杉德畅刷:杉德畅刷是杉德支付推出的一款电签版/传统POS机,有人行颁发的支付牌照,正规一清机!支持小微商户花呗、美团、京东和云闪付等多种方式收款需求!

杉德畅刷整编:赵鹞:刷脸杉德畅刷官网四大风险与三大监管建议

行业动态 杉德畅刷 0评论

继条码杉德畅刷官网成为中国人主要的小额非现金杉德畅刷官网方式之后,刷脸杉德畅刷官网(face-recognition)已经走入我们的生活。人们既可以使用各种移动杉德畅刷官网APP,将脸对准普通的智能手机的摄像头完成杉德畅刷官网交易的身份识别与授权,也可以在自动售货机的专用人脸识别终端机具上,完成刷脸杉德畅刷官网的全过程。的确,刷脸杉德畅刷官网的便利性比条码杉德畅刷官网更加进一步,使得用户不必携带任何杉德畅刷官网介质与工具(银行卡),甚至连手机都可以略去,就能进行小额的消费杉德畅刷官网,是技术进步推动无卡杉德畅刷官网、无物理介质杉德畅刷官网的最新成果。但是,再先进的杉德畅刷官网技术与手段,也逃脱不了杉德畅刷官网的“跷跷板”规律的约束—安全与便利的权衡。如同当初条码杉德畅刷官网方兴未艾的时候,现在刷脸杉德畅刷官网在各方商业力量的推动下日益成为人们关心与乐于尝试的新兴事物,那么如何认识刷脸杉德畅刷官网,如何发挥刷脸杉德畅刷官网的优势,避免其弊端?为解决此问题,在中国人民银行的领导下,中国杉德畅刷官网清算协会(以下简称协会)组织相关会员单位制定并发布了《人脸识别线下杉德畅刷官网行业自律公约(试行)》(以下简称《公约》)。

刷脸杉德畅刷官网的运作原理

顾名思义,刷脸杉德畅刷官网是运用人脸识别技术(face-recognitiontechnology)作为杉德畅刷官网活动的交易阶段(transactionphase)的身份识别(ID)与杉德畅刷官网授权(authorization)的方法,去验证(verify)杉德畅刷官网工具与杉德畅刷官网指令的真实性、唯一性与不可撤销性。相较于条码杉德畅刷官网,刷脸杉德畅刷官网的最大特征是:一是彻底将杉德畅刷官网工具数字化,被认为是无卡杉德畅刷官网的终极阶段,使得用户完全不必携带任何物理设备就能完成杉德畅刷官网交易的发起(initiation)、授权(authorization)(与验证(verification))。二是将原有的杉德畅刷官网交易流程压缩,特别是将杉德畅刷官网的发起、授权(与验证)这一传统杉德畅刷官网方式所要求的贯序流程压缩为一次动作,比如客户主动将面部呈现在摄像头前面即被视为客户主动出示杉德畅刷官网工具并向杉德畅刷官网服务商进行杉德畅刷官网授权的意思表示。当然,如果将客户的面部特征还作为杉德畅刷官网密码的话,杉德畅刷官网的发起、授权与验证则被“三合一”,这必然是一种具有争议的杉德畅刷官网“创新”。由此可见,刷脸杉德畅刷官网和条码杉德畅刷官网创新一样,只是提高了杉德畅刷官网的交易阶段的效率,并没有改变交易阶段之后的杉德畅刷官网流程与运作原理,因此刷脸杉德畅刷官网并没有改变杉德畅刷官网业务的本质特征。

但是,相较于技术准入门槛很低的条码杉德畅刷官网,刷脸杉德畅刷官网的技术含量确实非常高。刷脸杉德畅刷官网的关键技术是人脸识别技术,而该技术是靠一系列算法(algorithms)去分析被数字摄影设备所获取的人脸特征,将特征数字化、唯一化,与人脸形成一一对应关系。一般来说,这些属于高度私密的个人隐私数据被存放于高度安全的身份数据库(identitydatabase)。进一步,人脸识别技术的一个关键技术是“活体检测”(livenesstest),即通过硬件与软件技术检验被分析的人脸是否属于活体人脸。最简单的是要求用户轻微左右或上下摇动头部,抑或使用专业技术,如3D结构光/TOF(timeofflight)、近红外活体检测技术等。很明显,之所以活体检测如此关键,是为了防范有人使用一张照片,或者3D打印的人脸面具去欺骗人脸识别系统。由此可知,人脸识别技术的可靠性,特别是活体检测技术的可靠性对于刷脸杉德畅刷官网的安全性有着决定性的作用。试想,当犯罪分子拿着被害人的人脸面具就能轻易转走被害人账户里的钱财,没人会冒险使用刷脸杉德畅刷官网!

