文 易无花 石佳盈

“人脸识别”技术因其便捷简单已经广为应用到市民日常生活中，银行业从线上到线下都享受着这项新技术带来的极大便利性。但用户体验不断提升的同时，技术防攻击性和安全性所面临的挑战也越发严峻，如何保障客户的资金安全和信息安全已成关注焦点。据悉，央行最新正在加快制定人脸识别、活体检测、个人信息保护等相关标准。

扫脸支付安全性受关注

近日某银行曾发生这样的案例——一位银行用户李女士在通过手机银行转账时疑似发生了“刷视频扫脸”盗刷的情况。根据该银行的系统设定，用户通过手机银行转账，必须首先输入“交易密码”，再输入“短信验证码”，最后进行人脸识别验证，才能完成转账，但李女士自述未进行人脸识别就转账成功，并就此向银行提出疑义。经记者调查发现，该用户系遭遇电话诈骗，在被骗取交易密码和短信验证码后，最后一步需要通过人脸识别的辅助手段进行核验，而这一步疑似是用户本人通过实时视频通话的方式在视频镜头前配合诈骗嫌疑人完成的，换句话说，诈骗嫌疑人很可能骗得用户信任后通过另一部手机刷了视频通话手机的屏幕，即完成了扫脸过程。

事实上，关于扫脸技术的安全性问题早已被媒体关注。无独有偶，2017年的“3·15”晚会上，央视提示了人脸识别在应用中存在的风险——主持人通过网络上随便找来的一张人物自拍，通过简单的图像处理和动态合成技术，将网络人脸合成到事先准备好的视频上，覆盖原视频的人脸，就能简单骗过一些通过面部识别作为认证信息的软件。

从目前市场情况看，浦发银行、光大银行采用“短信验证码＋人脸识别”的支付模式，交通银行、中信银行为“短信验证码＋支付口令+人脸识别”的支付模式。可见，“短信验证码＋支付口令”的混合身份识别方式仍是支付验证的核心要素，人脸识别仅作为支付验证的辅助手段。此外，支持人脸识别的银行，经记者亲测，在人脸识别环节未发生通过扫照片或扫视频实现支付的情况。

多年从事大数据研究的学者中国互联网数据中心（DCCI）研究院院长刘兴亮指出，随着技术的不断革新，一些技术问题都已得到或正在得到完善和解决：“技术有一个进步的过程，如今的中资银行在技术领域已走在世界前列。”

进行多重安全认证最保险

“针对持卡人的这些疑虑，银行方面非常理解，盗刷技术升级，我们的防盗刷技术也与时俱进。”一家刚刚“升级”完毕手机APP端的银行工作人员表示。而作为五大行中最先试水人脸识别的中国银行，其手机银行背后的风控系统与腾讯云合作开发。中行方面介绍，该系统可以主动实时监控，实现全流程、全业务和全渠道的业务风险管控，有效保障客户资金安全。

央行科技司司长李伟日前表示，仍有个别银行仅靠人脸特征判断用户身份，显然存在一定安全隐患。

对此，上海市信息安全行业协会会长谈剑锋表示，生物认证最大的共性是唯一性：“我们有独一无二的脸，这是生物特征的唯一性，使得大家认为人脸识别是安全的，可正因如此，风险反而更大。”谈剑锋表示，生物特征库一旦被攻破，生物特征数据被盗，将永远不可能再生。也就是这种不可再生性，使得生物认证技术并不适用在互联网环境下。在一些特定行业，如技术安全指数较高的金融领域，人脸识别作为一种辅助的认证方式才可考虑运用。

“换句话说，如果市民在进行人脸识别申请时银行方面没有进行多重安全认证的提示，如绑定手机、手势安全码等，那就要有些警惕了。”一位从业多年的银行客户支招如何主动避开高风险的“人脸识别”支付。

据悉，央行正在加快制定人脸识别、活体检测、个人信息保护等相关标准，将按照“联网通用、安全可控、便捷友好、易于推广”原则，探索利用密码识别、隐私计算、数据标签、模式识别等技术，突破1：N（即在海量的人像数据库中找出当前用户的人脸数据并进行匹配）人脸辨识支付应用性能瓶颈，构建以人脸特征为路由标识的转接清算模式；将人脸特征作为关联支付账户的媒介，利用专用口令、“无感”活体检测等实现交易验证，使用户无需额外携带外部介质即可完成支付交易，推动实现支付工具安全与便捷的统一。