刷脸支付引发的安全问题及防控对策

2022.10.10

关键词刷脸支付安全问题防控对策

作者简介：吕浩，中国人民公安大学2018级硕士研究生，研究方向：治安管理。

中图分类号：D920.4 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文献标识码：A ? ? ? ? ? ?? ? ? ? ? ?DOI：10.19387/j.cnki.1009-0592.2020.05.109

李克强总理在第十二届全国人大第五次会议所作的政府工作报告中首次提到“人工智能”，指出要加快培育壮大包括人工智能在内的新兴产业。这极大地推动了传统产业优化升级，创新出了许多新型商业模式，其中“刷脸支付”就是在这一背景下发展壮大的一种新兴支付方式，其特有的便捷性、智能性、卫生性的特点潜移默化的改变着人们的生产生活方式，但同时作为一种新兴事物，刷脸支付行业的高速发展不可避免的带来一些问题，其中甚至涉及到生物安全。在全国抗击新冠肺炎疫情的背景下，习近平总书记在中央全面深化改革委员会第十二次会议上的讲话强调要把生物安全上升到国家安全的高度，加快构建国家生物安全法律法规体系、制度保障体系。刷脸支付所涉及的人脸信息属于重要的生物信息，在这一背景下亟需探索出有效的防控对策以维护国家安全和社会治安稳定，促进社会经济和谐健康发展。一、刷脸支付的原理及发展现状

（一）刷脸支付的原理

刷脸支付，是一款基于人脸识别的支付方式，其基本原理是将通过终端硬件采集的人脸信息与云端存储的信息进行比对，从而判断每个人的身份，之后将消费者的面部信息与支付系统之间构建关联，完成认证与支付。

（二）刷脸支付的发展

2013年7月，芬兰Uniqul公司推出了史上第一款基于脸部识别系统的支付平台，开创了刷脸支付的先河。2017年2月21日，刷脸支付被权威学术杂志《麻省理工技术评论》（MIT Technology Review）评为“2017年全球十大突破性技术”。2017年7月8日，国务院在《关于印发新一代人工智能发展规划的通知》中明确指出要抢抓人工智能发展的重大战略机遇，构建我国人工智能的先发攻势，加快创建一个科技强国。作为移动支付和人工智能的产物，刷脸支付毫无疑问受到了国家的大力支持。2018年12月支付宝推出刷脸设备“蜻蜓”，2019年3月微信推出刷脸设备“青蛙”，并相继在全国几百家商户落地，渗透到零售商超、餐饮等生活主要场景，行业呈高速增长态势。在2019年10月20日的第六届世界互联网大会论坛上，中国银联正式发布刷脸支付设备“刷脸付”，“国家队”正式入局刷脸支付领域。根据艾媒咨询发布的数据显示，预计2022年中国刷脸支付用户规模将突破7.6亿人。二、刷脸支付引发的安全问题及管理现状

（一）刷脸支付带来的问题

1.财产安全问题

刷脸支付可能引发对公民财产的侵犯是显而易见的。它主要体现在两个方面，一种是对公民现有财产的直接侵犯，另一种是潜在的对公民未来财产的威胁。

对公民现有财产的侵犯形式主要是假体攻击以及趁人不备盗刷。其中的假体攻击包括通过AI换脸技术盗刷以及通过高清3D头部模型与照片盗刷等。如果说其中的高清3D仿真面具对于普通人来说还算遥不可及，那日趋成熟的AI换脸技术就给日常生活中的不法分子提供了可乘之机。换脸应用“ZAO”的爆红，让人质疑AI换脸是否会让刷脸支付变得不安全。根据支付宝的回应“即便出现账户被冒用的极小概率事件，支付宝也会通过保险公司进行全额赔付”能够看出，虽然是小概率事件，而且支付宝公司会对损失进行赔偿，但确实存在公民账户被盗刷的情况。据了解，支付宝的人脸识别设备的准确率高达99%以上，可见，即使是最为先进的人脸设备同样也存在着一定的漏洞，而这个漏洞是否会被利用取决于黑客对于财产价值的评估。

而对于公民未来财产的威胁则在公民信息泄漏之后的不可逆性上体现出来，人脸信息与数字密码、二维码等传统密码的最大的区别就在于泄露之后的不可逆性，传统密码泄露之后可以通过更改数字组合，更新二维码等方式加以挽救，而人脸这种生物信息的唯一性就导致了信息一旦泄露，就是终身泄露，会将用户个人财产安全置于更大的不确定性中，进而引发一系列风险。

2.信息安全问题

刷脸支付首先需要在互联网环境下对用户的生物信息进行采集，形成特征数据库，服务器端存储的用户特征数据库面临着泄露的风险，用户的信息安全问题日益显露。刷脸支付所导致的对于公民信息安全的侵犯主要体现在以下两点：一是公民信息被买卖;二是公民信息被黑客窃取，进而引发一系列的风险。

买卖公民信息的问题在互联网时代层出不穷，“17万人脸数据遭公开售卖”等类似的新闻不断被媒体爆出，而当事人却对自己的个人信息被买卖一事一无所知。除了买卖公民信息以外，还有黑客对于刷脸支付所采集信息的窃取。一张人脸照片就能获利几元钱，在利益的驱使下，更多黑客将目光瞄向其中。黑客可以将信息用于任何可以获利的地方，甚至公之于众，导致公民个人信息等被公开，造成重大损失。而鉴于人脸特征这种生物信息的唯一性，一旦泄露就是不可逆的，会永久对公民造成侵害。

