支付機(jī)構(gòu)刷臉支付技術(shù)現(xiàn)狀及問題研究

支付機(jī)構(gòu)刷臉支付技術(shù)現(xiàn)狀及問題研究摘要：隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)、人工智能、大數(shù)據(jù)的深入發(fā)展，移動(dòng)支付已經(jīng)成為了目前我國增速最快的支付方式。生物識別技術(shù)也被應(yīng)用到移動(dòng)支付領(lǐng)域，如指紋支付與刷臉支付等。2021年8月，人民銀行印發(fā)金融科技（FinTech）發(fā)展規(guī)劃（2021-2021年），明確了刷臉支付的發(fā)展方向，認(rèn)可了其“科技賦能支付服務(wù)”的能力。本文主要闡述了目前最具代表性的支付機(jī)構(gòu)在刷臉支付技術(shù)上的發(fā)展歷程、支付流程、終端產(chǎn)品技術(shù)特點(diǎn)，并就刷臉技術(shù)應(yīng)用中存在的問題提出相關(guān)對策建議。關(guān)鍵詞：支付機(jī)構(gòu)；人臉識別；刷臉支付；生物信息一、我國支付機(jī)構(gòu)刷臉支付技術(shù)應(yīng)用現(xiàn)狀（一）刷臉支付技術(shù)的發(fā)展歷程。刷臉支付主要依賴于人臉識別技術(shù)，將人臉識別應(yīng)用于支付領(lǐng)域起源于芬蘭。2021年7月，芬蘭創(chuàng)業(yè)公司Uniqul推出了第一款基于人臉識別的支付系統(tǒng)。該刷臉支付流程為：用戶面對收款機(jī)的屏幕攝像頭，收銀系統(tǒng)會(huì)對用戶的面部進(jìn)行自動(dòng)拍照和掃描，再通過數(shù)據(jù)庫的信息與已采集到用戶面部圖像數(shù)據(jù)進(jìn)行比較。同時(shí)，用戶面部數(shù)據(jù)信息關(guān)聯(lián)到支付系統(tǒng)，用戶身份信息會(huì)在收銀屏幕顯示，觸摸顯示屏數(shù)據(jù)信息確認(rèn)，便完成支付交易。在此之后，美國、英國與日本也相繼推出了各自的刷臉支付系統(tǒng)，如Google的支付應(yīng)用HandsFree等。隨著人臉識別技術(shù)不斷發(fā)展和完善，我國支付機(jī)構(gòu)也開始進(jìn)行刷臉支付的技術(shù)研發(fā)與商用探索，目前具有代表性的有支付寶、微信與銀聯(lián)三家支付機(jī)構(gòu)（見表1所列）。（二）支付機(jī)構(gòu)刷臉支付技術(shù)分析。1.刷臉支付人臉識別技術(shù)。在人臉識別中，根據(jù)人臉的表達(dá)模型不同，目前主要有二維和三維人臉識別技術(shù)。其中，三維人臉識別研究的時(shí)間相對較短，二維人臉識別相對成熟。但是由于二維信息存在深度數(shù)據(jù)丟失的局限性，無法完整地表達(dá)出真實(shí)人臉，所以存在識別準(zhǔn)確率不高與活體檢測準(zhǔn)確率不高等問題。三維人臉識別在顏色、紋理、深度等方面的數(shù)據(jù)信息更豐富，無論在識別準(zhǔn)確度上還是活體檢測準(zhǔn)確度上，均比二維人臉識別更加具有優(yōu)勢。目前，支付機(jī)構(gòu)在刷臉支付技術(shù)實(shí)現(xiàn)過程中，通常采用的是三維人臉識別技術(shù)。對用戶進(jìn)行人臉識別時(shí)，系統(tǒng)運(yùn)用軟件與硬件結(jié)合的方式進(jìn)行活體檢測，由此辨別對采集到的面部數(shù)據(jù)是由為照片、視頻和其他軟件虛擬生成。