生物識別技術(shù)正迅速在各行各業(yè)推廣應(yīng)用。
以人臉識別技術(shù)為例,公安、社保、醫(yī)療、教育、交通等領(lǐng)域紛紛試水:在線下,已延伸至監(jiān)控安防、智慧醫(yī)療、智能家居等領(lǐng)域;在線上,智能手機(jī)解鎖、APP輔助登錄等應(yīng)用也已深入人們的日常生活。
市場熱情推動了技術(shù)革新,尤其在我國——當(dāng)前,中國的人臉識別技術(shù)已處于全球領(lǐng)先地位。美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)2018年底公布了有工業(yè)界黃金標(biāo)準(zhǔn)之稱的“全球人臉識別算法測試(FRVT)”結(jié)果,排名前五的算法全部被中國包攬。
但值得注意的是,技術(shù)是把雙刃劍,用戶體驗(yàn)不斷提升的同時(shí),技術(shù)防攻擊性和安全性所面臨的挑戰(zhàn)也越發(fā)嚴(yán)峻。如何在風(fēng)險(xiǎn)可控的前提下穩(wěn)妥應(yīng)用新技術(shù),如何保障數(shù)據(jù)安全、信息安全、金融安全,正日益成為關(guān)注焦點(diǎn)。
中國人民銀行作為監(jiān)管部門之一,對于新技術(shù)在金融領(lǐng)域的應(yīng)用高度敏感,已于2018年10月出臺了《移動金融基于聲紋識別的安全應(yīng)用技術(shù)規(guī)范》,并正在加快制定人臉識別、活體檢測、個(gè)人信息保護(hù)等相關(guān)標(biāo)準(zhǔn)。然而,生物識別技術(shù)的應(yīng)用與監(jiān)管已遠(yuǎn)超金融范疇,亟待加強(qiáng)頂層設(shè)計(jì),完善相關(guān)法律法規(guī),形成以《網(wǎng)絡(luò)安全法》和正在制定出臺過程中的《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》為“骨架”,以諸多細(xì)則條款和相關(guān)標(biāo)準(zhǔn)為“血肉”的多維度、立體式監(jiān)管體系,防止系統(tǒng)性風(fēng)險(xiǎn)發(fā)生。
線上線下差別監(jiān)管
不可否認(rèn),人臉識別技術(shù)提升了金融服務(wù)的便捷性和普惠性,但同時(shí)也存在隱私泄露、算法漏洞、假體攻擊和活體攻擊等一系列風(fēng)險(xiǎn)。
由于安全性差別懸殊,線上和線下應(yīng)用場景應(yīng)予以謹(jǐn)慎區(qū)分。
在線下,刷臉支付技術(shù)已較為成熟,具備試點(diǎn)應(yīng)用的基本條件。規(guī)范引導(dǎo)人臉識別技術(shù)在線下支付場景的應(yīng)用,有助于滿足安全便捷支付服務(wù)的需求,提升現(xiàn)有受理環(huán)境資源使用效能,激發(fā)我國金融系統(tǒng)主動創(chuàng)新活力。但在線上,人臉識別支付仍存在諸多風(fēng)險(xiǎn),暫不具備應(yīng)用條件,若要應(yīng)用推廣須采用可信執(zhí)行環(huán)境(TEE)、安全單元(SE)等技術(shù)加強(qiáng)風(fēng)險(xiǎn)防控。
當(dāng)前,市場上個(gè)別機(jī)構(gòu)僅靠人臉特征判斷用戶身份,顯然存在一定的隱患。《中國人民銀行支付結(jié)算辦法》第十九條規(guī)定,銀行應(yīng)依法維護(hù)用戶資金的自主支配權(quán)。在支付交易時(shí),銀行卡交易需用戶提供實(shí)體卡片并輸入密碼,條碼支付需用戶打開手機(jī)APP并向商戶展示條碼,手機(jī)PAY需用戶主動喚起支付功能(如雙擊電源鍵)并驗(yàn)證身份,這些方式均不同程度體現(xiàn)了用戶自主意愿。
與之相比,僅靠人臉特征識別未經(jīng)用戶確認(rèn)就直接完成支付交易,不能有效體現(xiàn)用戶主觀意愿和資金自主支配權(quán),給不法分子“無感”盜取資金提供了“便利”,可能成為人臉支付資金風(fēng)險(xiǎn)的根源。
