随着技术的进步和市场的推广,刷脸支付已经成为一种支付发展趋势,其特有的便捷性、智能性、卫生性的特点改变着人们的生产生活方式。但作为一种新兴事物,刷脸支付的安全隐患也不可忽视,其所涉及的人脸信息属于重要的生物信息,在这一背景下亟需探索出有效的防控对策以维护国家安全和社会治安稳定,促进社会经济和谐健康发展。
一、刷脸支付的安全风险
(一)面临和传统支付业务相同的风险
刷脸支付业务创新性地将人脸识别技术与支付业务相结合,使用人脸识别进行身份验证,提取人脸信息绑定的银行账户或支付账户进行支付。但其线上、线下应用场景背后的支付信息流、资金流与传统网络支付、银行卡收单和条码支付相类似,并未改变支付业务实质。因此,在刷脸支付业务中,传统电子支付业务的风险仍然存在,如欺诈、套现、交易信息变造等风险。
(二)人脸信息泄露
1.人脸信息传输环节
目前,多数人脸信息通过公网进行传输,由于公网处于开放的网络环境,没有专网双向认证、端到端加密等安全策略,容易成为黑客攻击的对象。此外,银联的线下人脸支付业务中,人脸信息在终端、收单机构、银联和发卡银行之间相互传递,传递链条长、环节多,任一环节的漏洞都有可能造成人脸信息泄露风险。
2.人脸信息存储环节
一是人脸信息集中存放,导致人脸信息泄露风险高度集中,一旦遭受黑客攻击或系统产生漏洞,将引发大量人脸信息泄露事件。二是人脸信息管理存在操作风险。若参与方未能有效管理访问、修改、下载人脸信息的权限,则存在内部人员盗取、泄露或篡改人脸信息的风险。三是公有云模式已成为黑客攻击对象。
随着人脸支付的推广应用,不排除部分参与方为降低技术投入成本,使用算法厂商的公有云平台开展人脸识别的可能。而公有云平台的开放式服务模式容易成为黑客攻击的目标,存在人脸信息泄露风险。
(三)用户数据被盗取
在网络经济时代,个人信息的重要性日益凸显,而在利益的驱使下,不法分子盗取用户数据。
互联网大环境下,在支付过程中进行信息采集形成特殊数据库,同时存在信息泄露的风险。例如,交易信息的泄露,不法分子通过特殊手段获取消费者买卖商品的信息,并向其推送大量垃圾广告信息;信息泄露还会导致用户的个人身份信息被诈骗分子获取,从而增加了身份信息被窃者及其亲朋好友被诈骗的可能;信息泄露甚至会导致支付使用者的个人账户及支付密码被网络黑客获取,给支付使用者带来经济损失。
二、刷脸支付风险的防范措施
(一)提升平台的技术安全性
刷脸支付风险的防范措施,首先,保障刷脸支付有完善的技术机制,并提高刷脸支付的成功率和安全性。电子刷脸支付企业应加强技术研发的投入力度,对相关研发人员提供技术支持,坚持贯彻从实际情况出发,寻找现行刷脸支付存在的技术缺失,并加以弥补和完善,通过多种技术手段的有效结合,提升刷脸支付平台的技术安全性。
其次,强化刷脸支付的识别率,优化刷脸支付平台的现行识别运行技术,推进刷脸支付识别率的大力提高。刷脸支付需要先进的识别技术,而单一的技术必然存在其局限性,在这种情况下,为了保障刷脸支付的高效人脸识别,应利用多种识别技术的互补形式,不仅要对企业自身的技术进行优化,还要加强与其他技术的有效融合,综合利用各种先进技术,从而对刷脸支付的安全提供技术支撑。
(二)完善人脸信息采集机制
目前的人脸信息采集机制存在的问题主要体现在生物识别技术不完善,操作者的专业化水平不足以及身份信息的采集、存储标准不明确等方面。针对这些问题,各部门应各尽其职,加强合作,通过深入实地调研以及召开专门的研讨会等方式,尽快制定出刷脸支付行业统一的应用规范、技术标准;通过加强培训、定期考核等方式保证操作者专业化水平的提升;通过多要素核对用户身份信息以及签订保密协议等措施对现有的人脸信息采集机制进行完善,以使刷脸支付行业不断走上正轨。
(三)加强个人信息保护力度
个人信息保护是一项系统性工程。首先,国家需要出台《个人信息保护法》,从法律层面明确个人信息权利、义务与责任,并且加大执法力度,严厉惩戒滥用个人信息、侵犯个人隐私的行为,为社会公众营造安全、可信的网络环境。
其次,需要支付市场监管方及时补位,防止支付领域的个人信息非法采集与滥用行为。对于刷脸支付业务,明确人脸信息采集、存储、使用、转移的信息安全规范,从严要求有关机构履行法规义务,在明确告知、用户授权、约定使用的情况下采集、使用人脸信息。
最后,刷脸支付企业要加大人脸信息保护的技术投入和内部管理力度,防止人脸支付各个环节出现泄漏、窃取、篡改风险,提高合法合规经营意识,保障刷脸支付在运行过程中的安全。
(四)提高公民的法律意识和安全意识
刷脸支付的简易性、智能性、卫生性的特点符合未来市场的发展需求,受到越来越多用户的青睐,同时刷脸支付运营过程中的一些问题开始逐步显现出来,这对公民的法律意识、安全意识提出了更高的要求。公安机关应该加强宣传工作,通过电视广播、横幅标语等传统形式以及微信推送、有奖问答等新型方式进行宣传。其宣传的内容主要包括两部分:一是对不法分子的犯罪方式进行公开报道,并及时公布处理结果,以震慑不法分子;二是向社会公布群众中识破犯罪分子犯罪方式的案例,通过树立典型的形式对公民法律意识、安全意识进行强化。
(五)加大公安机关打击力度
针对刷脸支付可能引发的问题,公安机关应该通过多部门联合预测预警、严厉打击违法犯罪等方式将其制止在萌芽期。公安机关可以从以下几方面入手:一是通过与相关部门、科技公司等的合作对各类采用刷脸支付的场所建立大数据预测预警以及常态化监控机制,将未经用户允许采集用户信息以及各类侵财行为掐灭在萌芽期,掌握打击涉刷脸支付违法犯罪的主动权;二是对已认定为违法犯罪的行为,如假体攻击、未经允许私自采集公民人脸信息等,要加强打击力度,在法律规定的范围内从重处罚以震慑违法犯罪分子。
三、结语
我国刷脸支付依托其受众庞大的优势,应用日益普遍,在快速发展的同时,也带来了一定的支付风险。因此,刷脸支付必须做到识别风险、降低风险的发生,如何将刷脸支付进行规范化的制约,成为互联网时代下,刷脸支付的重要课题,由此,刷脸支付安全风险措施还有待优化。为了促进刷脸支付的健康有序发展,监管部门、企业和使用者应共同努力,确保刷脸支付的安全性。
