生物识别技术现状及对我国金融业发展的启示

刘敏文

（中国人民银行陇南市中心支行，甘肃 陇南 746000）

一、各类生物识别技术发展及在移动支付领域应用的基本情况

（一）应用情况

一是指纹识别应用率和接受度最高。指纹识别由于识别精准快速、使用便捷、接受度高等特点，广泛应用于身份识别、支付验证，是当前使用最普遍的生物识别技术。同时在银联云闪付、阿里支付宝、微信支付、翼支付等应用中指纹识别还替代传统支付密码及短信验证码，作为资金支付的验证手段，提供了更好的用户体验。

二是人脸、声纹、虹膜等技术应用也已取得突破。随着智能终端硬件配置的提高，人脸、声纹、虹膜识别技术已在金融业进入实用性阶段，如用来辅助身份验证和远程身份核查等。但受制于安全性和接受度，因此还没有在资金支付等高安全性场景中应用。

（二）发展前景

一是行业规模将大幅提高。据生物识别技术研究集团(BRGI)估算：2015年末，已经有6.5亿人在移动设备上使用生物识别技术。预测到2018年，移动设备生物识别技术应用的行业规模将达到约90亿美元。到2020年移动设备生物识别领域的全球收入将达450亿美元，生物智能识别手机的用户规模将从2015年的2亿增加到20亿，市场年复合增长率将达20.1%。

二是运用领域有望随着智能手机普及得到进一步拓展。据BRGI估计，当前至少有四分之三的智能手机用户没有使用密码保护其设备安全，随着IT消费化发展，人们进行移动支付以及便携设备办公的需求日益增加，全球智能手机用户数估计在2016年超过25亿人；移动支付交易到2020年将达到7500亿美元，用户超过7亿。

二、生物识别技术在我国移动支付应用存在的问题

（一）缺乏国家标准

《中国人民银行关于改进个人银行账户服务加强账户管理的通知》明确规定：“有条件的银行可探索将生物特征识别技术和其他安全有效的技术手段作为核验开户申请人身份信息的辅助手段”。然而，由于缺乏统一的技术标准，各个终端厂家自成体系，无法互联互通，移动终端厂商和应用开发商需要适配多套方案，增加制造和开发成本，一定程度上限制生物识别技术发展。同时，目前我国仅在人民银行主导下制定了《金融服务生物特征识别安全框架》（GB/T27912-2011）基础性框架。该标准仅适用于现金柜台、钞票分发和支票欺诈检测等应用领域，对于各类生物识别技术在移动支付领域运用，特别是在核验客户身份及支付验证等方面尚未建立统一的国家标准。

（二）安全性和准确率还有待验证

尽管多种生物特征在金融领域已得到了实际应用，但其中有的生物特征是否真正具有独占性且不受客观因素（如年龄、疾病、生理变化等）影响还存在疑问。同时生物识别技术对智能终端硬件有一定要求，即使使用同一种生物识别技术，若智能终端的配置和性能较差，也难以有效采集生物特征。此外利用信息技术在对生物特征进行提取和采集时，其精度越高，在识别时耗费的资源和时间也就越长，通过率也会相应降低，因此有的技术厂商为了提高识别效率和减少误报，降低了特征识别精度，虽然提高了用户的体验度，但却存在无法精确对假体进行判断的风险，最终可能导致身份验证失效，从而威胁信息及资金安全。

（三）金融安全管控可能存在“黑盒”

生物识别核心技术和生物特征数据库均由技术厂商掌握，金融机构自主开发的移动金融APP多数是从软件层面调用生物识别技术接口，通过服务协议获取生物特征识别的状态，安全控制仅仅限于服务协议层面，没有深度介入和掌控核心技术。因此生物识别的运作模式对于金融机构来说是“黑盒”，如果其硬件或配套软件出现缺陷或漏洞被恶意利用，或生物特征在数据库存储、网络传输中被盗取，攻击者就可以执行某种身份欺骗攻击，而移动金融APP无法有效解决其带来的安全问题。此外有的金融应用采用的是国外的生物识别技术，如果无法了解其核心运作模式，其安全自主可控问题更为严重。

（四）缺乏国家层面的战略布局和论证

生物识别特征对于金融客户来说具有唯一性和不可更改性，其影响可能远远超出金融领域。而目前我国对生物识别特征数据库管理缺乏国家层面的安全性、战略性论证，特别是对生物识别数据泄露后可能在支付系统以外的经济甚至国家安全领域的影响缺乏系统研究，更谈不上建立科学可靠的事后应对预案。

三、中国金融支付应用生物识别技术的建议

（一）尽快出台相应的国家标准和行业标准

2016年5月，由国家标准化委员会主管、工信部中国电子技术标准化研究院牵头，正式成立移动设备生物特征识别国家标准工作组，吸收了国内外多家技术厂商和终端供应商，开始《信息技术——移动设备生物特征识别》国家标准的起草。建议人总行和金标委对生物识别技术进行科学论证，深入参与国家标准的起草和制定。同时还要吸收FIDO联盟中国成员作为金融业生物识别技术标准制定的参与者，吸纳产业联盟现有技术标准中已经成熟和合理部分，并结合金融行业高度安全性、保密性以及隐私保护的特点，主导并牵头对应用金融支付的生物识别技术制定要求更高、安全性更强的金融行业标准，促进国内技术环境与国际接轨，并把握相关标准制定的核心内容和话语权。

（二）加强生物识别技术在金融领域运用的管理

一是建立检测认证机制。把好准入关口，建议通过国家标准强制要求各类生物识别技术方案在金融领域投入运用前必须经过专业机构的严格认证和审查，确保其有足够的可靠性和安全性。二是健全风险管控机制。加大对风险和漏洞的监控和管理。强化自身应用软件的健壮性，对金融信息进行加密等使其安全性不完全依赖生物识别技术，以此防范技术掌控方可能利用其技术优势，在金融行业应用时预留后门，收集用户隐私信息甚至用作他用。三是加强核心技术积累。通过直接购买、合作共同开发等方式将生物识别核心技术掌握在自己手中。

（三）打好生物特征数据库管理运用基础

建议深入研究生物特征数据库对其他领域的影响，加强数据库管理的战略布局。深入研究生物特征数据库在不同领域、不同供应商及不同国家之间互联互通的可能性，为支持生物识别技术在全球金融及更广领域运用打好基础。依托金融业高安全、高可信的行业特点，建议总行牵头探索建立金融行业全国生物特征数据库进行整体管理，提升数据利用率，降低隐私泄漏风险，同时避免各自为战、减少重复建设。