在好萊塢十幾年前的動作電影中，就有很多特工通過制作3D面具破解生物識別密碼的橋段。而這些曾經令人覺得酷炫的科幻想象，似乎隨著科技的進步正在成為現實，而隨著人臉識別、刷臉支付、指紋支付的普及，這種安全隱患也逐漸成為一種全民憂患。

近日，美國一家名為Kneron的人工智能公司宣稱使用3D面具突破了支付寶、微信的人臉識別系統，還騙過了國內某火車站的閘機，成功刷臉進站。一時輿論嘩然，對此微信支付表示如果出現人臉盜刷，將進行賠付。

雖然Kneron公司宣稱的突破支付系統和車站閘機并沒有視頻佐證，僅有文字報道。后續深圳電視臺使用一個硅膠制成、造價約10萬元的高精度3D頭模進行了實驗測試，結果顯示2D門鎖、手機2D攝像頭被秒開，但3D的刷臉支付系統沒被攻破。對此專家學者，和國內很多專業機構對Kneron公司宣稱成果都提出了質疑，但民眾的憂慮并未因此削減。

刷臉頻爆安全風險

21世紀經濟報道梳理近期國內關于生物識別風險事件發現，已有不少案例出現。

早在2017年“315”晚會上，央視主持人現場利用了軟件后期修改人臉圖片的方式進行臉部識別，繞過了網絡實名認證系統，也就是說，只需要用修圖軟件處理一下人們曬在微博、朋友圈的照片，就能通過某些銀行支付APP的活體檢驗，某些支付軟件存在的技術漏洞可能引發資金安全威脅。

2018年1月，國內某支付平臺人臉識別系統被爆出存在“重大低級”漏洞，黑產人員周某、楊某通過在黑市上購買公民個人信息，利用平臺漏洞修改賬戶密碼和換綁手機號，盜刷了二十多個賬戶內共28萬余元資金，相關犯罪嫌疑人已被宜賓警方抓獲。

今年1月，四川省公安機關網安部門打掉一個使用軟件制作動態人臉圖片，破解人臉識別系統，盜竊支付寶資金的犯罪團伙，抓獲犯罪嫌疑人8名，查獲公民個人信息數據3000余萬條。

今年8月5日，某科技公司創始人王峻爆料，他好幾年前使用3D打印技術制作出來的自己的機器頭，這兩天拿來測試支付寶的刷臉支付功能，把手機對著人頭一放，在某火車票APP上，成功購買了一張9.5元從南京到寶華的火車票。

今年10月，浙江一群小學生在課外科學實驗中發現，只要用一張打印照片就能輕松“破解”豐巢智能快遞柜的“刷臉取件”系統，取出父母的快遞。隨后有媒體進行測試，發現該漏洞確實存在，甚至用偷拍的照片也能打開豐巢的快遞柜。

今年11月，網絡上出現的一段視頻中，一對雙胞胎姐妹應網友的要求測試了某兩款國產手機的人臉識別鎖屏，以及支付寶APP的人臉識別系統。在姐妹倆發型不一樣，姐姐的下巴有顆痣的情況下，成功解鎖手機屏幕。在對支付寶“刷臉”付款測試時，妹妹用姐姐的支付寶刷臉支付功能成功轉賬。

艾媒咨詢11月21日發布的《2019年中國刷臉支付技術應用社會價值專題研究報告》中數據顯示，2018年中國移動支付用戶規模較2017年增長17.2%，達到6.59億人，預計2019年移動支付用戶規模將突破7億人。而作為新的支付方式，刷臉支付目前普及度有限。2018年中國刷臉支付用戶達0.61億人，2019年刷臉支付用戶規模有望增長94.0%至1.18億人。預計高速增長將持續保持，預計2022年規模突破7.6億人。

隨著刷臉支付的日益普及，數億人的資金、賬戶甚至個人隱私等安全風險已經不容忽視。

頭部企業倡議風險防范共識

某用戶對21世紀經濟報道記者指出，有不少銀行、P2P金融企業的APP已經使用了人臉識別技術，但在金融支付等領域大規模應用的情況下，由于不同公司的技術實力參差不齊，有些公司沒有嚴格按照安全規范采用人臉識別服務，甚至為了提高用戶的體驗而舍棄安全性的做法時有發生，暴露出巨大的安全風險，存在因人臉識別漏洞導致資金被盜刷的潛在可能。

記者采訪中也發現，不同于前兩年刷臉支付剛推出時企業對于其便捷性的宣傳和鼓勵，近期頭部機構對于刷臉支付的宣傳和推廣也明顯減少。

今年8月23日，支付寶更是發布了《生物識別用戶隱私與安全保護倡議》，呼吁從事該行業的科技企業加入進來，明確提出“企業在采集用戶生物信息時應遵循‘最小、夠用’的原則，防止被濫用”。

倡議中指出，企業應對采集到的信息進行加密存儲來提高安全強度，也應明確和規范用戶信息使用的目的及范圍，避免信息被過度使用。另外，在具體使用中也應建立保險機制來確保用戶資金不受損失。

“科技企業也需要為保護用戶隱私與信息安全有所作為”，支付寶IoT事業部總經理鐘繇表示，支付寶是最早研發人臉識別技術的公司之一，也是首個把刷臉支付進行商業化的公司，因此積累了一套成熟的技術和制度，現在也希望把這些經驗能推廣出去，以便從事生物識別的企業都可以規范、正確來運用技術。

而針對人臉識別在支付等領域存在的安全風險，某金融科技公司相關業務人士指出，目前對于如何防范人臉識別風險，行業也有了一定共識，需要從多方面努力。首先，相關監管部門對于人臉識別安全規范標準亟待完善，從監管層面嚴格制定準入門檻和安全防范標準，對于涉及資金支付、金融等領域的人臉識別軟硬件設備制定統一的技術標準，淘汰一批安全性能差的軟硬件程序、設備。第二，各企業采用人臉識別技術時，應加強用戶指紋、面部識別等生物識別數據的安全保護，防止相關敏感數據的泄露和不規范保存，導致用戶隱私、資金安全遭受威脅。最后，用戶也應謹慎開通類似“刷臉支付”等相關功能，特別是在使用中小企業開發的人臉識別功能時，應提高警惕和安全防范意識，防止因企業安全防控和開發技術不足引發的隱私泄露和資金盜刷風險。

責任編輯：韓希宇