文/《新産經》郭師緒
互聯網支付創新業務、新模式湧現,作爲目前人臉識別技術最廣泛的一種應用方式,“刷臉支付”逐漸在全國多處落地商用。在超市、餐廳、便利店,刷個臉就能把錢付了,“刷臉支付”被認爲,能准確識別獨立的用戶個體、提升用戶的支付體驗,也被視爲一場支付方式的革命。
就如其他網絡産品,刷臉支付從問世起,其安全性就受到質疑。業內指出,目前刷臉支付等新支付模式已大規模出現,刷臉技術的安全隱患,已成爲行業的新挑戰。
人臉數據隱患多
生物識別技術廣泛應用于個人消費、醫療、政務等諸多方面都大有可爲。目前,生物識別的商業化落地剛剛開始,一旦業態成熟,勢必大幅提高消費體驗與公共服務品質。長遠來看,隨著AI、圖像處理等技術的進一步成熟,與生物識別技術的商業化落地,刷臉支付很可能會如支付碼一樣“飛入尋常百姓家”,最終沉澱成一種現代消費習慣。
然而,業內認爲,作爲人的生物特征,人臉數據具有唯一性,當人臉數據進入計算機後,就可能會被截獲、被重構、被重放,存在比較大的安全風險。
專家也指出,目前刷臉支付存在兩大問題,一是失誤率比較高,這樣會降低用戶的使用體驗,比如蘋果公司是較早使用刷臉業務的,蘋果的刷臉還存在一定比例的失誤率;二是只要數據被采集、上網,就可能存在被破譯和盜取的風險。對于黑客來說,是否盜取數據取決于數據的“價值”,比如該客戶的存款量是否足夠高等。
專家對刷臉支付質疑的重點之一是人臉數據的唯一性。人們可能認爲,人臉在網絡上使用,可能只是一張照片或圖片,但實際上卻並非如此。每個人都只有一張臉、兩個虹膜、十個指紋,人臉、指紋、虹膜或筆迹、聲音、步態等都屬于生物識別的鑒別項目,對每個人來說,具有唯一性。
此外,任何一個數據進入到計算機裏面以後,都會變成計算機代碼,生物特征數據也不例外。一旦這些數據被還原,並被黑客等犯罪分子拿到後,人們唯一的身份數據就丟失了,而且永遠沒辦法更換、再生,因此風險很大。
專家表示,人臉等數據被盜取是無法完全杜絕的,“個人信息即價值”,在國內隱私環境不夠清爽的背景下,人臉識別技術也會出現侵犯個人隱私的風險。例如,不法分子可以通過僞造人臉的方式騙過人臉識別技術實施詐騙。另外,大量的用戶“人臉”信息被采集並儲存,這是一個規模龐大的信息庫,與采集機構相連的組織均有可能獲取用戶個人信息,一旦利用不當,就可能對個人權益造成侵害。
“大數據相關技術的發展以及雲計算和人工智能技術的廣泛應用,使得生物信息泄露方式多樣化,監管技術難度會更高。”北京師範大學刑事法律科學研究院副教授、中國互聯網協會研究中心副秘書長吳沈括對媒體指出,立法如何規定生物信息的使用範圍或標准,既能使技術得以發展,又能使信息得到保護,這個重要問題亟待解決。
行業監管缺位
在美國權威科學雜志《麻省理工科技評論》發布2017年全球十大突破性技術的榜單中,除了谷歌、微軟、IBM等全球科技巨頭,還有支付寶的“刷臉支付”,這已經意味著,生物識別技術是未來的趨勢。不論是企業,還是監管部門,及早感知風險,才能更好地確保“刷臉時代”的個人信息安全,也才能刺激中國科技的進一步創新。
生物識別技術蓬勃發展,但我國尚無相應的安全監管機制。銀行、支付寶等都是采用非技術手段來減少用戶的損失。面對“隔空盜刷”問題,銀聯已明晰賠付政策的“風險全賠付”原則,每位持卡人每年最高累計賠付3萬元;對于超出上述範圍的風險損失,通過例外協商機制,持卡人的正常用卡損失均可以足額補償。而支付寶則是采用保險兜底的方法,來解決盜刷風險的。
相關數據顯示,在世界範圍內,我國生物識別技術處于先進水平,國內從事該行業的企業超過1000家,2018年市場規模超過1000億元以上,對這一體量巨大的行業規模,監管要跟上,行業自律也不能缺席。
今年8月份,支付寶就發布《生物識別用戶隱私與安全保護倡議》,呼籲行業企業從隱私保護、防止信息濫用、責任與監督性等角度規範和保護用戶信息。倡議中指出,企業應對采集到的信息進行加密存儲來提高安全強度,也應明確和規範用戶信息使用的目的及範圍,避免信息被過度使用。另外,在具體使用中也應建立保險機制來確保用戶資金不受損失。這是我國生物識別技術領域發出的第一個倡議。專家表示,作爲國內領先的生物識別技術公司,支付寶發出這個倡議,體現了擔當精神,對整個行業的規範發展,也有引導之功。
回顧世界技術發展史,任何一項新技術的成長與發展,都必然經曆一個早期爆發——風險凸顯——逐漸規範的進程。專家指出,在這個進程中,政府要積極調控引導,而行業與企業的自律,也是業態優化的重要力量。但也正因如此,更需要相關企業、監管部門建立風險防範機制,防止生物識別技術跑偏。
此外,在互聯網時代,每個人都是“透明”的。業內人士分析,作爲消費者,要保證自己的信息安全就必須增強個人信息安全意識。比如大額交易采用銀行發的動態密碼器、U盾等産品;在公共區域中,不要輕易連接WiFi,特別是沒有密碼的WiFi;當收到的短信中有網絡鏈接的,不要輕易點擊;不要隨意掃二維碼;用手機下載APP時,要看一下其權限設置,只開放需要的權限即可等。
便捷和安全很難兩全,沒有一項技術是絕對安全的。面對新技術發展帶來的便利,消費者該如何保證自己的財産和隱私安全,技術只是輔助手段,用戶要提高安全防範意識,行業要自律,相關部門也要加強監管,才能更好地保護好個人財産和隱私信息安全。
除了規範人臉識別技術和個人生物信息的保密、防止泄露等問題外。北京師範大學法學院教授、亞太網絡法律研究中心主任研究員劉德良也指出,目前個人生物信息所面臨的問題並不是需要保護,而是信息被濫用的問題。“未來立法重點應放在包括個人生物信息在內的各種身份信息被利用時,該如何嚴管相關機構。”