董希淼：金融機構應確?！八⒛槨钡陌踩?/h1>

董希淼 來源：中國電子銀行網 2022-08-09 09:50:06 刷臉 人臉識別 董希淼

董希淼     來源：中國電子銀行網     2022-08-09 09:50:06

刷臉 人臉識別

董希淼 收藏

核心提示“你的臉很重要！”

據報道，北京市民李紅被詐騙人員從她的交通銀行卡騙走近42.9萬元，發現交通銀行的人臉識別技術存在嚴重漏洞。當前，金融科技蓬勃發展，大量新技術被廣泛應用于金融產品和服務創新。金融機構應正確把握安全與發展、風險與創新的關系，把安全性放在第一位，不斷提升風險防范能力，加強消費者權益保護，確保金融科技行穩致遠。

報道顯示，李紅被騙當天共有7次操作涉及人臉識別，均顯示識別成功通過，其中1次為借記卡申請、1次為登錄密碼重置、5次為大額轉賬，除了第一次不涉及活檢，后6次操作“活檢結果”均為成功。雖說掉入詐騙分子的圈套是造成李紅被騙的主要原因，但IP地址顯示為我國臺灣地區的詐騙分子，居然6次順利通過交通銀行的人臉識別比對。堂堂一家大型銀行，人臉識別系統如此被輕易攻破，匪夷所思。據報道，除李紅之外，還有多位交通銀行用戶也有類似遭遇，被騙金額超過200萬元。

“你的臉很重要！”近年來隨著信息科技快速發展，技術創新與金融行業深度融合發展。多家商業銀行和非銀行支付機構應用人臉識別技術，紛紛推出相關產品和服務。如借助人臉識別技術完成日常支付，在人們生活中開始出現并獲得不少人青睞。與此同時，人臉識別技術更被廣泛應用于物業管理、公共交通等各類場景，“刷臉”已經飛入尋常百姓家。

所謂的人臉識別技術，是基于人的面部特征信息進行身份識別的一種生物識別技術，是指通過拍照或攝像得到的圖像信息和后臺數據庫中預先收集的儲存的面部信息進行比對，從而完成身份識別。那么，人臉識別技術是否可以應用于金融領域？其安全性如何？

人臉識別技術應用根據場景的不同可分為線下和線上兩種。在線下，人臉識別過程的環境受控，欺詐風險小，且人臉識別技術應用通過專用網絡、專用終端、近紅外活體檢測等技術，能夠防范木馬病毒和假體攻擊，一般情況下可以保護用戶信息及資金安全，風險基本可控。在線上，人臉識別過程的環境不確定，欺詐風險較高，且人臉識別技術應用處于開放網絡環境，通過移動終端進行信息采集、驗證，難以有效抵御木馬、病毒、假體等外部攻擊，隱私泄露和交易風險較高。

因此，現階段，人臉識別線下應用相關技術相對成熟，其應用推廣具備一定條件，但不應將人臉識別作為唯一識別因素。人臉識別線上應用仍存在不確定的風險，其應用受到一定的限制，推廣條件不成熟。  

技術一把雙刃劍，就金融領域而言，人臉識別技術在提升金融服務便捷性的同時，存在一些應用風險，在某些時候這種風險還非常大。

一是信息泄露風險。人臉特征具有唯一性，與人類生命相伴而生，不法分子可通過遠程、非接觸方式，在商場、旅館、飯店、街道等公共場所非法批量獲取用戶人臉信息，導致基于人臉特征的身份認證系統可被輕易繞過，危害程度較大?！氨I臉”一旦發生后患無窮——賬戶密碼被盜尚且可以修改，人臉信息被盜了難道只能去整容？

二是假體攻擊風險。人臉識別技術難以判斷識別對象是否為真實活體，不法分子通過照片、視頻、高仿面具等手段，仿冒用戶人臉進行2D或3D攻擊。雖然現在活體檢測技術水平已經大大改進，但道高一尺魔高一丈，隨著人工智能、大數據等技術不斷發展演進，新型攻擊手段不斷出現，對用戶資金安全造成潛在威脅，不容忽視。

三是算法漏洞風險。目前，活體檢測、人臉識別算法仍在快速迭代，識別通過率、誤識率等關鍵指標相互關聯、難以同時兼顧，且隨光照、遮擋等外界環境因素干擾較大，可能存在隱藏的未知漏洞，一旦被不法分子發現并加以利用，易導致活體檢測或人臉識別失效，造成系統性風險。

當下，一些金融機構和支付機構自以為掌握了一些技術，在應用人臉識別技術的時候，更多考慮用戶體驗，而未充分評估和防范其中的風險。這種不審慎的行為，給金融業務埋下了風險隱患。眾所周知，人臉普遍暴露在商場、旅館、飯店、街道等各種公共場所，過度的便捷也給不法分子帶來可乘之機，通過遠程、非接觸方式，在用戶本人毫無察覺的情況下“無聲無息”地獲取用戶的人臉信息，且手機號碼作為用戶社交工具也極易被獲取，“隔空盜刷”現象極易出現。據報道，現在有的技術可以在3公里之外識別人臉。

