作者：中國光大銀行信用卡中心作業部項殷

2019年可謂是中國刷臉支付的元年。支付寶、微信支付、中國銀聯紛紛推出自己的線下刷臉支付產品，刷臉支付這一新興支付市場形成了三足鼎立之勢。

我們簡要回顧支付寶、微信支付、中國銀聯布局線下刷臉支付的時間軸：

對于當下支付市場來說，三大支付巨頭對刷臉支付的市場布局和推廣普及無疑是讓人欣喜和期待的。一方面，對于商家來說，刷臉設備不只是一種簡單的交易結算工具，“刷臉即會員”的智能性疊加營銷廣告和增值服務，大大增加了商家收益；另一方面，對于消費者來說，刷臉設備可以使其擺脫對手機介質的依賴，這是一次完全脫離實物承載介質的支付變革，大大提升了支付體驗。

在提升消費者支付體驗的同時，刷臉支付的安全性還有待考量。理論上，刷臉支付的基本原理是將刷臉終端硬件采集到的人臉信息與云端存儲的人臉信息進行識別對比，確定信息是否一致，然后解鎖完成人臉支付。由此可能帶來三種風險：一是云端生物數據庫發生信息泄露，并被不法分子獲取和掌握，從而發生“盜臉”；二是運用照片、面具等假體進行攻擊，對用戶資金安全造成危害；三是隱藏或新增的算法漏洞可能被不法分子發現并加以利用，進而造成系統性風險。

近一年內，不斷被爆出的“人臉信息”泄露和公開販賣的危機事件，如換臉App“ZAO”可以讓人隨意AI換臉、豐巢智能柜人臉識別系統被打印的照片破解、某些互聯網平臺低價售賣不同表情的人臉照片……這些危機事件的發生進一步說明人們對于刷臉支付安全性的擔憂不無道理。

針對刷臉支付的安全風險，我們從人臉識別、賬戶信息驗證、交易限額管控三個方面來分析支付寶的蜻蜓、微信支付的青蛙和中國銀聯的藍鯨三種刷臉支付產品各自的安全性。

（1）人臉識別方面，目前，人臉識別技術主要分為兩大類：2D人臉識別技術和3D人臉識別技術。其中，豐巢智能柜人臉識別系統采用的是2D人臉識別技術，攝像頭簡單采集一些面部信息并經過簡單算法后，形成2D平面圖像，安全級別低，易被照片和面具攻擊破解。而三大支付巨頭的刷臉終端設備在采集人臉信息時使用的都是安全等級最高的3D活體檢測技術，即終端的攝像頭采用的是最高級的3D結構光攝像頭，該攝像頭猶如人的雙眼，能夠感知物體的深度信息，從而構建人臉3D立體模型，再附加眨眼檢測、點頭轉頭動作，通過人工智能大數據算法來精準識別人臉是否為活體，精準率基本能達到99%以上，可以有效避免利用打印的照片、軟件視頻或面具等冒充用戶等情況，以此杜絕假體攻擊。

支付寶的蜻蜓、微信支付的青蛙和中國銀聯的藍鯨這三類刷臉終端設備都是由各自合作的攝像頭提供商、算法機構、終端廠商生產，并在各家拓展的刷臉商戶使用。其中，只有中國銀聯的藍鯨正式通過了銀行卡檢測中心的人臉識別技術檢測和認證。

（2）賬戶信息驗證方面，支付寶和微信支付除了首次支付時需要驗證綁定手機號以驗證用戶的賬戶信息外，后續支付均無需再次驗證手機號，只要通過人臉識別，即默認賬戶信息驗證成功，便可發起扣款請求。而中國銀聯在完成人臉活體檢測后，需要用戶輸入自定義的支付口令，用戶主動確權，通過支付口令完成賬戶驗證后方可發起扣款請求。

基于人臉生物特征的弱隱私性，用戶暴露在商場、飯店等各種公共場所，不法分子可通過遠程、非接觸方式，在用戶本人毫無察覺的情況下，“無聲無息”地非法批量采集生物特征信息。此外，基于生物特征信息數據的集中存儲，一旦熱點應用的生物特征庫被攻破，會導致大規模隱私泄露的系統性風險。這些客觀存在的風險意味著在支付時僅依靠單一生物特征進行金融交易驗證，存在著嚴重資金盜刷交易隱患。因此，為了兼顧金融交易服務的安全性和便捷性，不能只將人臉特征作為唯一的交易驗證要素，需要根據風險等級結合支付口令等其他因素進行多因素認證。

（3）交易限額管控方面，為防控交易風險，三家機構推出的刷臉支付服務都設置了交易限額。其中，支付寶的刷臉支付單日限額是5000元，即一個人單日刷臉支付的交易金額累計不超過5000元。微信的刷臉支付單筆限額1000元，單日限額1000元，單日刷臉次數為100次，即用戶通過微信進行刷臉支付的次數若超過100次，則當日無法再進行刷臉支付。中國銀聯的刷臉支付單筆限額為3000元，單日累計限額為5000元，各銀行的銀行卡所具備的刷臉支付具體限額仍由各銀行依據其風控策略自行定義，并支持用戶自行修改。

從三家刷臉支付產品的交易限額設置來看，微信的刷臉支付限額最低，同時還增加了單日支付次數的限制，風控策略更為完善。此外，為了切實保障用戶的支付安全，支付寶和中國銀聯對刷臉支付也配套了相應的風險賠付機制。

隨著信息技術的不斷升級完善，刷臉支付所采用的最高級別的人臉識別技術的確大大提高了人臉識別精準率，同時，通過交易金額的限制，在一定程度上保障了刷臉支付的安全性。然而，目前我國的刷臉支付市場仍然處在試點推廣期，三家支付巨頭的刷臉支付服務無論在技術準入、終端檢測認證還是個人信息保護與支付限額控制方面都是各自為政，需要監管機構對刷臉支付的準入機制、檢測認證機制、業務規則、風險防范機制進行統一構建和完善。此外，在當前個人隱私信息存在嚴重泄露風險的情況下，相關機構在為用戶提供刷臉支付服務時，應在人臉識別的基礎上增加其他因素驗證，以確保用戶的自主確權，從而切實保護用戶的自主選擇權和財產安全。只有安全與便捷同行，刷臉支付成為主流的支付方式方未來可期。

責任編輯：韓希宇