生物識別技術作為新一代人工智能的重要領域，借助人體生理特征或行為特征進行身份識別，是連接自然人與智慧社會的紐帶。近年來，得益于云計算、大數據、物聯網、深度學習等信息技術的快速發展，生物識別技術在基礎理論、算法模型、創新應用、軟硬件支撐等方面不斷取得突破。與此同時，生物識別技術在金融領域的應用蓬勃興起，成為社會普遍關注的熱門話題。金融機構必須處理好安全與創新的關系，努力推動生物識別技術在金融領域安全規范應用。

　　一、生物識別技術的發展趨勢

　?。ㄒ唬┳R別技術不斷成熟。隨著人工智能、大數據、云計算等技術的加速發展，生物識別技術日漸成熟。聲紋識別依托算法迭代、模型升級等優化措施，在識別說話人的共振峰、基音、倒頻譜等聲學特性方面取得一定突破，初步解決識別準確率、穩定性等問題。目前，聲紋識別技術已支持對千萬級以上容量的聲紋庫開展秒級檢索識別。人臉識別借助深度學習的應用與發展，識別通過率明顯提升。例如，結合海量數據挖掘、神經網絡等技術，千萬級別人臉辨識的通過率可達99%以上?；铙w檢測作為生物識別防范假體攻擊必不可少的一環，在光流分析、3D結構光、飛時測距（TOF）等技術日益成熟的基礎上，基于微紋理、多光譜、運動信息等可有效抵御2D及3D假體攻擊。此外，虹膜識別、靜脈識別、步態識別等生物識別技術均取得積極進展。

　?。ǘ┱攮h境持續優化。全球范圍內許多國家和地區高度重視生物識別技術發展，不斷加強頂層布局，為技術創新應用提供良好政策環境。從國際來看，美國國家人工智能研究與發展戰略規劃、法國人工智能戰略、德國人工智能戰略要點等陸續發布，為生物識別技術應用指明方向。澳大利亞、俄羅斯、印度等著手建設全國生物特征信息數據庫，推進生物識別技術應用落地。從國內來看，《中華人民共和國網絡安全法》明確將個人生物識別信息納入個人信息范疇進行規范管理?！缎乱淮斯ぶ悄馨l展規劃》從建立關鍵共性技術體系、探索行業創新應用等方面對生物識別技術發展提出重點任務。公安行業針對指紋識別、人臉識別、靜脈識別等發布多項標準。金融行業針對聲紋識別在金融領域安全應用已發布相關技術規范。

　?。ㄈ┊a業支撐日趨完善。生物識別技術的發展帶動市場需求逐步擴大，產業結構優化升級，產業支撐力度不斷增強。在市場規模方面，生物識別領域投融資保持穩步增長態勢，復合年均增長率20%左右，預計2021年全球生物識別市場規模將超過300億美元。在技術供給方面，全球科技企業加強生物識別技術研發，關鍵核心技術有所突破，整體技術水平日漸提升，我國生物識別技術進步尤為突出。2018年中國企業和科研院所包攬美國國家標準與技術研究院（NIST）人臉識別算法測試（FRVT）前5名。在產業結構方面，生物識別市場主體向專業化方向發展，產業鏈不斷拓展。以人臉識別為例，英偉達、海思半導體、寒武紀等深耕圖像處理硬件，谷歌、百度等專注深度學習算法開源平臺，依圖、云從、NtechLab等聚焦計算機視覺應用，安全評估機構風險測評能力顯著提升。

　?。ㄋ模脠鼍爸鸩酵卣?。生物識別技術通過身份特征的數字化和隱形化，為身份核驗提供便捷高效的可選替代方案。公安、社保、醫療、教育、交通等行業均已探索生物識別技術的應用。在線下場景，生物識別技術應用通過專用終端、專用網絡，能夠有效防范用戶隱私泄露和假體攻擊，已經開始從傳統的員工考勤、小區門禁等應用場景，延伸至監控安防、智慧醫療、智能家居等領域，如北京、廣東等多個省份的高考采用人臉識別＋指紋識別雙重技術確認考生身份。在線上場景，由于網絡環境開放，木馬、病毒、假體等外部攻擊威脅較大，生物識別技術應用場景存在一定局限，目前主要集中在智能手機解鎖、APP輔助登錄等方面。