無論是央行公布的《金融科技發展規劃（2022-2025年）》還是銀保監會公布的《關于銀行業保險業數字化轉型的指導意見》，都對堅守安全底線、防范技術風險提出明確要求。由于互聯網的虛擬化、金融服務的數字化、參與主體的多樣化，金融科技風險呈現蔓延速度快、隱蔽性強、潛伏期長、外溢效應明顯等特點，金融機構在敏感信息保護、客戶資金安全等方面面臨較大壓力。因此，總體而言，無論是商業銀行還是其他機構，在應用人臉識別技術時，應把安全性放在第一位，以最嚴格的標準審慎對待，在確保安全的前提下合理應用。從技術的層面看，應采取多方面措施保障人臉識別技術安全應用。

一是數據脫敏。在獲取用戶充分授權前提下采集用戶人臉特征信息，利用標記化等技術對采集的用戶人臉特征原始信息進行脫敏處理，并通過不可逆加密技術將轉換后的信息進行加密，保障用戶人臉特征數據傳輸、存儲的安全性，實現用戶人臉特征敏感信息的可靠保護。

二是隱私計算。借助可信執行環境（TEE）、安全多方計算（MPC）等技術手段，在不歸集、不共享原始數據的前提下，完成對人臉特征信息的安全處理，僅向外提供脫敏后的計算結果，確保人臉特征數據在使用、處理和流轉過程中不發生泄露，有效解決數據隱私保護和高效處理流通之間的矛盾。

三是分散存儲。將用戶人臉信息與姓名、電話等關聯性較高的敏感信息進行安全隔離、分散存儲，達到差分隱私的目的，保證攻擊者無法通過部分數據推斷出其他隱私信息，降低敏感數據集中存儲帶來的隱私泄露風險。

金融管理部門應加快出臺并不斷完善包括人臉識別在內的生物識別技術在金融領域的應用規范、技術標準等，推動各類參與主體提高認識，共筑金融安全防線。金融機構應正確把握安全與發展、風險與創新的關系，認真落實相關要求，確保新技術、新產品安全合規，并在充分告知風險的情況下為消費者提供多種選擇。如果由于新技術不當應用給金融消費者帶來損失，金融機構應主動承擔相應的責任。金融消費者要全面看待技術創新和應用，增強識別和防范詐騙的意識和能力，并妥善保護好個人敏感信息，降低信息泄露風險，守護好“錢袋子”安全。

（董希淼系中關村互聯網金融研究院首席研究員、中國電子銀行網專欄專家）

責任編輯：王超

免責聲明：

中國電子銀行網發布的專欄、投稿以及征文相關文章，其文字、圖片、視頻均來源于作者投稿或轉載自相關作品方；如涉及未經許可使用作品的問題，請您優先聯系我們（聯系郵箱：cebnet@cfca.com.cn，電話：400-880-9888），我們會第一時間核實，謝謝配合。

為你推薦

• 四大行首家 農行、云從推出人臉識別“刷臉取款” 中國網    2017-07-10 11:57:14 農行 2017-07-10 11:57:14 農行
• 農行PK招行 從“刷臉取款”看新舊人臉識別不同 中國商業電訊    2017-07-12 10:44:29 農行 2017-07-12 10:44:29 農行
• iPhone X刷臉有多高級？銀行這些業務已運用人臉識別 界面    2017-09-14 09:30:35 刷臉 2017-09-14 09:30:35 刷臉
• Face ID攪動人臉識別？國內落地的4個金融領域刷臉應用 移動支付網    2017-09-14 09:16:57 Face 2017-09-14 09:16:57 Face
• 3D面具騙過人臉識別系統？刷臉支付到底安全嗎 東方今報     2019-12-25 09:54:43 識別 2019-12-25 09:54:43 識別

猜你喜歡

• 董希淼：數據共享賦能普惠金融高質量發展 中國電子銀行網    2024-01-23 10:17:48 普惠金融 2024-01-23 10:17:48 普惠金融
• 董希淼：2024年信貸增速或將保持平穩 中國電子銀行網    2024-01-16 10:36:40 信貸 2024-01-16 10:36:40 信貸
• 董希淼：2024年銀行理財市場或將企穩回升 中國電子銀行網    2024-01-15 17:12:36 銀行理財 2024-01-15 17:12:36 銀行理財
• 董希淼：普惠金融發展與地方金融監管改革趨勢 中國電子銀行網    2024-01-11 09:13:29 普惠金融 2024-01-11 09:13:29 普惠金融
• 董希淼：商業銀行如何才能走出“周期率” 中國電子銀行網    2023-12-29 14:21:06 商業銀行 2023-12-29 14:21:06 商業銀行