“你方唱罷我登場”，繼指紋支付、靜脈支付、刷臉支付等之后，“刷掌支付”也要來了。日前，“微信上線刷掌支付”登上熱搜。在微信上，“微信刷掌支付”小程序已上線，其主體為財付通支付科技有限公司?！八⒄浦Ц丁?，是將生物識別技術運用于支付領域的一種新嘗試。在確保安全的情況下，“刷掌”可以成為支付驗證的輔助手段之一。但“刷掌支付”從探索到推廣，還面臨多重挑戰和問題，對生物識別技術在支付領域應用的規制也應進一步加強。

近年來，隨著信息科技快速發展，技術創新與支付領域深度融合發展。支付機構和金融機構應用生物識別技術，紛紛推出相關產品和服務。如借助人臉識別技術完成日常支付即“刷臉支付”，在人們生活中開始出現并獲得不少人使用。而目前備受關注的 “刷掌支付”，也是將生物識別技術運用于支付領域的一種新嘗試、新方式。

“伸手感應，識別支付”，“刷掌支付”由騰訊優圖和微信支付合作推出。從具體應用看，刷掌設備由騰訊方面提供，設備上設有顯示屏和掌紋識別區。目前，騰訊已在部分地區推廣“刷掌支付”，在授權場景中，可以通過手掌識別快速完成付款或者身份驗證。比如，用戶開通“刷掌支付”功能后，只需要在掌紋識別區進行掃描，即可完成日常消費的支付。其實早在2021年8月，微信就開始內測“刷掌支付”。當時，微信在公開回應中表示，“刷掌支付”僅為微信內部技術預研，未開啟測試，也無應用計劃。直到日前，“微信刷掌支付”小程序上線，再度引發市場關注。

與此同時，騰訊科技（深圳）有限公司申請了多項與“刷掌支付”相關的專利及商標。例如，在專利方面，“企查查”信息顯示，騰訊已申請了識別模組及掌部生物信息識別設備、刷掌設備、識別設備和支付設備等專利。在商標方面，2022年8月以來，騰訊已申請“微信刷掌支付”“微信刷掌服務”“微信刷掌”等多個商標。顯然，騰訊在“刷掌支付”方面的探索并非一時興起，而是從技術、專利、商標以及場景等方面進行了全方位布局。

不可否認的是，“刷掌支付”具有一些獨特的優勢。與其他應用生物識別技術進行支付如人臉、指紋、靜脈等支付方式不同的是，“刷掌支付”有兩個突出的特點。第一，可以在應用生物識別特征識別時加入人的主觀因素，比如每個人的手勢可以不同。從這個意義上講，“刷掌”的個性化和安全性程度更高。第二，在疫情防控期間，使用受到的限制和約束更少。當前外出戴口罩成為普遍行為，因此“刷掌”比“刷臉”更方便，也更有助于降低病毒傳播的風險。因此，在確保安全的情況下，“刷掌”可以成為支付驗證的輔助手段之一。

但是，單純從技術本身看，“刷掌支付”能否大規模推廣應用面臨著硬件環境和場景選擇雙重約束。從硬件環境看，“刷掌支付”需要專用的刷掌設備，這是“硬約束”。盡管騰訊方面提供刷掌設備，但設備從生產到鋪設、商家從接受到學習都需要時間，設備成本是否會轉移到商家以及終端用戶目前也并不明確。從場景選擇看，“刷掌支付”主要應用于線下場景，這是“軟約束”。在線下場景中，銀行和非銀行支付各行其道，“刷掌支付”恐難脫穎而出。而且，在科學精準防控二十條措施公布之后，疫情防控政策不斷調整優化已經成為趨勢。如果經濟社會回歸正常，公眾摘下口罩，“刷掌支付”相比“刷臉支付”的優勢也將消失。對用戶而言，在眾多支付驗證方式中，“刷掌支付”能否被青睞還有待驗證。