刷脸杉德畅刷官网的现状与风险表征

尽管人脸识别技术是西方首创,刷脸杉德畅刷官网也是一家芬兰Uquil公司在2013年首创,但主要是智能手机厂商使用人脸识别技术,比如苹果手机等,极少将人脸识别大规模用于公共生活方面,更不用谈金融杉德畅刷官网领域。在中国,人脸识别的运用日益普遍,从公共安全,到学校门禁系统,再到车船交通,人脸识别几乎无处无在,这样大规模的采纳与技术设施普及,为刷脸杉德畅刷官网的商业落地创造了独一无二的条件与基础。

在我国,刷脸杉德畅刷官网的商业应用场景主要分为线上与线下。所谓线上场景,主要是指将人脸识别活动应用于开放网络环境,通过普通的移动终端(如智能手机)进行人脸信息采集与验证。比如通过手机完成基于人脸识别的杉德畅刷官网转账、特定金融业务开通等。而《公约》试行的线下场景是指在专用终(具有安全芯片、加密模块)以及专门的活体检测设备上完成人脸识别,并在充分考虑了具体场景与业务流程的风险点,加以制度防范后的消费杉德畅刷官网业务、金融业务等。常见的是在封闭环境下使用人脸识别ATM机具进行现金存取业务,或者在加载了专业人脸识别终端设备的自动售货机上的小额商品消费杉德畅刷官网。

根据刷脸杉德畅刷官网的场景划分,其风险表征既有共同性,也有特殊性。共同性是,刷脸杉德畅刷官网在提升杉德畅刷官网服务便捷性的同时,也存在一些共性风险。一是信息泄露风险。人脸特征具有唯一性与不可再生性(unrecyclable),与人类生命相伴而生,不法分子可通过远程、非接触方式,在商场、旅馆、饭店、街道等公共场所非法批量获取用户人脸信息,导致基于人脸特征的身份认证系统可被轻易绕过,危害程度较大。另一方面,人脸特征数据失窃或被盗用,因其不可再生性,将产生“我证明是我”的伦理难题。二是假体攻击风险。人脸识别技术难以判断识别对象是否为真实活体,不法分子通过照片、视频、高仿面具等手段,仿冒用户人脸进行2D或3D攻击,且随着人工智能、大数据等技术不断发展演进,新型攻击手段不断出现,对用户资金安全造成严重威胁。三是算法漏洞风险。目前,活体检测、人脸识别算法仍在快速迭代,识别通过率、误识率等关键指标相互关联、难以同时兼顾,且随光照、遮挡等外界环境因素干扰较大,可能存在隐藏的未知漏洞,一旦被不法分子发现并加以利用,易导致活体检测或人脸识别失效,造成系统风险。四是非授权杉德畅刷官网风险。如前述,刷脸杉德畅刷官网将三个贯序流程压缩为一个人脸扫描的动作,那么对于非授权杉德畅刷官网应该如何重新界定?比如隔空盗刷问题,即通过远程、非接触方式,在用户本人毫无察觉的情况下“无声无息”地获取用户的人脸信息,且手机号码作为用户社交工具也极易被获取,“隔空盗刷”现象就极易出现。问题在于,即使采用基于保护消费者权益的救济原则,要求杉德畅刷官网服务提供商举证“盗刷”业务属于用户主动授权行为,也会在用户侧产生严重的道德风险。进一步,与条码杉德畅刷官网通过区分主动扫码与被动扫码两种方式解决非授权杉德畅刷官网风险不同,人脸扫描是无法区分主动扫脸,或被动扫脸的,因此,刷脸杉德畅刷官网或者说未来的无感杉德畅刷官网(frictionlesspayment)可能不再有清晰的杉德畅刷官网交易阶段的逐一与贯序流程,特别是在分工日益细化的第三方、第四方杉德畅刷官网行业,这将带来较为严重的法律合规风险。正因为此,《公约》第二章第八条强调刷脸杉德畅刷官网时,会员单位应采用杉德畅刷官网口令或其他可靠的技术手段确保杉德畅刷官网行为是经本人主动确权。

