董希淼:三招确保“刷脸”安全

  北京市民李红(化名)被骗子利用“人脸识别”等手段骗走近43万元人民币的报道引起社会关注。原因之一是交通银行的人脸识别技术存在漏洞。

  当前,金融科技蓬勃发展,大量新技术被广泛应用于金融产品和服务创新。金融机构应正确把握安全与发展、风险与创新的关系,把安全性放在第一位,不断提升风险防范能力,加强消费者权益保护,确保金融科技行稳致远。

  不应将人脸识别作为唯一识别因素

  “你的脸很重要!”近年来随着信息科技快速发展,技术创新与金融行业深度融合发展。多家商业银行和非银行支付机构应用人脸识别技术,纷纷推出相关产品和服务。如借助人脸识别技术完成日常支付,在人们生活中开始出现并获得不少人青睐。与此同时,人脸识别技术更被广泛应用于物业管理、公共交通等各类场景,“刷脸”已经飞入寻常百姓家。

  所谓的人脸识别技术,是基于人的面部特征信息进行身份识别的一种生物识别技术,是指通过拍照或摄像得到的图像信息和后台数据库中预先收集储存的面部信息进行比对,从而完成身份识别。那么,人脸识别技术是否可以应用于金融领域?其安全性如何?

  人脸识别技术应用根据场景的不同可分为线下和线上两种。在线下,人脸识别过程的环境受控,欺诈风险小,且人脸识别技术应用通过专用网络、专用终端、近红外活体检测等技术,能够防范木马病毒和假体攻击,一般可以保护用户信息及资金安全,风险基本可控;在线上,人脸识别过程的环境不确定,欺诈风险较高,且人脸识别技术应用处于开放网络环境,通过移动终端进行信息采集、验证,难以有效抵御木马、病毒、假体等外部攻击,隐私泄露和交易风险较高。

  因此,现阶段,人脸识别线下应用相关技术相对成熟,其应用推广具备一定条件,但不应将人脸识别作为唯一识别因素。人脸识别线上应用仍存在不确定的风险,其应用受到一定的限制,推广条件不成熟。

  人脸识别技术风险不容忽视

  技术是一把双刃剑。就金融领域而言,人脸识别技术在提升金融服务便捷性的同时,存在一些应用风险,在某些时候这种风险还非常大。

  一是信息泄露风险。人脸特征具有唯一性,与人类生命相伴而生,不法分子可通过远程、非接触方式,在商场、旅馆、饭店、街道等公共场所非法批量获取用户人脸信息,导致基于人脸特征的身份认证系统可被轻易绕过,危害程度较大。

  二是假体攻击风险。人脸识别技术难以判断识别对象是否为真实活体,不法分子通过照片、视频、高仿面具等手段,仿冒用户人脸进行2D或3D攻击。虽然现在活体检测技术水平已经大大改进,但道高一尺魔高一丈,随着人工智能、大数据等技术不断发展演进,新型攻击手段不断出现,对用户资金安全造成潜在威胁,不容忽视。

  三是算法漏洞风险。目前,活体检测、人脸识别算法仍在快速迭代,识别通过率、误识率等关键指标相互关联、难以同时兼顾,且随光照、遮挡等外界环境因素干扰较大,可能存在隐藏的未知漏洞,一旦被不法分子发现并加以利用,易导致活体检测或人脸识别失效,造成系统性风险。

  当下,一些金融机构和支付机构自以为掌握了一些技术,在应用人脸识别技术的时候,更多考虑用户体验,而未充分评估和防范其中的风险。这种不审慎的行为,给金融业务埋下了风险隐患。众所周知,人脸普遍暴露在商场、旅馆、饭店、街道等各种公共场所,过度的便捷已给不法分子带来可乘之机。

  多方确保人脸识别技术安全应用

  无论是人民银行发布的《金融科技发展规划(2022-2025年)》,还是银保监会发布的《关于银行业保险业数字化转型的指导意见》,都对坚守安全底线、防范技术风险提出明确要求。由于互联网的虚拟化、金融服务的数字化、参与主体的多样化,金融科技风险呈现蔓延速度快、隐蔽性强、潜伏期长、外溢效应明显等特点,金融机构在敏感信息保护、客户资金安全等方面面临较大压力。因此,总体而言,无论是商业银行还是其他机构,在应用人脸识别技术时,应把安全性放在第一位,以最严格的标准审慎对待,在确保安全的前提下合理应用。从技术的层面看,应采取多方面措施保障人脸识别技术安全应用。

  一是数据脱敏。在获取用户充分授权前提下采集用户人脸特征信息,利用标记化等技术对采集的用户人脸特征原始信息进行脱敏处理,并通过不可逆加密技术将转换后的信息进行加密,保障用户人脸特征数据传输、存储的安全性,实现用户人脸特征敏感信息的可靠保护。

  二是隐私计算。借助可信执行环境(TEE)、安全多方计算(MPC)等技术手段,在不归集、不共享原始数据的前提下,完成对人脸特征信息的安全处理,仅向外提供脱敏后的计算结果,确保人脸特征数据在使用、处理和流转过程中不发生泄露,有效解决数据隐私保护和高效处理流通之间的矛盾。

  三是分散存储。将用户人脸信息与姓名、电话等关联性较高的敏感信息进行安全隔离、分散存储,达到差分隐私的目的,保证攻击者无法通过部分数据推断出其他隐私信息,降低敏感数据集中存储带来的隐私泄露风险。

  金融管理部门应加快出台并不断完善包括人脸识别在内的生物识别技术在金融领域的应用规范、技术标准等,推动各类参与主体提高认识,共筑金融安全防线。金融机构应正确把握安全与发展、风险与创新的关系,认真落实相关要求,确保新技术、新产品安全合规,并在充分告知风险的情况下为消费者提供多种选择。如果由于新技术不当应用给金融消费者带来损失,金融机构应主动承担相应的责任。金融消费者要全面看待技术创新和应用,增强识别和防范诈骗的意识和能力,并妥善保护好个人敏感信息,降低信息泄露风险,守护好“钱袋子”安全。

  (作者董希淼 系中关村互联网金融研究院首席研究员)

关键词阅读:董希淼 刷脸安全

责任编辑:申雪娇 RF13056
精彩推荐
加载更多
全部评论
金融界App
金融界微博
金融界公众号