人脸识别在金融领域应用的安全性分析

马强伟

中国人民银行延安市中心支行 陕西 延安 716000

引言

早在2017年，央行就已经发布了关于人脸识别在线下支付中如何安全应用的文章。其中对于人脸安全识别在金融系统中的应用，要借助一系列的技术例如隐私计算、模式识别、密码识别以及数据标签等技术，并且利用专用口令，进行活体检测，实现金融交易验证。在文章发出后，各个银行都开始进行人脸识别技术的应用。并且结合客户标签，利用大数据智能化分析，优化银行的服务体系，人脸识别除了应用于线下支付，也成为不同银行之间提升其客户体验的手段之一。

1 时代变化带来的支付方式变化

1.1 技术进步带来的支付革命

近年来我国的经济以及技术都在不断发展，其中关于支付手段也从单一走向了不断进化的过程。自20世纪90年代的金卡工程开始，金融领域就已经步入了电子化：在经过了十几年的努力之后，银联普及了电子化支付的银行卡支付手段、由于可靠性以及安全性更高的原因，使其在全球领域内都有着广泛的应用。

在2010年之后，网络通信技术不断发展，在4G移动网络的基础下，移动互联网、通信技术以及智能设备都有了更加迅速的发展，使得NFC技术以及二维码技术迈进了时代的舞台，开启了移动支付的新时代。在保证线下移动支付更加安全的同时，由于其更加快捷方便，吸引到了许多年轻用户的使用，也成就了码基支付的流行[1]。

随着移动通信技术的进一步发展，出现了5G技术以及窄带物联网，成就了新的物联网时代。在这一技术背景之下，线下支付技术有了更长远的发展，出现了无感支付。无感支付是在经过付款人的授权之后，其所授权的第三方支付或者银行可以使用所预存的客户信息为支付凭证以及介质，结合了云计算、人工智能、物联网和生物识别以及人工智能等新兴的技术手段，完成无感的快捷线下支付手段。

1.2 生物识别与线下无感支付的结合

无感支付已经应用到了多种场景中，例如智慧停车、ETC、智慧加油以及京东和支付宝等第三方支付公司或者B2C的电子商务公司所推出的无人超市，所使用的支付方式都涉及了无感支付，其中所使用到的核心技术就包括了生物识别技术。自从苹果公司推出了Apple Pay之后，各大技术公司，不论国内还是国外，纷纷开始将生物识别技术与其所生产的产品相结合，其产物就包括了声纹识别、掌纹识别、虹膜识别、指静脉识别以及人脸识别等一系列新兴技术，这些技术又纷纷应用到了移动支付方面[2]。但是基于生物识别技术带来的移动支付的安全性能一直受到人们的强烈关注，于是随着《网络安全法》的出台，移动支付的安全性问题是厂家不可避免的[3]。生物识别技术带来的新兴支付方式，其方便快捷程度是不言而喻的，但是其可靠性以及成熟度，使得新兴支付方式的发展需要避免与开放式的线上支付场景相结合。

在无感支付中，付款人所使用的付款凭证就是其本人的生物信息，在结合银行或者其他金融机构的设备后深入学习，并且结合标记以及活体检测等技术的配合，可以大大提升线下支付的安全程度，对金融服务的便捷和普惠性也有着显著的提高。

2 人脸识别技术的特点

2.1 人脸识别技术的特点

2.1.1 非接触采集更加方便。生物识别技术中，上文所列举到的其他方式，例如掌纹以及指纹等技术，都需要将个体的生物信息与识别设备进行直接的接触，才能够采集到个体的信息。而人脸识别技术脱离了这一技术限制，使用生物识别技术的个人，可以使用非接触模式通过远端以及近端获取信息，这就造成了人脸识别的应用性更加广泛。

2.1.2 主动性更强。指纹识别或者虹膜，都需要使用生物技术的个体强制配合。相较于此，人脸识别技术已经可以在个体无须特意强制配合的前提下获取到人脸图像。这种取样方式，在甄别以及安防方面有着异常的优势，例如在各个公共场所例如商超、学校、医院、飞机场以及银行等，可以进行有效的流动人员识别和检测，以便进行危险的预防以及监控。

2.1.3 效率以及并发性更高。人脸识别在公共场景下，可以进行多人同时识别以及判断。其识别效率更高，可以在同一场景，同一时段下获取到更多的有用信息。相较于其他的生物识别技术，更适用于现实中的复杂环境。

2.2 不使用人脸识别给金融带来的影响评估

在金融领域方面，人脸识别技术的使用可以带来更多的帮助。如果金融机构例如银行没有使用此技术，带来的不利影响会有所上升。银行所遭遇的风险，例如没有进行身份核实而导致存款被盗的时间，银行会因为自身的失误，赔偿储户70%的损失；如果已经进行身份核实，但是使用了假身份证实施违法犯罪活动，银行所承担的损失为30%[4]。其他的情况，例如没有使用人脸识别系统，可能会有同行在银行内诱导客户转存或者投资到其他银行，因为客户对本银行的不信任和怀疑情绪。如果碰到不良人员，更会对客户本身的资产带来风险，引起客户的实质性损失。以上的两种风险都会败坏银行的信誉度，还会造成巨额的赔偿风险。

3 人脸识别在金融领域的应用以及风险

3.1 金融领域使用人脸识别的经典场景

金融领域中所使用到的人脸识别技术，更多的是引用到身份验证中。人脸识别技术广泛地应用于银行远程支付、身份认证以及开户等方面的验证。此项技术主要是通过人脸信息中特征的提取，再利用生物统计学的原理，对人脸特征进行建模分析。再从将使用者的面向与人脸特征点相结合进行分析，分析的结果可以得出一个相似值，这个相似值就是用来验证身份的重要信息。

