董希淼:三招確?!八⒛槨卑踩煌ㄣy行安全征信權(quán)益詐騙
北京市民李紅(化名)被騙子利用“人臉識別”等手段騙走近43萬元人民幣的報道引起社會關(guān)注。原因之一是交通銀行的人臉識別技術(shù)存在漏洞。
當前,金融科技蓬勃發(fā)展,大量新技術(shù)被廣泛應用于金融產(chǎn)品和服務創(chuàng)新。金融機構(gòu)應正確把握安全與發(fā)展、風險與創(chuàng)新的關(guān)系,把安全性放在第一位,不斷提升風險防范能力,加強消費者權(quán)益保護,確保金融科技行穩(wěn)致遠。
“你的臉很重要!”近年來隨著信息科技快速發(fā)展,技術(shù)創(chuàng)新與金融行業(yè)深度融合發(fā)展。多家商業(yè)銀行和非銀行支付機構(gòu)應用人臉識別技術(shù),紛紛推出相關(guān)產(chǎn)品和服務。如借助人臉識別技術(shù)完成日常支付,在人們生活中開始出現(xiàn)并獲得不少人青睞。與此同時,人臉識別技術(shù)更被廣泛應用于物業(yè)管理、公共交通等各類場景,“刷臉”已經(jīng)飛入尋常百姓家。
所謂的人臉識別技術(shù),是基于人的面部特征信息進行身份識別的一種生物識別技術(shù),是指通過拍照或攝像得到的圖像信息和后臺數(shù)據(jù)庫中預先收集儲存的面部信息進行比對,從而完成身份識別。那么,人臉識別技術(shù)是否可以應用于金融領(lǐng)域?其安全性如何?
人臉識別技術(shù)應用根據(jù)場景的不同可分為線下和線上兩種。在線下,人臉識別過程的環(huán)境受控,欺詐風險小,且人臉識別技術(shù)應用通過專用網(wǎng)絡、專用終端、近紅外活體檢測等技術(shù),能夠防范木馬病毒和假體攻擊,一般可以保護用戶信息及資金安全,風險基本可控;在線上,人臉識別過程的環(huán)境不確定,欺詐風險較高,且人臉識別技術(shù)應用處于開放網(wǎng)絡環(huán)境,通過移動終端進行信息采集、驗證,難以有效抵御木馬、病毒、假體等外部攻擊,隱私泄露和交易風險較高。
因此,現(xiàn)階段,人臉識別線下應用相關(guān)技術(shù)相對成熟,其應用推廣具備一定條件,但不應將人臉識別作為唯一識別因素。人臉識別線上應用仍存在不確定的風險,其應用受到一定的限制,推廣條件不成熟。
技術(shù)是一把雙刃劍。就金融領(lǐng)域而言,人臉識別技術(shù)在提升金融服務便捷性的同時,存在一些應用風險,在某些時候這種風險還非常大。
一是信息泄露風險。人臉特征具有唯一性,與人類生命相伴而生,不法分子可通過遠程、非接觸方式,在商場、旅館、飯店、街道等公共場所非法批量獲取用戶人臉信息,導致基于人臉特征的身份認證系統(tǒng)可被輕易繞過,危害程度較大。
二是假體攻擊風險。人臉識別技術(shù)難以判斷識別對象是否為真實活體,不法分子通過照片、視頻、高仿面具等手段,仿冒用戶人臉進行2D或3D攻擊。雖然現(xiàn)在活體檢測技術(shù)水平已經(jīng)大大改進,但道高一尺魔高一丈,隨著人工智能、大數(shù)據(jù)等技術(shù)不斷發(fā)展演進,新型攻擊手段不斷出現(xiàn),對用戶資金安全造成潛在威脅,不容忽視。
三是算法漏洞風險。目前,活體檢測、人臉識別算法仍在快速迭代,識別通過率、誤識率等關(guān)鍵指標相互關(guān)聯(lián)、難以同時兼顧,且隨光照、遮擋等外界環(huán)境因素干擾較大,可能存在隱藏的未知漏洞,一旦被不法分子發(fā)現(xiàn)并加以利用,易導致活體檢測或人臉識別失效,造成系統(tǒng)性風險。
