央行：人脸支付应表达用户意愿 体现资金支配权

本篇文章1563字，读完约4分钟

近日，中国人民银行科技司司长李伟发布文件称，生物识别技术正在各行各业迅速普及和应用，必须冷静对待生物识别技术。他还表示，中国人民银行作为监管机构之一，对金融领域新技术的应用高度敏感，正在加快制定人脸识别、活体检测、个人信息保护等相关管理标准和制度。

在这篇论文中，他阐述了一系列关于生物识别技术应用的观点，特别是人脸识别技术在支付领域的应用，其中有两点值得注意:

1.由于安全性差异很大，刷面支付的在线和离线应用场景应该仔细区分。

2.人脸识别支付需要体现用户资金的独立控制权，“人脸识别+支付密码”是目前一种安全便捷的实现方式。

一、网上和网下刷面支付的差别监管

在李伟看来，离线刷脸支付技术已经成熟，具备试点应用的基本条件。目前，银行、卡机构和支付机构都在进行线下刷面支付的规划和试点。因此，规范和引导人脸识别技术在网上支付场景中的应用，将有助于满足安全便捷支付服务的需求，提高现有受理环境下的资源利用效率，激发我国金融体系的积极创新活力。

但是，在网上，他认为人脸识别仍然存在很多风险，目前还没有申请条件。为促进应用，应采用可信执行环境(tee)和安全单元(se)等技术来加强风险预防和控制。根据移动支付网络，银行和卡组织正在尝试和实施的离线刷脸支付设备需要经过严格的金融认证并具有相应的安全能力，以确保数据存储和交易安全。基于智能手机的网上支付在安全性和可控性方面明显不足。

事实上，另一方面，在线刷脸支付的应用主要受到以下事实的限制:并非所有智能手机的摄像头都具有主动检测活体的能力，因此它们缺乏防止假面攻击的能力。目前，很多智能手机上的人脸识别和认证操作都需要通过“张嘴、眨眼、摇头”等动作来完成。如果应用程序在支付方面明显不够方便和智能。然而，根据移动支付网络，支付机构在手机上开通了刷脸支付功能，并相应地采取了“首次输入支付密码、重新登录、更换手机时输入密码”等风险控制措施来解决安全问题，这不能从源头上解决问题。

第二，人脸识别+支付密码会成为一种趋势吗？

中国人民银行《支付结算办法》第十九条规定，银行应当依法维护对用户资金的独立控制。在支付交易中，银行卡交易要求用户提供实体卡并输入密码，条码支付要求用户打开手机应用并向商家显示条码，手机支付要求用户主动调用支付功能(如双击电源按钮)并验证身份。这些方法都不同程度地反映了用户的独立意愿。

关于刷脸支付，李伟认为，单个机构仅仅依靠人脸特征来判断用户身份，存在一定的安全风险和系统性技术风险。他表示，经过前期的深入调查研究，结合行业实践和探索，目前，“人脸识别+支付密码”是一种安全便捷的方式。此外，在推广面支付的过程中，可以加强交易验证管理。建议综合利用支付密码、实时检测和数据标签实现多因素交易验证，以提高交易的安全性，增强支付交易的抗抵赖能力。

目前，以支付机构的离线刷脸支付为例，它通过“人脸识别+手机号码”的方式实现支付，一些常见的场景也可以不输入手机号码就实现操作。但是，事实上，人脸识别和手机号码只是用来确认账户的，与传统的支付流程存在一些差异，不能反映用户的意愿，交易验证力度较弱，存在一定的安全隐患。

根据商业银行“人脸识别+支付密码”的操作，利用人脸特征作为关联支付账户的媒介，通过支付密码和非敏感活体检测实现交易验证。整个过程与“银行卡+密码输入”操作完全一样，安全性更高，符合持卡人的使用习惯。

最后，李伟强调，技术创新和市场热情对生物特征安全提出了挑战，需要尽快完善相关法律法规，形成多维度、立体化的监管体系。一方面，要明确个人生物特征信息采集、传输、存储和利用的安全管理要求，为生物特征技术的金融应用提供制度保障；另一方面，要引导金融机构通过数据脱敏、隐私计算、分散存储等科技手段加强对生物特征信息的保护，增强风险防范能力。