3.生物安全问题

在全国抗击新冠肺炎疫情的背景下，生物安全的重要性已经被提升到了前所未有的新高度。刷臉支付所采集的人脸信息属于重要的生物信息，而生物信息数据是生物安全的基础。由于目前我国的立法对于刷脸支付中人脸信息收集主体的监管没有明文规定，其管理更多的是依靠支付服务商的自律或者支付业协会等的行业自律，所以在运营过程中难免会出现人脸信息的违法采集以及采集之后的滥用、泄露以及不当存储等问题，这对我国的生物安全构成了威胁。

（二）管理现状

我国虽然已于2019年正式启动生物安全法的立法进程，但由于之前对之产生的风险并没有如西方国家那样引起足够的重视，所以对于刷脸支付这种颇具风险的支付方式，在具体的硬件标准以及信息收藏存储等方面，其法律规制、应用规范、技术标准等还处在拟定阶段，在法律和标准制定完成之前，其治理更多的是依靠支付服务商的自律或者支付业协会等的行业自律，公安机关对刷脸支付的治理主要集中在其所引起的财产安全和信息泄露等治安问题。三、国外刷脸支付管理经验借鉴

刷脸支付获取的人脸信息属于生物识别信息的一类，而生物识别信息的管理是世界范围内的新问题。目前国际上对于生物识别信息的保护主要是立法保护，最普遍的一种是将生物识别信息划归为笼统的个人信息来进行保护，比如欧盟的《通用数据保护条例》、巴西的《通用数据保护法》等，它们在统一的立法中对生物识别数据进行保护;另一种是出台专门的保护法案进行保护，但是目前还只是存在美国的州层面，比如伊利诺伊州的《生物信息隐私法》、华盛顿特区的《生物识别信息法》等。从总体上看，国外的生物识别信息安全法律法规突出风险防范，覆盖面广，责任划分明确，可执行性强，对我国相关法律法规的制定有较强的参考价值。

除了立法保护之外，国际社会还通过各类国际协调机制（如世界卫生组织、《生物多样性公约》缔约方会议等）实施信息保密控制、使用各类信息技术手段，在信息公开、获取、使用方面设立防止生物识别信息滥用的多重防范机制。四、防控对策

（一）提高公民的法律意识和安全意识

刷脸支付的简易性、智能性、卫生性的特点符合未来市场的发展需求，受到越来越多用户的青睐，同时刷脸支付运营过程中会发生的一些问题开始逐步显现出来，这对于公民的法律意识跟安全意识提出了更高的要求。公安机关应该加强宣传工作，通过电视广播、横幅标语等传统形式以及微信推送、有奖问答等新型方式进行宣传。其宣传的内容主要包括两部分，一是对不法分子的犯罪方式进行公开报道，并及时公布处理结果，以震慑不法分子;二是向社会公布群众中识破犯罪分子犯罪方式的案例，通过树立典型的形式带动公民法律意识、安全意识的强化。

（二）完善人脸信息采集机制

目前的人脸信息采集机制存在的问题主要体现在生物识别技术不完善，操作者的专业化水平不足以及身份信息的采集、存储标准不明确等方面。针对这些问题，各部门应各尽其职，加强合作，通过深入实地调研以及召开专门的研讨会等方式，尽快制定出刷脸支付行业统一的应用规范、技术标准;通过加强培训、定期考核等方式保证操作者专业化水平的提升;通过多要素核对用户身份信息以及签订保密协议等措施对现有的人脸信息采集机制进行完善，以使刷脸支付行业不断走上正轨。

（三）加大公安机关打击力度

针对刷脸支付可能引发的问题，公安机关应该通过多部门联合预测预警、严厉打击违法犯罪等方式将其制止在萌芽期。公安机关可以从以下几方面入手：一是通过与相关部门、科技公司等的合作对于各类采用刷脸支付的场所建立大数据预测预警以及常态化监控机制，将未经用户允许采集用户信息以及各类侵财行为掐灭在萌芽期，掌握打击涉刷脸支付违法犯罪的主动权;二是对已认定为违法犯罪的行为，如假体攻击、未经允许私自采集公民人脸信息等，要加强打击力度，在法律规定的范围内从重处罚以震慑违法犯罪分子。

（四）加快立法规范、监管步伐

作为以终端为基础，且较为复雜的支付技术，刷脸支付的监管方涉及较多，央行、公安部、工信部分别在支付、公民信息财产安全、终端信息安全方面占据主导地位。央行作为支付行业的监管者，应加快出台包括人脸识别在内的生物识别技术在支付领域的应用规范、技术标准;公安部应加强对公民信息安全保护，严厉打击通过刷脸支付侵犯公民权利的行为;工信部应督促刷脸支付行业的终端设备不断改造升级，以提高刷脸支付设备的安全性。因此，亟需在《中华人民共和国个人信息保护法》以及正在拟议研究的生物安全法草案中，对各监管方职责划分以及生物信息的收集、存储等问题进行探讨、规范，制定、改良相关的法律制度，统筹各方力量，加强对刷脸支付行业的监管。

注释：

艾媒“数”说刷脸支付：2022年用户将超7.6亿，刷脸产业带动50万人就业[EB/OL].https：//www.iimedia.cn/c460/66880.html.

参考文献：

[1]赵淑钰.生物识别信息法律规制的国际经验与启示[J].中国信息安全，2019（11）：37-39.

[2]陈宗波.我国生物信息安全法律规制[J].社会科学家，2019（1）：96-103.