當下,一些金融機構(gòu)和支付機構(gòu)自以為掌握了一些技術(shù),在應用人臉識別技術(shù)的時候,更多考慮用戶體驗,而未充分評估和防范其中的風險。這種不審慎的行為,給金融業(yè)務埋下了風險隱患。眾所周知,人臉普遍暴露在商場、旅館、飯店、街道等各種公共場所,過度的便捷已給不法分子帶來可乘之機。
無論是人民銀行發(fā)布的《金融科技發(fā)展規(guī)劃(2022-2025年)》,還是銀保監(jiān)會發(fā)布的《關(guān)于銀行業(yè)保險業(yè)數(shù)字化轉(zhuǎn)型的指導意見》,都對堅守安全底線、防范技術(shù)風險提出明確要求。由于互聯(lián)網(wǎng)的虛擬化、金融服務的數(shù)字化、參與主體的多樣化,金融科技風險呈現(xiàn)蔓延速度快、隱蔽性強、潛伏期長、外溢效應明顯等特點,金融機構(gòu)在敏感信息保護、客戶資金安全等方面面臨較大壓力。因此,總體而言,無論是商業(yè)銀行還是其他機構(gòu),在應用人臉識別技術(shù)時,應把安全性放在第一位,以最嚴格的標準審慎對待,在確保安全的前提下合理應用。從技術(shù)的層面看,應采取多方面措施保障人臉識別技術(shù)安全應用。
一是數(shù)據(jù)脫敏。在獲取用戶充分授權(quán)前提下采集用戶人臉特征信息,利用標記化等技術(shù)對采集的用戶人臉特征原始信息進行脫敏處理,并通過不可逆加密技術(shù)將轉(zhuǎn)換后的信息進行加密,保障用戶人臉特征數(shù)據(jù)傳輸、存儲的安全性,實現(xiàn)用戶人臉特征敏感信息的可靠保護。
二是隱私計算。借助可信執(zhí)行環(huán)境(TEE)、安全多方計算(MPC)等技術(shù)手段,在不歸集、不共享原始數(shù)據(jù)的前提下,完成對人臉特征信息的安全處理,僅向外提供脫敏后的計算結(jié)果,確保人臉特征數(shù)據(jù)在使用、處理和流轉(zhuǎn)過程中不發(fā)生泄露,有效解決數(shù)據(jù)隱私保護和高效處理流通之間的矛盾。
三是分散存儲。將用戶人臉信息與姓名、電話等關(guān)聯(lián)性較高的敏感信息進行安全隔離、分散存儲,達到差分隱私的目的,保證攻擊者無法通過部分數(shù)據(jù)推斷出其他隱私信息,降低敏感數(shù)據(jù)集中存儲帶來的隱私泄露風險。
金融管理部門應加快出臺并不斷完善包括人臉識別在內(nèi)的生物識別技術(shù)在金融領(lǐng)域的應用規(guī)范、技術(shù)標準等,推動各類參與主體提高認識,共筑金融安全防線。金融機構(gòu)應正確把握安全與發(fā)展、風險與創(chuàng)新的關(guān)系,認真落實相關(guān)要求,確保新技術(shù)、新產(chǎn)品安全合規(guī),并在充分告知風險的情況下為消費者提供多種選擇。如果由于新技術(shù)不當應用給金融消費者帶來損失,金融機構(gòu)應主動承擔相應的責任。金融消費者要全面看待技術(shù)創(chuàng)新和應用,增強識別和防范詐騙的意識和能力,并妥善保護好個人敏感信息,降低信息泄露風險,守護好“錢袋子”安全。
?。ㄗ髡叨m?系中關(guān)村互聯(lián)網(wǎng)金融研究院首席研究員)
詞條內(nèi)容僅供參考,如果您需要解決具體問題
(尤其在法律、醫(yī)學等領(lǐng)域),建議您咨詢相關(guān)領(lǐng)域?qū)I(yè)人士。