刷臉支付不僅需要人臉識別算法的支持，還需要相應(yīng)攝像頭模組等硬件設(shè)備的支持。2.刷臉支付硬件需求。目前，支付寶、微信和銀聯(lián)支付機(jī)構(gòu)刷臉支付終端產(chǎn)品采用的是三維結(jié)構(gòu)光攝像頭。三維結(jié)構(gòu)光技術(shù)原理是以紅外發(fā)射激光器投出2萬-3萬個(gè)散斑點(diǎn)，然后根據(jù)紅外接收攝像頭感知到的光線折回后的變化來完成對位置深度的測算。由于攝像頭模組涉及精密光學(xué)設(shè)計(jì)、芯片、算法與生產(chǎn)多個(gè)環(huán)節(jié)，技術(shù)門檻高，因此國內(nèi)當(dāng)前能夠達(dá)到規(guī)模化量產(chǎn)維攝像頭模組的企業(yè)數(shù)量很少。目前，支付寶“蜻蜓”選用了螞蟻金服與奧比中光共同成立的螞里奧提供的攝像頭；微信“青蛙”采用華捷艾米作為三維攝像頭模組服務(wù)提供商；銀聯(lián)“刷臉付”則多來自于奧比中光與華捷艾米。3.刷臉技術(shù)人臉識別算法區(qū)別。目前，支付寶、微信與銀聯(lián)主要采取自研或者與專業(yè)人臉識別公司合作的策略。其中，支付寶“蜻蜓”與微信“青蛙”的人臉識別算法主要來源于自研，銀聯(lián)“刷臉付”的人臉識別技術(shù)主要來自于云從科技、依圖科技、商湯科技、曠視科技等服務(wù)提供方（見表2所列）。（三）刷臉支付流程。1.支付寶、微信支付刷臉支付流程。由于目前刷臉支付的產(chǎn)品業(yè)務(wù)流程尚未標(biāo)準(zhǔn)化，所以不同機(jī)構(gòu)的刷臉支付產(chǎn)品業(yè)務(wù)流程尚存在一定的差異。其中，支付寶和微信支付基本一致，具體如下：用戶進(jìn)入支付環(huán)節(jié)，選擇刷臉支付方式；采集符合質(zhì)量要求的人臉并完成活體檢測；用戶輸入支付寶（微信）所綁定的手機(jī)號，根據(jù)后臺安全風(fēng)險(xiǎn)智能決策系統(tǒng)，要求輸入的手機(jī)號位數(shù)可能會(huì)不同。從實(shí)際應(yīng)用場景來看，用戶如果偶爾光顧某家門店使用刷臉支付，通常需要輸入11位手機(jī)號。對于經(jīng)常光顧門店使用刷臉支付的用戶，只需要輸入后4位手機(jī)號甚至不需要輸入手機(jī)號，就可以直接進(jìn)入支付確認(rèn)頁面（手機(jī)號輸入位數(shù)的判定邏輯由刷臉支付系統(tǒng)自動(dòng)決定），如圖1所示。2.銀聯(lián)刷臉支付流程。銀聯(lián)刷臉支付的業(yè)務(wù)流程與支付寶和微信支付有所不同，采用了“刷臉+支付口令”的安全驗(yàn)證方式，主要流程如下：用戶進(jìn)入支付環(huán)節(jié)，選擇刷臉支付方式；采集符合質(zhì)量要求的人臉并完成活體檢測；用戶需要輸入支付密碼，如果正確，則會(huì)進(jìn)入支付確認(rèn)頁面，進(jìn)行確認(rèn)支付，如圖2所示。二、刷臉支付存在的問題（一）刷臉支付終端機(jī)具安全問題。目前，金融科技（FinTech）發(fā)展規(guī)劃（2021-2021年）明確了刷臉支付線下應(yīng)用的發(fā)展方向，提出利用專用口令、“無感”活體檢測等實(shí)現(xiàn)交易驗(yàn)證。支付機(jī)構(gòu)和關(guān)聯(lián)企業(yè)相繼推出了刷臉支付的諸多終端機(jī)具設(shè)備，并在宣傳中主打活體檢測。