当前位置:康壮新闻网>财经>“刷脸”安全:支付行业社会责任感是一场大考

“刷脸”安全:支付行业社会责任感是一场大考

这是支付公司需要展示其社会责任的关键时刻,这关系到整个支付行业的未来。如果交易验证可以通过使用特殊密码实现,“非敏感”活体检测等。,可以突破人脸识别支付应用性能的瓶颈,特许金融机构可以构建以人脸特征为路由标记的转账清算模式,统一支付工具的安全性和便捷性。

没人预料到自拍时的“剪刀手”可能会被犯罪分子窃取,用于指纹登录或付款。虽然事实证明通常没有必要担心,但在类似案件出现后,消费者的面部信息会被盗用吗?用户的“延值”会被披露吗?很难避免担心。央行科技司司长李伟近日在金融网络安全论坛上表示,网下申请的风险对于刷脸支付申请来说是相对可控的,基本符合试点申请的条件。然而,人类的生物特征暴露在外面的世界,当他们没有意识到这一点时,他们确实有可能被默默地收集起来。因此,网络空间仅依靠人脸等单一特征进行金融交易验证,存在一定的安全风险。申请条件仍有成熟和改进的余地。根据风险等级,结合用户密码等多因素认证,必须平衡金融服务的安全性和便利性。

正如刷卡支付已经成为大多数人熟知的支付方式一样,越来越多的人尝试过“刷卡脸”支付,商家和用户的接受度也在不断提高。在零售、餐饮、医疗等行业,刷脸支付改善了用户体验,节省了商家的综合运营成本。与二维码、nfc等移动支付方式相比,刷面支付节省了手机媒介,进一步为消费者在线和离线查看提供了方便的选择。更重要的是,在一些政府事务、金融或民生领域,“擦脸”带来的便利远远超出有关方面的想象。许多人可能还记得这样一个消息,由于存折丢失,重病在身、卧床不起的老人必须按照现行规定用担架抬到银行才能重新发行,这引起了舆论的强烈怀疑。现在看来,这个矛盾可以通过科学技术手段如“刷牙”来彻底解决。事实上,早在2017年上半年,深圳人力资源和社会保障局就宣布,深圳退休老人可以通过支付宝等平台在社会保障领域“刷脸”,并依靠人脸识别。他们不再需要去社保大厅进行相关认证。

然而,有一个不可忽视的细节,特别是在商业支付过程中,无论是扫描代码还是刷脸,它都是一个涉及多方的非直接接触交易链,例如用户、商家、第三方支付机构和无线通信运营商。这个链条有一定的交易风险。是否事先得到适当的控制是决定这一风险是否被屏蔽的关键。如果一些支付平台高估了弱隐私特征的识别功能,仅依靠单一特征在网络空间进行金融交易验证存在严重隐患。

创新不是随心所欲,而是要考虑各方的感受。与以前作为信息中心的二维码相比,二维码的生成可以先于风险防范,刷洗支付的风险防控难度大幅上升。然而,由于专业差异或消费者心理,普通用户在享受刷脸支付带来的好处时,显然对自己的风险缺乏足够的理解和判断。他们中的大多数人可以说只知道风险,但不知道原因。这表明责任主要在于商家和三方支付平台,特别是后者,后者负责具体的研发。

支付交易的安全性与行业的长期发展息息相关,这决定了支付行业是会再次升级还是阻碍其发展。此前,面对从支付宝到银联的“远距离窃取和刷二维码”问题,借助保险澄清了“风险全额补偿”的原则。更合理的说法是,由于支付机构的不作为或市场需求,扫码支付的防线被外人突破,由此造成的损失由支付平台而非弱势用户承担。同样,面对进一步的生物识别技术,用户的“颜色值”比二维码携带更多的隐私信息。支付平台除了积极建立和完善风险补偿基金、保险计划、应急处置等风险补偿机制外,还需要对技术和制度进行研究。仍然以支付宝为例,最新的3d结构光相机安装在流行的“蜻蜓”和其他洗脸支付设备上。通过软硬件检测相结合,可以判断采集的人脸是由照片、视频还是软件模拟生成的,可以有效避免各种人脸伪造造成的身份欺诈使用。同时,根据“最小充分性”原则对采集的人脸信息进行加密存储,并为每个人脸信息分别创建一个密钥进行安全管理,从而提高了安全强度。

在一切都相互关联的应用场景中,资本流动的电子数字化是不可逆转的,生物支付(如洗脸)是大势所趋。众所周知,无论是移动支付还是生物支付,中国的技术一直处于世界领先水平。在天猫2018年的“双11”期间,以刷牙为主的生物支付比例达到60%,到今年6月18日,生物支付比例已经超过80%。如何在可控性和合规性的前提下支持这一新事物的发展,促进生物鉴定等科技创新已成为当务之急。央行今年8月发布的金融科技发展计划提出,将探索人脸识别离线支付安全的应用。借助密码识别、隐私计算、数据标注、模式识别等技术。,交易验证将通过使用特殊密码、“非敏感”活体检测等来实现。突破人脸识别支付应用的性能瓶颈。特许金融机构将构建以面特征为路径标志的转账结算模式,实现支付工具安全性和便捷性的统一。不久前,支付宝的“生物特征用户隐私和安全保护倡议(Biometric User Privacy and Security Protection Initiative)”要求主要支付平台对收集到的用户生物特征信息进行加密和存储,明确和规范用户信息使用的目的和范围,并遵循“最小和足够”的原则防止滥用。这符合“用户授权、最低限度的充分性”、“表达意愿、多重认证”、“风险补偿和充分保护”的监督准则。

坦率地说,这是支付公司需要展示其社会责任的关键时刻,关系到整个支付行业的未来。

(作者是基金从业者和金融专栏作家)

来源:上海证券报

关注通化顺金融微信公众号(ths518),获取更多金融信息