查看原文
其他

观点 | 人脸识别技术在金融行业应用分析与思考

金融电子化 金融电子化 2023-05-16

文 / 中国人民银行南京分行  许婷

中国人民银行扬州市中心支行  孙永安

人脸识别技术已广泛应用于社会生产、生活等领域。人民银行扬州市中心支行近期对扬州市金融机构开展了人脸识别技术应用管理情况调研。调研发现,金融机构积极应用人脸识别技术简化支付、信贷等业务流程,优化业务管理,提升客户体验,推进金融服务提质增效。同时,在个人隐私数据处理、规范指引落实、应用安全管理等方面亟待加强。


人脸识别技术应用场景

人脸识别技术作为一种生物识别技术,可以自动识别个体身份,减少人工参与过程,满足了金融服务账户实名制等对客户身份识别的实际需求。目前,人脸识别技术已经融入金融服务,在网点、手机银行、单位安防等领域广泛应用,通过人脸验证、人脸辨识,识别客户身份。一方面,替代了人工处理流程,简化手续,提高效率;另一方面,作为远程、非接触业务身份识别的有效方式,在智慧金融、移动金融等场景中得到广泛应用。


1.人脸验证,核实个人身份。人脸验证是人脸识别应用之一,其原理是将所产生的样本特征序列与按用户标识信息所给定的已存储的用户的模板特征序列进行比对(1:1比对),以确认用户是否为所声明的身份。金融机构通过人脸验证,确认业务办理者真实身份,满足业务办理实名、实人等监管要求。


(1)柜面服务。根据账户实名制等监管要求,部分银行营业网点柜面服务(如开立个人人民币结算账户)需进行联网核查,核对姓名、身份证号、照片等个人信息。部分银行机构已应用人脸识别技术进行自动核对,减少了人工核对偏差,提高了核查工作效率。另外,大额取现、账户密码解锁等需身份核实的业务,也可应用人脸识别技术进行人脸核验,确认为本人办理。


(2)智能服务。银行自动柜员机等智能化服务设备已大范围应用人脸识别技术,来自动识别客户身份。以刷脸存取款业务为例,客户输入身份信息后,自助设备随即采集客户人脸信息,验证成功后,即可选择相应的银行卡进行存取款操作。


(3)移动金融服务。手机银行等移动金融客户端已经广泛应用人脸识别技术,主要用于远程操作者的身份识别,确保相关业务操作为本人实际操作。如大额转账、信贷申请、设备绑定等重要业务,在业务办理环节中均需远程采集、识别操作者人脸信息,以验证操作者的实际身份,有效保障客户的账户资金安全。


(4)系统用户认证。银行业机构为保证重要业务系统安全管理,在传统的用户名、密码登录基础上,增加了操作者人脸识别验证环节,以确保实际操作者为有效的系统用户,如个人征信查询、信贷管理系统等,保障客户各类敏感数据的安全。


2.人脸辨识,鉴别个人身份。人脸辨识作为人脸识别另外一种应用场景,是指将所产生的样本特征序列与已存储的指定范围内的所有模板特征序列进行比对(1:N比对),确定用户身份。金融机构主要通过采集人脸信息并进行辨识,以此确定人脸信息对应的身份信息,为业务办理等提供依据。


(1)刷脸支付。直接以人脸作为支付媒介,通过专用设备进行人脸数据采集、处理和传输,识别出客户身份后,再使用其指定账户完成支付。如“银联刷脸付”,用户通过“云闪付”或手机银行等进行人脸验证,设置人脸支付口令,开通刷脸付功能后,即可在线下门店使用刷脸付进行付款。另外支付宝“蜻蜓”和微信支付“青蛙”也是刷脸支付产品。


(2)智慧场景。银行业机构通过金融科技输出,积极拓展人脸识别技术应用场景。例如,农业银行扬州分行结合校园安防建设场景,应用“家校通”平台,为学校提供智慧校园服务,实现学生校门道闸刷脸测温入校、教室门外刷脸电子班牌与家长通讯等应用。


(3)安防管理。银行业机构已经在行内道闸、梯控等安防设施中使用人脸识别技术,主要用于单位员工的身份识别,强化内部员工管理,有效管控工作场所的安全风险。例如,部分银行业机构在办公场所安装了人脸识别轧机,进行刷脸测温、进门,实现员工考勤日常管理。


人脸识别技术应用管理情况

从调查情况看,银行业机构能按照《个人信息保护法》等管理要求,规范应用人脸识别技术,加强应用的安全防护,有效保护客户人脸数据的安全。


1.以取得用户同意为先决条件。《个人信息保护法》明确生物识别信息属于敏感个人信息,并规定了处理敏感个人信息应取得用户的单独同意。银行业机构在处理人脸信息时,遵循了合法、正当、必要和诚信等个人信息处理原则,切实履行了告知义务,并在取得客户的明确同意后,方开展人脸信息的采集、处理。在处理不满十四周岁未成年人个人信息时,必须先取得未成年人的父母或者其他监护人的同意。如在智慧校园服务中,由学生家长登录手机银行后进入家校通平台,采集学生人脸信息。