《公约》之所以试行线下杉德畅刷官网场景,是因为相较于线下场景,线上场景的风险特殊性在于开放的网络环境与没有得到硬件加固的普通终端,这会加剧信息泄露风险、假体攻击风险与非授权杉德畅刷官网风险(更加难以举证用户授权的主动性与真实性),或者形成多种风险的叠加效应,因而,在现阶段,线上场景不应该被鼓励发展,至少要采用可信执行环境(TEE)、安全单元(SE)等技术加强风险防控,才能审慎开展线上场景的刷脸杉德畅刷官网业务。对于线下场景,尤为突出的风险点是免密。由于线下场景多发生在商场、旅馆、饭店、街道等各种公共场所,过度的便捷不仅给不法分子带来可乘之机,同时免密会造成将用户人脸作为杉德畅刷官网授权验证的唯一方式,一旦人脸特征数据丢失、被盗用,会使得用户在缺乏第三方权威认证的情况下无法通过密码重置的方式找回自己的账户与账户里的财产,这无疑会形成严重的系统性风险。

相关监管建议

本次《公约》发布与试行,充分体现出监管部门对金融科技创新的包容,协会的审时度势,既要鼓励杉德畅刷官网行业创新发展,还要维护公共利益,为未来正式的刷脸杉德畅刷官网监管办法出台积累经验。就现阶段的我国刷脸杉德畅刷官网发展现状与风险特征,笔者做出监管建议,作为抛砖引玉:

一是继续冻结开展线上场景的刷脸杉德畅刷官网业务。如前述,线上场景的刷脸杉德畅刷官网业务存在诸多现阶段无法克服的技术与制度障碍,在规范发展线下场景的刷脸杉德畅刷官网业务的同时,可继续冻结开展线上场景的刷脸杉德畅刷官网业务。

二是尽快发布线下场景的刷脸杉德畅刷官网技术安全原则。可由相关金融技术监管部门发布线下场景的刷脸杉德畅刷官网的技术安全原则,明确安全红线:一是数据脱敏。在获取用户充分授权前提下采集用户人脸特征信息,利用标记化等技术对采集的用户人脸特征原始信息进行脱敏处理,并通过不可逆加密技术将转换后的信息进行加密,保障用户人脸特征数据传输、存储的安全性,实现用户人脸特征敏感信息的可靠保护。二是隐私计算。借助可信执行环境(TEE)、安全多方计算(MPC)等技术手段,在不归集、不共享原始数据的前提下,完成对人脸特征信息的安全处理,仅向外提供脱敏后的计算结果,确保人脸特征数据在使用、处理和流转过程中不发生泄露,有效解决数据隐私保护和高效处理流通之间的矛盾。三是分散存储。将用户人脸信息与姓名、电话等关联性较高的敏感信息进行安全隔离、分散存储,达到差分隐私的目的,保证攻击者无法通过部分数据推断出其他隐私信息,降低敏感数据集中存储带来的隐私泄露风险。

三是尽快建立国家级人脸特征(生物特征)数据库。无论是线下场景还是线上场景,相关杉德畅刷官网服务提供商和技术服务提供商都难以保证人脸特征(生物特征)数据的绝对安全性。事实上,现阶段鱼龙混杂的人脸识别技术公司已经成为重大的信息安全隐患,一旦发生大规模人脸特征数据泄露,其后果不堪设想。因而,亟需在个人隐私数据保护法律制度中授权有关公共部门统一技术与安全标准,建立安全存储中国人脸特征与其他生物特征识别数据库,进而在源头上规范人脸特征(生物特征)的采集、分析、加工与使用,为金融机构和杉德畅刷官网机构在未来规范发展基于人脸特征(生物特征)的金融与杉德畅刷官网业务提供公共基础设施。

(本文作者系中国社科院杉德畅刷官网清算研究中心特约研究员)

杉德畅刷是杉德支付网络服务发展有限公司总部直属推出的手机POS机品牌,目前市场上的杉德畅刷Mpos的2.0模式系统-杉德畅刷管家已经逐步占领市场!杉德畅刷官网提供杉德畅刷的全国加盟代理服务,详情请联系官网客服!

转载请注明:杉德畅刷官网 » 杉德畅刷整编:赵鹞:刷脸杉德畅刷官网四大风险与三大监管建议

您必须 登录 才能发表评论!