軟件層面，通過大量的訓(xùn)練和實(shí)踐讓深度學(xué)習(xí)算法具有極強(qiáng)的檢測能力。硬件層面，通過紅外等各種技術(shù)輔助驗(yàn)證，成熟廠商的刷臉支付終端機(jī)具設(shè)備的錯(cuò)誤率已經(jīng)降至十萬甚至百萬分之一，基本解決人臉誤識、誤判的問題，但仍存在3D假體欺詐以及乘其不備盜刷他人賬戶的問題，其中假體攻擊包括通過AI換臉技術(shù)盜刷以及通過高3D頭部模型與照片盜刷等。2021年12月，美國公司Kneron表示通過高清3D面具和照片欺詐了多個(gè)人臉識別系統(tǒng)，包括支付寶和微信。2021年1月21日，中國裁判文書網(wǎng)公布了一起案件，不法分子通過制作公民3D頭像騙過支付寶人臉認(rèn)證識別系統(tǒng)，注冊支付寶賬戶，非法獲利4萬元。上述案例說明了，目前支付機(jī)構(gòu)刷臉支付硬件本身存在一定的問題和風(fēng)險(xiǎn)。（二）刷臉支付監(jiān)管制度不完善。非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付管理辦法第二十條規(guī)定：“支付機(jī)構(gòu)應(yīng)當(dāng)以最小化原則采集、使用、存儲和傳輸客戶信息，并告知客戶相關(guān)信息的使用目的和范圍。支付機(jī)構(gòu)不得向其他機(jī)構(gòu)或個(gè)人提供客戶信息，法律法規(guī)另有規(guī)定，以及經(jīng)客戶本人逐項(xiàng)確認(rèn)并授權(quán)的除外。”但這種原則性規(guī)定過于簡單，未明確對包括臉部信息在內(nèi)的不可更改的生物特征信息進(jìn)行區(qū)別性嚴(yán)格規(guī)定。同時(shí)，關(guān)于違反信息責(zé)任的罰則也較輕，管理辦法引用中華人民共和國中國人民銀行法第四十六條作為罰則，如果發(fā)生信息泄露，在無違法所得的情況下只能處以最高200萬元的罰款。（三）云端服務(wù)器信息泄露風(fēng)險(xiǎn)。支付寶、微信、銀聯(lián)等支付機(jī)構(gòu)的刷臉支付技術(shù)，都是通過將硬件設(shè)備采集到的用戶面部信息數(shù)據(jù)與云端服務(wù)器存儲的個(gè)人臉部數(shù)據(jù)信息進(jìn)行匹配、核對，當(dāng)兩者數(shù)據(jù)相同時(shí)即可解鎖完成支付。這說明了云端服務(wù)器數(shù)據(jù)重要性。如果支付機(jī)構(gòu)云端服務(wù)器中毒或被黑客攻擊，發(fā)生數(shù)據(jù)庫信息數(shù)據(jù)泄露現(xiàn)象，易出現(xiàn)以下后果。一是不法分子可以售賣個(gè)人臉部數(shù)據(jù)信息進(jìn)行牟利。二是根據(jù)收集到的用戶個(gè)人臉部數(shù)據(jù)和個(gè)人隱私信息，應(yīng)用AI技術(shù)手段進(jìn)行實(shí)時(shí)換臉，再結(jié)合仿真音頻技術(shù)，與用戶個(gè)人親朋好友進(jìn)行視頻聊天進(jìn)而實(shí)施網(wǎng)絡(luò)詐騙，具有非常強(qiáng)的迷惑性。三是根據(jù)支付寶（微信）刷臉支付流程，如果不法分子獲得用戶個(gè)人臉部數(shù)據(jù)信息和注冊手機(jī)號碼，進(jìn)行刷臉支付，用戶本人資金將被盜刷。（四）用戶生物信息安全問題。一是臉部生物信息易丟失。相較于二維碼支付、指紋支付、聲紋支付等方式，刷臉支付在信息采集上略有不同。