　　二、生物識別技術應用的風險與挑戰

　?。ㄒ唬┥锾卣饕妆粡椭?，隱私保護面臨嚴峻形勢。生物特征涉及人臉、虹膜、聲紋等用戶隱私信息，由于固有特性、采集方式、集中存儲等原因，導致信息泄露風險較大。一是特征信息具有唯一性。一般來說，生物特征與人類生命相伴而生，不隨個人主觀意愿而產生變化，難以針對不同業務、不同渠道、不同場景使用不同憑據進行安全隔離，一旦被非法竊取利用，基于此類生物特征的身份認證系統都可能被輕易繞過，影響范圍大。二是采集行為極具隱蔽性。用戶生物特征普遍暴露在商場、旅館、飯店、街道等各種公共場所，不法分子可通過遠程、非接觸方式，在用戶本人毫無察覺的情況下“無聲無息”地非法批量采集生物特征信息。三是泄露風險高度集中。人工智能、云計算、大數據等技術逐步規模應用，生物特征數據存儲集中度越來越高。一旦熱點應用的生物特征庫被攻破，極易導致大規模隱私泄露，甚至引發系統性風險。例如，今年2月深圳深網視界發生大規模用戶信息泄露事件，超過250萬用戶的身份證號碼、人臉圖像及拍攝地點等信息外泄，嚴重威脅人民群眾隱私安全。

　?。ǘ┕羰侄尾粩喾?，技防能力亟需迭代升級。生物識別技術持續快速發展，針對識別算法漏洞的攻擊手段也不斷翻新。早期，由于生物識別技術無法判斷識別對象是否為真實活體，偽造指紋、聲紋、人臉等生物特征的“假體攻擊”手段較為猖獗。為應對“假體攻擊”，基于3D結構光、TOF、紅外雙目攝像頭等的活體檢測技術應運而生，一定程度上緩解了假體攻擊的威脅。但不久又出現了針對活體檢測技術的視頻重放、立體面具等“活體攻擊”手段?？偟膩砜?，隨著人工智能、大數據等技術不斷發展演進，新型攻擊手段也不斷出現，迫使產業各方疲于應對，倒逼企業加大投入力度，持續升級算法能力和防偽技術，給生物識別技術安全應用帶來巨大挑戰。

　?。ㄈ┧惴ㄐ阅苋杂芯窒?，應用場景受到一定限制。一是抗噪能力有待提升。與專業采集設備相比，常見通用設備（如手機攝像頭、遠程監控等）采集的生物特征信息分辨率低、噪聲大，較難建立統一分辨率的樣本庫，給識別算法設計帶來一定挑戰。二是環境變化影響較大。生物特征受采集過程中光照、噪音、遮擋等外界環境因素干擾較大，且隨生物個體的年齡、著裝等產生變化，給識別算法穩定性帶來一定影響。例如，今年1月美國NIST FRVT測評結果顯示，同一人臉識別算法使用證件照時效果較好，換用日常照片集后識別準確率降低。三是關鍵指標難以兼顧。識別算法的識別通過率、誤識率等關鍵指標相互關聯，難以同時兼顧，迫使從業機構結合實際應用進行適當優化取舍。以人臉辨識為例，當樣本庫大小等其他因素固定時，識別通過率與誤識率呈一定正相關性，服務提供方若片面追求高通過率和極致用戶體驗，可能給交易安全帶來潛在風險。

　?。ㄋ模┧懔Υ鎯σ蕾嚩雀?，IT基礎支撐壓力較大。在后端支撐方面，生物識別技術逐步應用，催生出大量視頻、圖片、音頻等非結構化數據的存儲、傳輸和處理需求，亟需基于云計算、大數據等技術的基礎計算與存儲能力支撐。例如，戶籍管理、出入境等業務需涵蓋全國13多億人口的生物特征樣本庫，海量數據的分布式存儲、高并發處理需求較為旺盛，對基礎設施能力建設提出很高的要求。在前端算力方面，應用渠道和場景不斷創新，識別精準度和響應速度要求持續提升，識別算法更加復雜化和模塊化，算力需求逐步向前端設備遷移，亟需更加專業化的生物識別芯片、智能生物特征采集設備等前端硬件支撐。

　　三、生物識別技術金融應用的思考

　?。ㄒ唬┱_處理安全與創新關系。安全是技術創新的奠基石，合理的創新是安全發展的助推器。生物識別作為一種新興的人工智能技術，在金融領域應用仍然面臨一定的風險和挑戰，應用得當有助于提升金融服務質量和效率，應用不當則可能引發金融風險。要處理好安全與創新的關系，既不能盲目冒進，神化生物識別技術的作用；也不能裹足不前，漠視生物識別技術的優勢。要加強技術研究，深入分析不同生物識別技術在效率、安全性等方面的優劣，趨利避害，在風險可控的前提下選取較為成熟、安全性高的生物識別技術穩妥開展金融應用。