人脸识别中所使用到的图像来源大多是用户自传照片，这些照片往往会受到角度或者光纤的影响，导致照片的质量不足，不利于后期的人脸特征管理。除了自传照片，身份证照片的使用程度也很好，但是身份证上的人脸照片读取后会更加模糊。还有就是通过公安部所储存的人脸数据，进行身份识别。

规模化的应用是人脸识别在金融领域场景最广泛的应用之一。此场景多半应用在常规的操作中，例如存取款和支付。银行或者金融机构每天所使用的客户流量较为广泛，也就需要识别系统进行大量运算，所以金融系统的服务器和宽带也要有更好的质量。

3.2 线上人脸支付有较大的隐私泄露风险

人脸支付是十分便捷的支付手段，也提升了人们生活的便捷程度。但是由于人脸支付在线上或者线下的支付场景多种多样，也提升了人脸支付的风险程度。在此方面，不同的场景所带来的风险也是不同的。风险主要有以下几种[5]：①人脸识别是否成功，其关键之处就是核心算法是否有效。越是大规模应用人脸识别技术，就更要保证人脸识别的精准程度。②人脸的外形不是一成不变的，不同的角度或者不同的表情，都会造成人脸视觉图像上的不同。③ 人脸识别技术设计到拍照，所以对于光照条件以及人脸是否有遮挡物得到也有一定的要求。

人脸支付在进行线上支付时，所使用到的软件会通过所使用的设备，采取人脸数据，并将数据以及其他敏感信息上传到设备的服务器，以便完成线上支付。上传云端的数据，不论是公司进行贩卖，还是其他公司非法获取的风险都会上升。

3.3 线下人脸支付的安全性仍需提升

线下人脸支付相较于线上支付，其安全性更高。众多的企业对于人脸支付方面的产品研发都十分积极，例如银联就研发了“刷脸付”，微信推出了“青蛙”。支付宝推出了“蜻蜓”等设备，在可信的环境下进行人脸数据的传输和收集。特有设备的加持是线下支付安全性高于线上的重要因素之一。

除了设备也有着制约，在提取到的客户人脸图中，大多数是2D图像，这就导致被黑客盗取信息的风险提高。黑客通过三维面具、头模以及三维动态图像、纸质图像等方式进行攻击，伪造客户的人脸数据。此种风险若想避免，就需要结合其他的手段进行辅助验证。

4 人脸支付在金融领域的安全应用研究

4.1 加强政策方面的监督

人脸支付要想得到良性发展，并且提升其安全性，就要有配套的监管规定。

首先，使用人脸支付的企业需要挂牌经营。相关的从业人员以及企业，禁止使用搜集到的信息进行违法犯罪活动。个人在使用人脸识别之前，要明确使用范围，例如仅用于登录使用。不良企业在此方面的积极性肯定有所欠缺，这就需要国家层面进行数据保护清单的制定，严格控制企业对于信息的应用，从风险扼杀在摇篮里。

除了对于信息的使用，企业对于数据的采集方面，也需要有严格的规定。在信息的采集过程中，只能够采集与企业或者产品特性有关的信息，不能进行过度采集。

4.2 与传统线下支付方式相结合

人脸支付方式的安全性可以借鉴传统的线下支付方式。传统的线下支付方式，例如POS机，需要将卡放入机器内，再输入密码进行使用。人脸识别技术的使用，可以代替银行卡或者二维码支付，再结合执行的环境，进行多方面的安全计算、标记化、数据标签、密码识别以及隐私计算等多种技术，突破人脸识别带来的安全性瓶颈。又或者将个人的人脸特征作为账户支付的媒介，将无感支付作为辅助实现验证，而使用的个人无须携带其他工具例如手机或者银行卡，就可以进行交易，实现支付快捷和安全性的统一[6]。

4.3 加强技术方面的保护措施

在金融领域或者其他方面所收集到的人脸信息，需要用标记化技术或者其他技术进行脱敏处理，在叠加信息加密技术，保障人脸的存储以及传输的安全性，为人脸信息提供可靠的保护。另一方面，人脸信息的安全处理，可以通过对安全多方技术以及可信执行环境等手段，确保在其使用以及流转过程中的保密程度，有效解决使用速度和隐私保护方面存在的问题。用户信息中的电话以及姓名等信息的关联性很高，需要将信息分开存储，并且进行隔离。如果发生信息泄露事件，攻击者也无法通过单一的信息获取到其他信息，降低隐私泄露的风险。

4.4 完善行业标准以及强化检测认证

使用人脸支付的各个平台或者领域，都需要有相关的安全标准。在生物识别方面，尤其是人脸识别，对于受理终端的安全性要求是非常高的。所以设备的检测认证以及是否安全可靠也要注意，避免只考虑标准的安全，忽视了对设备的重视程度。对于此方面，可以进行生物模板例如人脸模板的规范，并且要加强对于采集、存储以及对比传输等步骤的监管。行业标准的完善以及检测认证的强化，可以大大降低隐私泄露的风险，不仅作用于人脸识别，还能为网络安全的整体水平做出一定的贡献。

5 结束语

时代的发展日新月异，支付技术也层出不穷。在未来的发展中，除了支付方式的变化，金融领域也会迎来其他的金融科技带来的发展红利，例如数字货币。在人脸识别的应用方面，要不断进行探索，以便加强其在金融领域的安全应用，并与传统以及新的科技以及技术相结合。在人脸识别的安全性保障中，行业标准以及检测认证是其安全性保障的基础，所以要不断推进标准以及检测认证的完善，以便在金融领域的未来发展中，帮助人脸识别获得更多的发展机遇。