由于人臉長時(shí)間暴露在外，各種攝像頭都有充足的機(jī)會(huì)捕捉到人臉特征，尤如“行走的密碼”，這也是刷臉支付技術(shù)推廣中最為疑難的安全問題。二是面部數(shù)據(jù)唯一性。用戶使用IC銀行卡密碼支付或者手機(jī)銀行二維碼支付時(shí)，密碼是可以更改的。如果用戶IC銀行卡或手機(jī)遺失，可以通過對IC銀行卡掛失止付或停用SIM卡等操作，確保資金安全。但是人臉支付、指紋支付則不同，指紋、人臉等生物信息具有唯一性和不可更換性，一旦泄露將無法變更，且容易產(chǎn)生用戶個(gè)人的資金被盜刷等問題和風(fēng)險(xiǎn)。三、對策建議（一）規(guī)范技術(shù)標(biāo)準(zhǔn)和強(qiáng)化行業(yè)監(jiān)管。一是統(tǒng)一技術(shù)標(biāo)準(zhǔn)。目前支付機(jī)構(gòu)刷臉支付技術(shù)、終端機(jī)具設(shè)備各不相同，人民銀行應(yīng)出臺刷臉支付相關(guān)制度文件，統(tǒng)一技術(shù)規(guī)范，明確系統(tǒng)軟硬件要求，包括人臉識別算法、三維攝像頭參數(shù)標(biāo)準(zhǔn)、系統(tǒng)安全等方面。二是強(qiáng)化行業(yè)監(jiān)管。刷臉支付是較為復(fù)雜的支付技術(shù)，要統(tǒng)籌各方監(jiān)管力量，加強(qiáng)對刷臉支付行業(yè)的監(jiān)管。建議建立聯(lián)合監(jiān)管協(xié)調(diào)工作機(jī)制，人民銀行作為牽頭部門，積極做好與公安部、工信部等部門的監(jiān)管合作，定期召開聯(lián)席會(huì)議，加強(qiáng)對用戶個(gè)人信息的安全保護(hù)，堅(jiān)決打擊不法分子利用刷臉支付侵犯用戶個(gè)人權(quán)利的行為，督促支付機(jī)構(gòu)和關(guān)聯(lián)廠商對刷臉支付終端機(jī)具設(shè)備進(jìn)行技術(shù)改造和升級，不斷提高刷臉支付的安全性。（二）規(guī)范信息采集和加快立法保護(hù)。一是明確臉部信息采集內(nèi)容。人民銀行可通過實(shí)地調(diào)研、座談、發(fā)放調(diào)查問卷等方式，收集銀行業(yè)金融機(jī)構(gòu)、支付機(jī)構(gòu)、終端機(jī)具設(shè)備廠商、社會(huì)公眾關(guān)于人臉生物信息的采集、存儲標(biāo)準(zhǔn)的意見和建議，制定出臺統(tǒng)一的生物信息采集規(guī)范和細(xì)則。二是加快個(gè)人生物信息立法保護(hù)。目前，歐盟、巴西等組織和國家都統(tǒng)一在立法中加強(qiáng)了對用戶生物信息數(shù)據(jù)的保護(hù)，我國可以參照做法，以立法的形式，將個(gè)人生物信息保護(hù)等內(nèi)容納入中華人民共和國個(gè)人信息保護(hù)法之中。三是強(qiáng)化商戶培訓(xùn)考核。支付機(jī)構(gòu)應(yīng)當(dāng)最大限度地確保用戶信息安全，嚴(yán)防人臉等生物信息泄露，嚴(yán)格商戶準(zhǔn)入條件，認(rèn)真審核商戶終端設(shè)備持有者的資料，加強(qiáng)對商戶培訓(xùn)，以定期考核等方式保證商戶操作者專業(yè)化水平的提升。（三）做好系統(tǒng)運(yùn)維和防范數(shù)據(jù)泄露。支付機(jī)構(gòu)要高度重視刷臉支付系統(tǒng)信息維護(hù)和安全管理工作。