經(jīng)過前期深入調(diào)查研究,結(jié)合行業(yè)實(shí)踐探索情況,目前來看,“人臉識別+支付口令”是兼顧安全與便捷的實(shí)現(xiàn)方式。因此,人臉支付推廣過程中可加強(qiáng)身份認(rèn)證管理,建議綜合運(yùn)用支付口令、活體檢測、數(shù)據(jù)標(biāo)簽等實(shí)現(xiàn)多因素交易驗(yàn)證,提高交易安全強(qiáng)度,提升支付交易抗抵賴能力。
下一步,人民銀行也將按照“聯(lián)網(wǎng)通用、安全可控、便捷友好、易于推廣”原則,探索利用密碼識別、隱私計(jì)算、數(shù)據(jù)標(biāo)簽、模式識別等技術(shù),突破1:N人臉辨識支付應(yīng)用性能瓶頸,構(gòu)建以人臉特征為路由標(biāo)識的轉(zhuǎn)接清算模式;將人臉特征作為關(guān)聯(lián)支付賬戶的媒介,利用專用口令、“無感”活體檢測等實(shí)現(xiàn)交易驗(yàn)證,使用戶無需額外攜帶外部介質(zhì)即可完成支付交易,推動實(shí)現(xiàn)支付工具安全與便捷的統(tǒng)一。
挑戰(zhàn)不斷升級
由于生物識別信息終身不變、采集隱蔽、集中存儲,因此,安全上存在漏洞便貽害無窮。
2月,國內(nèi)專注安防領(lǐng)域的人工智能企業(yè)“深網(wǎng)視界”發(fā)生大規(guī)模數(shù)據(jù)泄露事件,超過250萬人的數(shù)據(jù)可被獲取,有680萬條數(shù)據(jù)疑似泄露,包括身份證信息、人臉識別圖像、圖像拍攝地點(diǎn)等,嚴(yán)重威脅人民群眾的隱私和財(cái)產(chǎn)安全。
一方面,生物特征與人類生命相伴而生,如被非法竊取利用,基于此類生物特征的身份認(rèn)證系統(tǒng)都可能被輕易繞過。
用戶生物特征普遍暴露在商場、旅館、飯店、街道等各種公共場所,不法分子可通過遠(yuǎn)程、非接觸方式,在用戶本人毫無察覺的情況下“無聲無息”地非法批量采集生物特征信息。同時(shí),在金融科技時(shí)代,生物特征數(shù)據(jù)存儲集中度越來越高,一旦熱點(diǎn)應(yīng)用的生物特征庫被攻破,極易導(dǎo)致大規(guī)模隱私泄露,甚至引發(fā)系統(tǒng)性風(fēng)險(xiǎn)。
另一方面,攻擊手段不斷翻新,技防能力則顯得相形見絀。
生物識別技術(shù)持續(xù)快速發(fā)展,針對識別算法漏洞的攻擊手段也不斷翻新。早期,由于生物識別技術(shù)無法判斷識別對象是否為真實(shí)活體,偽造指紋、聲紋、人臉等生物特征的“假體攻擊”手段較為猖獗。為應(yīng)對“假體攻擊”,基于3D結(jié)構(gòu)光、TOF、紅外雙目攝像頭等的活體檢測技術(shù)應(yīng)運(yùn)而生,一定程度上緩解了假體攻擊的威脅。但不久又出現(xiàn)了針對活體檢測技術(shù)的視頻重放、立體面具等“活體攻擊”手段。
隨著人工智能、大數(shù)據(jù)等技術(shù)不斷發(fā)展演進(jìn),新型攻擊手段也不斷出現(xiàn),迫使產(chǎn)業(yè)各方疲于應(yīng)對,倒逼企業(yè)加大投入力度,持續(xù)升級算法能力和防偽技術(shù),給生物識別技術(shù)安全應(yīng)用帶來巨大挑戰(zhàn)。
建立多維度、立體式監(jiān)管體系
當(dāng)前矛盾在于,市場熱情高漲但尚缺一系列制度設(shè)計(jì)。應(yīng)盡快完善相關(guān)法律法規(guī)并形成多維度、立體式的監(jiān)管體系,多措并舉來推動新技術(shù)的健康、有序、長遠(yuǎn)發(fā)展。