2.以技术管控措施为安全保障。《个人信息保护法》指出,只有在具有特定目的和充分必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。各银行业机构积极采用技术手段,在人脸采集环节,通过点头、张嘴、眨眼等主动配合式活体检测和可见光变化、特定光源照射后反馈等被动无交互式活体检测,有效防范二维、三维假体攻击。在数据传输、存储等环节,则采用满足数据传输安全策略相应的安全控制措施,如数据加密等,保障人脸识别数据安全。


3.以管理控制措施为应用护航。将客户端软件、支付销售点终端(POS)等金融科技产品纳入国家统一推行的认证体系(以下简称“国推认证”),对移动金融客户端应用软件实行实名备案管理,提升客户端软件安全防护能力。同时,国家金融科技测评中心对人脸识别产品提供检测服务,并公布过检目录。此外,为提升重要金融业务的安全性,在应用人脸识别技术时,还需采取静态密码、动态验证码等多因素交叉验证手段,如刷脸支付结合支付密码、手机银行结合短信等进行双重验证。


存在问题

1.应用安全问题时有发生。人脸识别技术高度依赖摄像头图像采集、活体检测、辨识算法等,随着人工智能技术的发展,其面临较大的风险挑战。近年来,采用智能算法处理图片、视频等破解人脸识别系统的事件时有发生,仿冒者进入手机运行环境、客户端,给个人隐私数据等安全造成威胁。而金融服务涉及资金交易,其人脸识别身份验证系统也是不法分子重点攻击的对象,一旦被破解,仿冒者将可以进行转账、支付等资金交易,个人的财产将可能被转移。应用安全事关个人切身利益,需与时俱进、持续优化管控措施,确保应用安全可控。


2.应用的规范性仍待提高。目前手机银行等移动金融客户端软件需采集人脸图像,均按照要求履行了告知义务,并在客户同意后进行后续操作,但在告知内容、取得同意的方式等方面规范性不足。如《个人信息保护法》明确指出应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响,部分手机银行弹窗会显示“为保障账户安全”等字样,说明了目的,但必要性以及对个人权益的影响则表述不充分。另外,处理敏感个人信息应当取得个人的单独同意,大部分机构手机银行需阅读并接受授权书,个别机构手机银行则没有授权书而是直接点击开始人脸识别。


3.应用的管理仍待加强。人脸与虹膜、指纹等其他生物特征不同,直接暴露在外部环境中,数据的采集、处理相对容易。同时作为个人隐私数据,需落实管理要求,保障人脸数据的安全。人脸识别已成为客户身份验证的重要方式,日常采集、处理、留存大量人脸信息。目前人脸识别应用管理主要在移动金融客户端管理、金融数据安全管理等标准规范中进行要求,如《金融数据安全数据安全分级指南》中将人脸纳入弱隐私生物特征信息,最低安全级别参考为4级。金融业还未制定专门的行业标准、规范,明确线下支付等行业应用管理要求,并缺乏相应的监测评估机制。


政策建议

1.保障应用安全。加强风险防控,筑牢安全防线。一是金融机构应用人脸识别技术开展金融服务,应采取“人脸识别+短信”等方式开展多因素交叉验证,消除单因素验证的风险隐患,提升线上身份验证的安全性。二是进一步优化完善点头、张嘴、眨眼等主动配合式活体检测技术,加大可见光变化、特定光源反射等被动无交互式活体检测技术应用,切实增强活体检测能力,提升金融交易安全强度。三是加强应用的风险监测与应急处置,切实保障用户资金安全。


2.规范技术应用。制定人脸识别技术应用管理办法,明确人脸信息处理具体要求,促进人脸识别技术的规范应用。一是明确告知内容和方式,列举应包含的基本要素,为处理者履行义务提供指引。二是进一步明确用户同意的方式、途径,根据线上、线下服务的不同特点,细化处理要求,便利用户授权,实现授权的可查、可撤。三是简化内部管理的授权要求,实现对外服务、内部管理的差别化管理。


3.优化应用管理。加强人脸识别技术金融行业应用的规范指引,完善金融行业应用管理。一是制定、发布人脸识别技术应用金融行业标准,明确人脸识别线下支付应用等技术和安全要求,为受理终端、业务系统、客户端软件等的设计、生产、集成和应用提供指引。二是将人脸识别系统加入金融科技产品认证目录,纳入国推认证体系管理,保证人脸识别系统的安全和质量。三是贯彻落实《个人金融信息保护技术规范》相关要求,切实保护个人人脸隐私数据。


(栏目编辑:李朝瑞


新媒体中心

主任 / 邝源  

编辑 / 姚亮宇  傅甜甜  张珺  邰思琪

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存