“刷脸支付”越来越流行，不少银行、支付机构都在多个场景应用了人脸识别技术。习惯了密码等传统支付方式的人们不禁要问：刷脸支付靠谱吗？

记者近日采访多位业内人士了解到，随着深度学习的应用和发展，人脸识别的识别通过率已经有了明显提升，结合其他一些辅助身份认证手段以及大数据分析手段，可以很大程度上保证交易的安全。

但人脸等生物特征信息的隐私和安全问题也引发担忧。《经济参考报》记者了解到，目前相关部门正在推动制定人脸识别领域的相关金融标准，明确这部分信息的采集和传输。同时，业内人士也呼吁加快制定出台适合生物特征识别技术应用的法律法规。

服务亿万用户，场景应用逐步落地

面部识别技术通过将身份特征数字化、隐形化，为身份验证提供了一种便捷高效的替代方案，牛津大学与万事达卡联合进行的一项报告显示，多达93%的消费者倾向于使用生物识别技术，而92%的银行专业人士希望采用生物识别解决方案。

很多银行和支付机构早已广泛应用人脸识别技术。2015年，支付宝率先将人脸识别技术应用于用户登录，该技术已应用于实名认证、密码找回、支付风险验证等场景，迄今已服务超过数亿用户。目前，支付宝刷脸支付功能可应用于药店、超市、便利店等众多线下零售场景。今年4月17日，支付宝宣布推出第二代针对线下消费场景的刷脸支付机“蜻蜓”。

银行方面，招商银行是国内首家研究人脸识别技术的银行，目前已陆续上线刷脸取款、刷脸转账、刷脸支付等功能；光大银行的人脸识别技术也运用在账户登录、转账、在线融资、在线办卡等不同场景。

值得注意的是，为确保交易安全可靠，多数银行手机APP在一些安全级别较高的交易中，推行多种方式交叉认证，单独使用人脸识别进行验证。但如果用户使用银行手机APP进行转账等交易，人脸识别并不会单独使用，而是会与密码等其他验证方式配合使用进行身份验证。

技术日趋成熟，多种方案结合保障安全

随着人脸识别在金融、支付等领域的普及，一些人对其准确性提出了质疑。网上有人提出“不用真人，用照片能识别人吗”、“双胞胎能长得一模一样吗”、“长得差不多还能认出来吗”、“戴个假头套能糊弄人吗”等疑问。记者在采访中了解到，随着现在技术的进步，人脸识别的识别通过率已经有了明显提高。

中国人民银行科技司司长李伟撰文指出，随着深度学习的应用发展，人脸识别的识别通过率得到明显提升，例如通过结合海量数据挖掘、神经网络等技术，数千万张人脸的识别通过率明显提高，可达99%以上。

以用照片或视频代替真人，或佩戴假头饰的问题为例，业内人士表示，相比第一代2D人脸识别技术，目前市场上应用的3D人脸识别技术可以杜绝此类造假行为。金服商学院研究员叶文天告诉记者，支付宝线下推广的“刷脸支付”就采用3D人脸识别技术，在人脸识别前通过软硬件结合的方式进行活体检测，判断采集到的人脸是照片、视频还是软件模拟生成，相比2D人脸识别技术，可以更有效避免各类人脸伪造造成的身份欺诈。

此外，在一些银行手机APP应用中，银行还会要求用户眨眼或进行几次连续的指定动作来确认自己还活着。

对于容貌相似的人被误认的问题，招行相关业务经理告诉记者，这涉及到人脸识别算法。人脸识别算法现在已经非常成熟，1：1比对的误认率可以低至1：1。同时，招行还可以利用大数据技术，在人脸识别算法的基础上结合用户属性、位置等信息进行综合判断，基本杜绝误认的可能。多位业内人士也告诉记者，“双胞胎”确实是个比较难解决的问题，因此银行往往会采用一些辅助认证、交叉认证的方法来保证交易的安全。

事实上，支付机构和银行保障支付和交易安全的手段，并非单纯依赖人脸、指纹或密码等身份认证方式，而是构建了完善的、多层次的安全措施体系。

万事达卡中国区总裁常青在接受《经济参考报》采访时表示，面对安全风险，没有任何一种单一的解决方案是万无一失的。但如果能同时使用多层安全措施，就能降低风险。他表示，由于距离、设备等原因，在线交易中很难进行有效的生物特征识别，传统网络支付的信息比对仅限于卡号、姓名、有效期、CVC2等简单信息。在此情况下，其与业界合作制定了全球适用的3DS 2.0标准，允许交易包含更多信息（设备信息、IP地址等），让商户和金融机构能够根据这些信息做出更准确的交易判断，提升交易可靠性。

易造隐私泄露管理系统有待完善

值得注意的是，随着人脸识别等生物识别技术在金融领域应用的蓬勃发展，其安全问题也成为社会广泛关注的热点话题。

李伟撰文指出，由于生物特征涉及人脸、虹膜、声纹等用户隐私信息，其固有特性、采集方式以及集中存储特性导致信息泄露风险较大。一般来说，生物特征与人的生命相关，很难针对不同业务、渠道、场景采用不同凭证进行安全隔离。其次，用户生物特征一般暴露在商场、餐厅等公共场所，犯罪分子可以利用远程、非接触式……最后，随着人工智能、云计算、大数据等技术逐渐规模化应用，生物特征数据存储集中度越来越高，一旦某个热门应用的生物特征数据库被攻破，极有可能导致大规模隐私泄露，甚至引发系统性风险。

李伟撰文建议，有关部门加强顶层设计和规范引领，不断完善治理体系，多措并举推动生物特征识别应用健康有序发展。推动科学立法、严格执法，制定出台适合生物特征识别技术应用的法律法规，加强对滥用生物特征数据、侵犯个人隐私行为的管理和处罚。记者还了解到，目前有关部门正在推动制定人脸识别领域相关金融标准，明确该部分信息的收集、传输、存储、利用等安全管理要求。

常青表示，在很多实践中，万事达卡更倾向于将生物特征信息存储在设备内部，而不是某个机构的中心化数据库，以防止黑客攻击造成大规模数据泄露。“无论是面部识别还是生物特征信息，这些信息都存储在手机加密的安全芯片中，只有授权的应用程序才能读取，因此不存在泄露的风险。我们也认为应该建立去中心化的存储系统，确保信息在传输过程中无法被破解和追踪。”