這其中,相關(guān)法律法規(guī)的出臺尤為重要,無法可依、無律可循是監(jiān)管缺乏依據(jù)和抓手的核心問題。因此,當(dāng)務(wù)之急是推進(jìn)科學(xué)立法、嚴(yán)格執(zhí)法,同時(shí)制定出臺兼具包容性、科學(xué)性、客觀性的規(guī)則和標(biāo)準(zhǔn)體系,從信息安全、消費(fèi)者保護(hù)等角度明確監(jiān)管權(quán)責(zé),加強(qiáng)生物特征數(shù)據(jù)濫用、侵犯個(gè)人隱私等行為的管理和懲戒。
人民銀行高度重視生物識別信息保護(hù),在遵照現(xiàn)行法律法規(guī)與監(jiān)管規(guī)則前提下,將“安全可控”作為生物識別技術(shù)金融應(yīng)用底線,多管齊下積極推動生物識別技術(shù)在金融領(lǐng)域安全規(guī)范應(yīng)用。
一方面,加快完善生物識別技術(shù)金融應(yīng)用的監(jiān)管規(guī)則,明確個(gè)人生物特征信息采集、傳輸、存儲、利用等環(huán)節(jié)的安全管理要求,為生物識別技術(shù)金融應(yīng)用提供制度保障。
在監(jiān)管措施上,探索建立金融科技創(chuàng)新產(chǎn)品管理機(jī)制、自聲明與備案制度,在一定范圍內(nèi)先行驗(yàn)證生物識別技術(shù)應(yīng)用的可行性和合規(guī)性,及時(shí)發(fā)現(xiàn)并規(guī)避產(chǎn)品缺陷與風(fēng)險(xiǎn)隱患;
在標(biāo)準(zhǔn)規(guī)范上,堅(jiān)持標(biāo)準(zhǔn)先行,逐步構(gòu)建生物識別技術(shù)應(yīng)用標(biāo)準(zhǔn)體系,去年10月發(fā)布《移動金融基于聲紋識別的安全應(yīng)用技術(shù)規(guī)范》,下一步還將陸續(xù)出臺人臉識別、活體檢測、個(gè)人信息保護(hù)等金融行業(yè)規(guī)范;
在技術(shù)應(yīng)用上,引導(dǎo)金融機(jī)構(gòu)在風(fēng)險(xiǎn)可控前提下選取較為成熟、安全性高的生物識別技術(shù)穩(wěn)妥開展金融應(yīng)用。
另一方面,引導(dǎo)金融機(jī)構(gòu)運(yùn)用科技手段加強(qiáng)生物特征信息保護(hù),提升風(fēng)險(xiǎn)技防能力。
一是數(shù)據(jù)脫敏。在獲取用戶授權(quán)前提下采集用戶生物特征信息,利用標(biāo)記化等技術(shù)對采集的生物特征原始信息進(jìn)行脫敏處理,并將轉(zhuǎn)換后的信息加密,保障生物特征數(shù)據(jù)傳輸、存儲的安全性,實(shí)現(xiàn)用戶生物特征敏感信息的可靠保護(hù)。
二是隱私計(jì)算。在不歸集、不共享原始數(shù)據(jù)前提下,完成對生物特征信息安全處理,僅向外提供脫敏后的計(jì)算結(jié)果,確保生物特征數(shù)據(jù)在使用、處理和流轉(zhuǎn)過程中不發(fā)生泄露,有效解決數(shù)據(jù)隱私保護(hù)和高效處理流通之間的矛盾。
三是分散存儲。將用戶生物特征與姓名、電話等關(guān)聯(lián)性較高的敏感信息進(jìn)行安全隔離、分散存儲,保證攻擊者無法通過部分?jǐn)?shù)據(jù)推斷其他隱私信息,降低敏感數(shù)據(jù)集中存儲帶來的泄露風(fēng)險(xiǎn)。
但需要說明的是,新技術(shù)的發(fā)展和應(yīng)用已遠(yuǎn)超金融范疇,亟待頂層設(shè)計(jì)和各相關(guān)部門協(xié)同監(jiān)管,讓創(chuàng)新成果實(shí)實(shí)在在惠及百姓民生。
-
生物識別技術(shù)
+關(guān)注
關(guān)注
0文章
80瀏覽量
13708 -
人臉識別
+關(guān)注
關(guān)注
76文章
4012瀏覽量
81873 -
數(shù)據(jù)安全
+關(guān)注
關(guān)注
2文章
681瀏覽量
29940
發(fā)布評論請先 登錄
相關(guān)推薦
評論