　?。ǘ┙∪镒R別技術應用治理體系。生物識別技術應用是一項系統工程，影響面廣、復雜度高，關乎百姓切身利益。建議有關部門加強頂層設計與規范引導，不斷完善治理體系，多措并舉推動生物識別應用健康有序發展。在法律體系方面，推進科學立法、嚴格執法，制定出臺適應生物特征識別技術應用的法律法規，從信息安全、消費者保護等角度明確權責，加強生物特征數據濫用、侵犯個人隱私等行為的管理和懲戒。在管理制度方面，探索建立金融科技創新產品管理機制、自聲明與備案制度，在一定范圍內先行驗證生物識別技術應用的可行性和合規性，及時發現并規避產品缺陷與風險隱患。在標準規范方面，堅持標準先行，構建生物識別技術應用標準體系，規范人臉、聲紋、活體檢測等技術應用，明確生物特征信息采集、傳輸、存儲、利用等環節的安全管理要求。

　?。ㄈ娀锾卣餍畔⒈Ｗo。利用數據脫敏、隱私計算、分散存儲等手段，強化用戶生物特征信息全生命周期管理，加強生物特征敏感信息保護。一是數據脫敏。在獲取用戶充分授權前提下采集用戶生物特征信息，利用標記化等技術對采集的用戶生物特征原始信息進行脫敏處理，并通過不可逆加密技術將轉換后的信息進行加密，保障用戶生物特征數據傳輸、存儲的安全性，實現用戶生物特征敏感信息的可靠保護。二是隱私計算。借助可信執行環境（TEE）、安全多方計算（SMPC）等技術手段，在不歸集、不共享原始數據的前提下，完成對生物特征信息的安全處理，僅向外提供脫敏后的計算結果，確保生物特征數據在使用、處理和流轉過程中不發生泄露，有效解決數據隱私保護和高效處理流通之間的矛盾。三是分散存儲。將用戶生物特征與姓名、電話等關聯性較高的敏感信息進行安全隔離、分散存儲，達到差分隱私的目的，保證攻擊者無法通過部分數據推斷出其他隱私信息，降低敏感數據集中存儲帶來的隱私泄露風險。

　?。ㄋ模┘訌娐暭y識別技術在金融領域的規范應用。聲紋識別作為一種基于動態行為特征的身份認證方式，具有隱私相關性低、支持多要素認證和雙向交互等特點。中國人民銀行于2018年10月發布《移動金融基于聲紋識別的安全應用技術規范》（JR/T 0164-2018），引導金融機構加強聲紋識別規范應用。一是嚴格落實聲紋采樣、抗噪、抗時變等技術指標要求，規范聲紋信息采集、傳輸、存儲、處理、刪除等全生命周期管理流程。二是按照多因素組合身份認證基本規則，探索應用聲紋識別和動態密碼等相結合的技術方案，通過多因素互補建立多層次防御體系，達到“1+1>2”的效果，提高身份認證安全強度。三是探索聲紋識別技術在手機銀行等移動金融服務場景的合理應用，通過語音搜索、語音轉賬、語音記賬等，打造智能普惠的移動金融服務體系，更好地便利老年人、殘疾人等傳統移動金融不易覆蓋的弱勢群體，助力我國數字普惠金融持續發展。

　?。ㄎ澹┨剿魅四樧R別技術在金融領域的安全應用。從目前人臉識別技術成熟度和可靠性來看，人臉識別技術線上應用仍存在諸多風險，應用條件尚不成熟；線下應用風險相對可控，在支付領域基本具備應用條件，對提升金融服務便捷性和普惠性具有積極作用。一方面，按照“聯網通用、安全可控、便捷友好、易于推廣”原則，探索利用密碼識別、隱私計算、數據標簽、模式識別等技術，突破1：N人臉辨識支付應用性能瓶頸，構建以人臉特征為路由標識的轉接清算模式。另一方面，將人臉特征作為關聯支付賬戶的媒介，利用專用口令、“無感”活體檢測（輔助）等實現交易驗證，使用戶無需額外攜帶外部介質（銀行卡、手機等）即可完成支付交易，推動實現支付工具安全與便捷的統一。

　?。ū疚目怯凇吨袊畔踩冯s志2019年第2期）

責任編輯：王超