10月20日，在世界互聯網大會上，中國銀聯與中國工商銀行等60余家機構聯合發布人臉支付產品“刷臉付”。此前，支付寶、財付通等非銀行支付機構紛紛推出了人臉支付產品和服務。以人臉支付為代表的創新支付方式，或將成為支付發展趨勢。不過，支付的便捷性必須以安全為前提，注意保護用戶個人隱私。

所謂的人臉識別技術，是基于人的面部特征信息進行身份識別的一種生物識別技術，是指通過拍照或攝像得到的圖像信息和后臺數據庫中預先收集的儲存的面部信息進行比對，從而完成身份識別。那么，人臉識別技術是否可應用于支付領域？人臉識別技術在支付領域的應用，根據場景的不同可分為線上和線下兩種。從現階段看，人臉識別線上支付仍存在諸多風險，暫不具備普遍應用條件；而人臉識別線下支付相關技術較為成熟，具備一定的應用條件。

但是，技術一把雙刃劍。人臉支付在提升支付服務便捷性的同時，也存在一些應用風險。一是信息泄露風險。人臉特征具有唯一性，不法分子可通過遠程等方式，在公共場批量獲取用戶人臉信息，“盜臉”一旦發生后患無窮。二是假體攻擊風險。雖然現在活體檢測技術水平已經大大改進，但新型攻擊手段不斷出現，對用戶資金安全造成潛在威脅，不容忽視。三是算法漏洞風險。目前，人臉識別算法仍在快速迭代，可能存在隱藏的未知漏洞，一旦被不法分子發現并加以利用，或將造成系統性風險。

當前，一些非銀行支付機構在開展人臉支付的時候，僅從簡單的用戶體驗出發，通過用戶在大屏上輸入手機號碼（有的甚至不需要輸入手機號碼），并不需要用戶進行進一步交易驗證。這種“有技術就任性”的行為，給人臉支付埋下了風險隱患。據報道，現在有的技術可以遠程識別并盜取人臉信息。賬戶密碼被盜尚且可以修改，人臉信息被盜了難道只能去整容？

對此，正如央行副行長范一飛所指出的，我國支付產業在快速發展的同時也面臨諸多挑戰，支付安全形勢仍不容樂觀。因此，無論是商業銀行還是支付機構，在開展人臉支付時，應把支付安全放在第一位，并遵循“反應用戶支付意愿”的基本原則。在這個基礎上，人臉支付可充分發揮人臉信息隨身性特點，使用戶無需額外攜帶外部介質（銀行卡、手機等）即可完成線下支付交易，不改變用于輸入支付口令的交易習慣，提升支付服務的獲得感和滿意。

所以，今年以來，央行相關負責人多次表示，人臉是非常敏感的個人信息，不宜將人臉作為支付的唯一交易驗證因素。此次，60余家機構聯合發布的“刷臉付”在支付時就必須驗證支付口令，也是有所考慮：一是可以體現用戶支付的真實意愿；二是防止通過人臉偽造進行身份冒用，保障交易安全。此外，“刷臉付”注重保護用戶個人信息，將用戶的人臉特征信息與用戶關聯性較高的身份信息進行安全隔離，嚴格控制存儲設備和介質的訪問權限，嚴防信息泄漏、篡改與濫用。相關商戶和受理交易的終端，也都須通過權威安全檢測機構的專業檢測。從上述舉措來看，“刷臉付”基本符合監管要求，彌補了市場上同類產品的不足，也驗證了支付便捷性必須建立在安全性基礎之上的重要性。

盡管備受關注，但總體而言，目前人臉支付產品仍處于探索階段，相關產業發展尚不成熟。央行作為支付行業的監管者，應加快出臺包括人臉識別在內的生物識別技術在支付領域的應用規范、技術標準等，推動各類參與主體提高認識，共筑支付安全防線。各類市場主體應正確把握安全與發展的關系，把支付安全放在第一位，認真落實相關要求，確保人臉支付行穩致遠。作為消費者，要正確看待支付技術創新，謹慎選擇新的支付方式，并妥善保護好個人信息，降低信息泄露風險。

（董希淼系國家金融與發展實驗室特聘研究員，中國電子銀行網專欄專家。）

責任編輯：王超