一是要建立完善的內(nèi)部管理制度。支付機(jī)構(gòu)應(yīng)建立完善的刷臉支付系統(tǒng)等內(nèi)部管理制度，明確系統(tǒng)安全管理職責(zé)和人員配置。二是做好服務(wù)器升級維護(hù)工作。定期升級服務(wù)器防火墻和下載系統(tǒng)漏洞補(bǔ)丁，有效防范黑客利用服務(wù)器系統(tǒng)漏洞進(jìn)行惡意攻擊，造成用戶個(gè)人臉部數(shù)據(jù)和隱私信息泄露。三是做好服務(wù)器災(zāi)容備份。鑒于刷臉支付信息數(shù)據(jù)、人臉數(shù)據(jù)等信息的重要性，應(yīng)建立服務(wù)器異地災(zāi)容備份，定期開展應(yīng)急演練，有效提高支付機(jī)構(gòu)現(xiàn)場處置和恢復(fù)能力，在災(zāi)難性事件時(shí)，可將損失降到最小。（四）提高社會(huì)公眾安全與防范意識。隨著刷臉支付三維人臉識別技術(shù)的日趨成熟，刷臉支付覆蓋了交通、餐飲、金融、醫(yī)療等人們生活的各個(gè)方面。其便捷性、智能性的特點(diǎn)，越來越受到社會(huì)公眾的喜愛，但同時(shí)也帶來一些問題，需要用戶提高安全防范意識。人民銀行和支付機(jī)構(gòu)應(yīng)加強(qiáng)刷臉支付、指紋支付等生物支付宣傳工作，通過電視廣播報(bào)紙、現(xiàn)場活動(dòng)答惑、電子屏幕、橫幅標(biāo)語、官方微信等線上線下方式進(jìn)行宣傳，向社會(huì)公眾宣傳刷臉支付等典型案件的技術(shù)特點(diǎn)、犯罪特征、防范措施，進(jìn)一步提高社會(huì)公眾的法律意識、安全意識。四、結(jié)論隨著人工智能和信息技術(shù)的不斷升級完善，刷臉支付技術(shù)的識別精準(zhǔn)率將持續(xù)提高，在一定程度上保障了刷臉支付的安全性。然而，目前我國的刷臉支付市場仍然處在試點(diǎn)推廣期，支付寶、微信和銀聯(lián)等支付機(jī)構(gòu)刷臉支付在技術(shù)準(zhǔn)入、終端機(jī)具檢測認(rèn)證、支付方式等方面仍需不斷完善，刷臉支付存在一定的問題和隱患，亟須監(jiān)管機(jī)構(gòu)對支付機(jī)構(gòu)刷臉支付的準(zhǔn)入機(jī)制、技術(shù)認(rèn)證、支付流程、風(fēng)險(xiǎn)防范機(jī)制進(jìn)行統(tǒng)一構(gòu)建和規(guī)范。支付機(jī)構(gòu)在為用戶提供刷臉支付服務(wù)的同時(shí)，應(yīng)在人臉識別的基礎(chǔ)上增加其他因素驗(yàn)證方式，從最大程度上保護(hù)用戶的財(cái)產(chǎn)安全。只有做到安全與便捷同行，刷臉支付才能成為未來主流支付方式。參考文獻(xiàn)：1趙淑鈺.生物識別信息法律規(guī)制的國際經(jīng)驗(yàn)與啟示J.中國信息安全，2021(11):37-392呂堯，周千荷.歐美限制人臉識別技術(shù)對我國的啟示J.網(wǎng)絡(luò)空間安全，2021(2):93.3蔡雄山，袁俊.如何應(yīng)對人臉識別技術(shù)的安全隱憂N.光明日報(bào)，2021-12-26.4鄒棟，顏飛.計(jì)算機(jī)人臉識別技術(shù)的發(fā)展現(xiàn)狀與應(yīng)用實(shí)踐J.計(jì)算機(jī)產(chǎn)品與流通，2021(9):13.作者:劉曉明 夏天文 單位:1.中國人民銀行鹽城市中心支行2.中國人民銀行建湖縣支行第 10 頁 共 10 頁