刷脸支付成为今年支付行业的热门话题，支付宝、微信支付相继推出刷脸机，银联也推出了自己的“刷脸支付”，三者即将再掀刷脸支付大战。产业链上下游企业纷纷摇旗呐喊，各类推广和服务商也都撸起袖子准备干起来。

大家都期待刷脸支付能达到扫码支付的普及程度，但市场反应无疑令人失望。在接受人民网采访时，多数消费者表示：“直接刷脸付钱，脸就是行走的密码，担心不安全”、“不喜欢这种支付方式，担心信息泄露”。在约40位选择自助结账的消费者中，仅有2位使用了刷脸支付。

毫无疑问，消费者对安全的担忧成为阻碍刷脸支付推广的最大问题。各大主流媒体纷纷指出刷脸支付的安全问题，而大部分问题都集中在“人脸信息泄露难以防范”这一点上。这样的报道本身没有错，但很容易让人误以为“刷脸支付”业务唯一的问题就是数据安全难以保障。

事实上，刷脸支付应用还存在不少问题。

数据安全是人脸识别应用的常见问题

人脸识别技术的应用非常多，刷脸支付只是其中一种。人脸识别开门、人脸识别打卡、人脸识别拿证等应用在全国各地蓬勃发展，掀起了一股热潮，受到追捧。在这些应用中，人脸识别技术是完成身份认证环节的核心。

毫无疑问，要完成身份认证，必须采集面部生物特征信息，而相关应用运营商通常会选择建立数据库来存储采集到的面部特征信息。因此，这些应用都面临着同一个问题：数据库中的面部特征信息是否安全？

今年2月，深网视觉数据库漏洞事件震惊了整个互联网，超过250万条数据被提取，包括人脸信息、身份证信息等敏感数据。此次事件让大家意识到，人脸特征信息数据库和其他数据库一样存在漏洞，可能会被别有用心的人利用。

更重要的是，人脸识别应用的数据安全问题相互关联，如果一个人能用同一把钥匙打开两个不同的柜子，其中一个柜子的锁被破解，另一个柜子还能安全吗？如果人脸识别采纸和人脸识别开门应用都出现数据泄露，泄露的数据不会影响人脸支付的安全吗？

每个人的脸都只有一张，因此脸部特征信息具有唯一性，可以解决目前密码容易被窃取、复制、滥用的问题。但由于生物特征的唯一性，泄露后果非常严重。密码丢了可以改，但脸部怎么改呢？

今年9月初，媒体报道称，网络商城商家公然贩卖“人脸数据”，数量高达17万张。在商家发布的产品信息中可以看到，这些“人脸数据”涵盖了2000人的肖像，每人约有50至100张照片。此外，每张照片都附有数据文件，其中除了人脸位置信息外，还包含了眼睛、耳朵、鼻子、嘴巴、眉毛等106个面部关键点的轮廓信息。网络商城运营方在认定涉事商家违规后，已将涉事产品下架。

没有人知道这些“面部数据”从何而来、是谁收集的、以及如何收集的。

面部识别技术本身并不完美

目前支付宝、微信支付刷脸支付业务的核心流程是通过人脸识别技术完成用户身份认证，并从用户绑定的账户中扣款。显然，人脸识别技术是整个流程的核心，如果人脸识别技术出现问题，业务必然出现问题。

破解人脸识别技术难吗？答案是：没那么难。前几天，一群小学生破解丰巢人脸识别取件，在网上引发广泛关注。一张简单的照片就骗过了丰巢人脸识别，打开了快递柜。不知道原因的人们纷纷询问：“人脸识别技术靠谱吗？”

丰巢采用的人脸识别不靠谱，丰巢采用的是2D人脸识别，对图片和3D模型的攻击抵抗力很差，但先进的2D+人脸识别技术，以及更先进的3D人脸识别技术，可以很好的解决类似问题，那么更先进的3D人脸识别技术就没有问题了吗？

在普通消费者的心目中，苹果的3D结构光人脸识别技术无疑是目前各类人脸识别技术中最安全的。但事实上，苹果3D结构光人脸识别推出后，曾发生过误认双胞胎、同事、闺蜜、恋人等一系列安全事件。虽然以上都是概率较小的偶然事件，但必须认识到，人脸识别技术是一项存在误差的技术，不可能100%准确。

今年的黑帽大会上，苹果的3D结构光人脸识别被曝出存在重大漏洞，任何人都可以利用。腾讯的研究人员找到了绕过的方法，只需要一副眼镜和黑白胶带。把这副眼镜戴在受害者身上，就能绕过活体检测功能，打开受害者的手机。

不仅仅是苹果，谷歌刚刚发布的新旗舰手机4也暴露了类似的漏洞，用户即使闭上眼睛也可以通过人脸识别解锁4，也就是说，攻击者可以在没有手机主人许可的情况下轻松解锁设备。

当然，苹果、谷歌的技术漏洞并不能直接对刷脸支付业务造成什么不利影响，但足以说明人脸识别技术的成熟度还不够高，技术本身仍然存在缺陷，需要进一步完善。

刷脸支付的问题并不完全是面部识别技术

如上所述，人脸识别技术存在着问题。但这些问题并不足以威胁到人脸支付的业务安全，因为目前的人脸支付机台都采用了不逊于苹果的3D人脸识别技术，且处于公共、开放的场景，很难留下漏洞可钻。

现实安全威胁大多来自于刷脸支付业务的其他环节，如信息交互、账户扣款等。其中，账户扣款问题更为直接，也更具争议性。如上文所述，支付宝和微信支付的刷脸支付基本流程是用户完成身份认证后，在绑定的账户中完成扣款。

也就是说，在目前的刷脸支付业务流程中，面部信息既是账号又是密码，一旦出现错误，极容易出现从错误账户扣款的情况，如果有人利用这一点，不难想象会出现盗刷支付的情况。

这就是我们常说的“刷脸支付无法体现支付意愿”的安全问题，针对这一问题，支付宝和微信支付都改进了刷脸支付业务流程，在刷脸识别后，出现“确认支付”选项按钮，体现消费者的支付意愿。

这是一个非常好的方法，既满足了体现支付意愿的需要，又不会对刷脸支付的用户体验造成特别大的影响。不过，央行科技部主任李伟曾表示：经过前期相关部门的深入调查研究，结合行业实践的探索，目前来看，“人脸识别+支付密码”是一种既能实现安全性又能实现便捷性的方式。

近日，银联推出了自己的“刷脸支付”产品，采用“人脸识别+支付密码”模式，完成人脸识别后，需要输入支付密码才能完成支付，完全满足多因素验证要求，大大提升了刷脸支付的安全性。不过，其对刷脸支付体验会有多大影响，目前仍不得而知。

显然，支付宝、微信支付的改进与银联采取的模式存在很大差异，但无论是支付宝、微信支付的改进，还是银联的“刷脸支付”，都表明刷脸支付业务存在安全问题。

此外，刷脸支付还需要警惕机转账诈骗、信息篡改等安全问题。

未来充满希望

人脸识别技术有漏洞，刷脸应用有数据安全问题，刷脸支付有业务安全问题，这些问题都无法阻止人脸识别技术在支付领域的应用。从体验上看，人脸识别技术是目前最人性化的技术，可以惠及二维码支付、网络支付无法照顾到的弱势群体。

从安全性角度来看，人脸识别技术在支付领域的应用，可以确认用户身份，结合多因素验证，可以大大提高支付的安全性，这是一项优势明显的技术，但目前其弊端也比较明显。

刷脸支付的未来充满希望，但我们需要看清当前的形势，才能更好地前行。