风险较大，应用条件尚不成熟，而线下应用风险相对可控，基本具备试点应用条件。但也要遵循相应的原则，包括数据采集要提前告知使用信息、明确取得客户授权、避免采集与需求无关的特征，确保人脸特征采集的合理性、必要性；考虑到人脸识别过程具有静默性，金融机构要严格落实消费者权益保护法，充分尊重用户的主观意愿，保障用户知情权、财产安全权等合法权利，不得在用户不知情、未授权的情况下发起交易；不能简单将人脸特征作为唯一交易验证因素，要根据风险等级结合用户密码等其他因素进行多因素认证，平衡金融服务的安全性和便捷性。未来央行将加强监督检查和安全评估工作。

北京商报记者注意到，这并不是央行第一次公开警告人脸识别的安全风险，早在今年7月，李伟就提到“现在有些技术可以在3公里外识别人脸，客户在不表达主观意愿的情况下进行刷脸识别是一件很可怕的事情。”

安全风险引担忧

随着人脸识别的普及，刷脸支付这种新的支付体验也开始走入大众视野。虽然人脸识别已经在很多场景得到应用，但刷脸支付此前并未真正投入商用，难点在于支付流程的应用安全要求更高、线下场景更复杂、公共环境、公共设备挑战更大。

2017年9月1日，支付宝在肯德基KPRO餐厅上线刷脸支付，无需手机，刷脸即可支付，这是全球首次刷脸支付商业试点。2018年起，支付宝和微信支付相继推出刷脸支付机“蜻蜓”和“青蛙”，瞄准线下支付场景，试图掀起又一次支付革命。

为了推动刷脸支付快速普及，双方在推广过程中往往会提供补贴和奖励。例如微信支付对刷脸支付服务商给予一定的补贴，主要以硬件设备奖励结合刷脸支付次数为主，而针对普通用户的营销活动则包括随机立减等活动。如今，地铁、超市、便利店、药店……在支付宝和微信支付两大巨头的大力推动下，刷脸支付在线下支付场景的应用越来越广泛。

北京商报记者在一家蛋糕店使用支付宝“蜻蜓”刷脸支付时发现，点击屏幕刷脸支付，经过约一秒的识别，记者输入代码后的支付宝账号就直接显示出来，下方显示确认付款，点击成功扣款。屏幕显示，支付宝刷脸支付有随机立减活动，最高立减288元。不过店员告诉记者，目前刷脸支付的人很少，大部分顾客还是选择扫描支付宝付款码支付。

“从实际角度考虑，我更愿意使用不会暴露那么多个人生物特征的验证方式，面部识别验证让我感到不舒服，也不想让相关机构获取我的面部识别数据。”北京商报记者在与业内人士交流时发现，隐私风险、体验问题以及对刷脸支付安全性的担忧，都成为用户不愿轻易使用刷脸支付的原因。

前段时间，一款名为ZAO的APP爆红，用户可以上传一张照片，利用AI换脸功能，将短视频中的演员换成自己的脸，从而“过一把追剧瘾”。目前，人脸识别技术的准确率还未达到100%，对于相似度较高的人脸，难以避免识别失误。此前就曾曝出多起漏洞案例，如儿子能解锁母亲人脸识别、双胞胎姐妹刷脸从姐姐账户扣钱、3D打印人脸成功刷脸支付等，这些都对刷脸支付的安全性提出了更高的考验。

对于刷脸支付的安全性，支付宝方面向北京商报记者表示，支付宝的“刷脸支付”采用的是3D人脸识别技术，在人脸识别前会通过软硬件结合的方式进行检测，判断采集到的人脸是照片、视频还是软件模拟。微信支付团队表示，微信刷脸支付采用的是3D活体检测技术，利用3D、红外、RGB等多模态信息，可以抵御视频、纸张、口罩等攻击。部分用户需要输入微信账号绑定的手机号或者扫描二维码进行验证。

探索辅助验证方法

“正如央行领导所说，有技术可以实现3公里外的人脸识别，现在高端智能手机镜头可以放大倍数，有的手机甚至可以拍月亮。利用这样的设备，还可以在不经你允许的情况下，远距离获取人脸数据，然后进行刷脸扫描。银行卡在你口袋里，脸是露在外面的，考虑用户是否真的愿意用刷脸支付，还是需要其他验证手段。”苏宁金融研究院金融科技中心总监孙阳说。

孙杨告诉北京商报记者，央行领导专门提到，要保证客户表达意愿，用户在不同环境、商户、时间段的支付交易风险等级不同，要根据支付交易的风险等级进行多重验证。刷脸支付应用可以探索通过手动输入密码、短信验证码、语音验证、静脉、指纹验证、数字盾牌等方式辅助刷脸认证。

央行今年8月发布的金融科技发展规划也提出，探索人脸识别线下支付的安全应用，借助密码识别、隐私计算、数据标注、模式识别等技术，采用专用密码、“无感”活体检测等方式实现交易验证，突破1：N人脸识别支付应用性能瓶颈，并有持牌金融机构构建以人脸特征作为路由标识的转账清算模型，实现支付工具安全性与便捷性的统一。

目前，刷脸支付商业化还处于起步阶段，新生事物的成长还需要时间。孙杨表示，开展刷脸支付、刷脸交易的机构首先要确保安全，在用户知情的前提下合法取得用户授权，确保不超范围收集人脸生物特征数据、不将人脸数据用于其他用途。

李伟指出，由于人脸识别高度依赖人工智能算法模型，攻防技术也在不断迭代升级，需要积极建立完善风险补偿基金、保险方案、应急处置等风险补偿机制，综合运用多种信息技术，加强人脸特征信息端到端全链条安全防护，切实保障消费者资金信息安全。目前，微信支付、支付宝均向北京商报表示，如因刷脸支付导致账户资金丢失，可全额赔偿。