更需要引起重視的是，技術一把雙刃劍。就支付領域而言，新技術的應用往往伴隨著新風險的產生。據媒體報道，北京市民李紅（化名）被詐騙人員從她的交通銀行卡騙走近42.9萬元，近期發現交通銀行的人臉識別技術存在嚴重漏洞。報道顯示，李紅被騙當天共有7次操作涉及人臉識別，均顯示識別成功通過，其中1次為借記卡申請、1次為登錄密碼重置、5次為大額轉賬，除了第一次不涉及活檢，后6次操作“活檢結果”均為成功。雖說掉入詐騙分子的圈套是造成李紅被騙的主要原因，但IP地址顯示為我國臺灣地區的詐騙分子，居然6次順利通過交通銀行的人臉識別比對。堂堂一家大型銀行，人臉識別系統如此被輕易攻破，匪夷所思。據報道，除李紅之外，還有多位交通銀行用戶也有類似遭遇，被騙金額超過200萬元。

具體到“刷掌”技術，該技術在提升支付服務便捷性的同時，同樣可能存在一些已知或未知的風險，技術的安全性和系統的可靠性需要得到進一步的驗證。

一是信息泄露風險。生物識別特征具有唯一性，如果泄露后果嚴重。不法分子或可在公共場所非法獲取用戶掌紋等信息，導致基于掌紋的身份認證系統可被輕易繞過。賬戶密碼被盜尚且可以修改，掌紋信息被盜可能難以找回。

二是算法漏洞風險。目前，活體檢測等算法仍在快速迭代，識別通過率、誤識率等關鍵指標相互關聯、難以兼顧，且容易受到外界環境因素干擾。其中可能存在隱藏的未知漏洞，一旦被不法分子發現并利用，將產生系統性風險。

三是假體攻擊風險。在人臉識別中，不法分子通過照片、視頻、高仿面具等手段，仿冒用戶人臉進行2D或3D攻擊，屢見不鮮。在“刷掌支付”應用中，假體攻擊等新型攻擊手段是否還會出現，還需要進一步觀察。

而且，當下一些金融機構和支付機構自以為掌握（或引進）一些技術，在應用生物識別技術的時候，更多考慮用戶體驗，而未充分評估和防范其中的風險。這種不審慎的行為，給金融業務埋下了風險隱患。過度的便捷往往給不法分子帶來可乘之機，通過遠程、非接觸方式，在用戶本人毫無察覺的情況下“無聲無息”地獲取用戶的生物識別信息，且手機號碼作為用戶社交工具也極易被獲取，從而導致“隔空盜刷”問題出現。

無論是中國人民銀行公布的《金融科技發展規劃（2022-2025年）》還是銀保監會公布的《關于銀行業保險業數字化轉型的指導意見》，都對堅守安全底線、防范技術風險提出明確要求。2022年10 月，央行公布《金融領域科技倫理指引》，對金融領域開展科技活動需要遵循的守正創新等七個方面，提出價值理念和行為規范。由于互聯網的虛擬化、金融服務的數字化、參與主體的多樣化，當前金融科技風險呈現蔓延速度快、隱蔽性強、潛伏期長、外溢效應明顯等特點，支付機構和金融機構在敏感信息保護、客戶資金安全等方面面臨較大壓力。

因此，無論是支付機構還是金融機構，在應用生物識別技術時，都應把安全性放在第一位，以最嚴格的標準審慎對待，在確保安全的前提下合理審慎應用。從技術的層面看，應采取數據脫敏、隱私計算、分散存儲等多方面措施，保障生物識別技術安全應用。下一步，支付機構、金融機構應正確把握安全與發展、風險與創新的關系，認真落實相關要求，確保新技術、新產品安全合規，并在充分告知風險的情況下為消費者提供多種選擇。如果由于新技術不當應用給消費者帶來損失，應主動承擔相應的責任。

生物識別技術在金融行業的快速發展和應用，引起全球范圍普遍關注，呼喚更全面完善的法律規制和技術標準。在我國，《網絡安全法》《數據安全法》《個人信息保護法》構建了個人信息保護的“三駕馬車”，應加強法律執行的檢查和處罰，確保各方在法律框架之下依法合規行事。2018年10月，我國金融行業首個生物特征識別安全標準《移動金融基于聲紋識別的安全應用技術規范》公布。金融管理部門應加快出臺并不斷完善生物識別技術在支付領域的應用規范、技術標準等，推動各類參與主體提高認識、增強能力，共筑支付安全防線。消費者要全面理性地看待技術創新和應用，增強識別和防范詐騙的意識和能力，并妥善保護好個人敏感信息，降低信息和隱私泄露風險，自我守護好“錢袋子”安全。

（董希淼系中關村互聯網金融研究院首席研究員、復旦大學金融研究院兼職研究員、中國電子銀行網專欄專家）

責任編輯：王超