支付宝回应人脸识别“被骗”极小概率事件升级后可防可控
近日,中国裁判文书网披露了浙江省衢州市中级人民法院一份刑事裁定书,引起业内关注。
2018年7月份开始,被告人张某、余某等人以牟利为目的,利用已非法获取的公民个人信息,通过使用软件将相关公民头像照片制作成公民3D头像,从而通过支付宝人脸识别认证,并使用上述公民个人信息注册支付宝账户。张某、余某等人通过这种方式来获取支付宝提供的邀请注册新支付宝用户的相应红包奖励(包括邀请新人红包、通用消费红包、花呗红包等)。
对此,2月18日,支付宝方面告诉21世纪经济报道记者,2018年,支付宝安全系统监测到部分用人脸识别进行身份认证开通账户行为异常,第一时间启动专案预警:上报警方,并且升级人脸识别身份认证的防攻击技术。经核实,作案者通过软件利用盗取的公民信息生成动画头像,在特定电脑屏幕上播放动画头像进行实名认证。这一案件中,并未有用户因此造成资金损失。
支付宝方面还称,人脸识别认证目前的准确率为99.99%,2018年出现的这一案例为极小概率事件。案件发生后,经过技术升级支付宝对此类攻击形式已可防可控,至今没有再发现类似攻击案例。支付宝承诺,即便出现小概率的盗刷事件,也会全额赔付。
此前,2019年8月,有媒体报道称,一家科技公司负责人使用以自己为原型的3D人头模型破解支付宝刷脸支付,成功购买了一张火车票。当时,支付宝有关部门也联系到该科技公司负责人并做了说明。
支付宝方面表示,系统使用了双重密码保护机制,再逼真的照片或3D模型,也不能随意进行刷脸支付。双重密码保护机制的意思是,只有在输入过支付宝登录密码和支付密码的手机上,才能使用刷脸支付。
(支付宝App设置-生物识别-刷脸设置页面)
支付宝最早尝试刷脸支付,并实现商业化应用。比如2018年12月,支付宝宣布推出一款全新的刷脸支付产品“蜻蜓”,直接将刷脸支付的设备成本降低80%;2019年4月,支付宝宣布推出第二代基于线下消费场景的刷脸支付机具“蜻蜓”,定价1999元,相比第一代直降近30%。
不过,外界甚至监管人士对刷脸支付存在一些看法,认为人脸是非常敏感的个人信息,一旦泄露或者被盗取,会带来非常大的影响。
支付宝方面曾表示,能率先推出刷脸支付,一是基于其多年来人脸识别技术的积累(支付宝是最早实现刷脸登录的金融级App);同时其技术团队也为刷脸支付商用做了很多独创的优化。通过软硬件的结合,智能算法与风控体系综合保证金融级准确性和安全性,目前识别的准确率为99.99%。不过需要提醒的是,设备安装情况、现场光线明暗等有可能会影响用户刷脸的通过率。
支付宝在刷脸支付设备上配备了3D红外深度摄像头,在进行人脸识别前,会通过软硬件结合的方法进行活体检测,来判断采集到的人脸是否是照片、视频或者软件模拟生成的,能有效避免各种人脸伪造带来的身份冒用情况。此外,在进行人脸识别后,还需要输入与账号绑定的手机号进行校验,进一步提高了安全性。同时,支付宝还会通过各种安全风控策略确保账户安全。比如刷脸支付功能需要用户进行开通操作,开通之后才能进行支付,用户也可以随时关闭。而且,即便出现账户被冒用的极小概率事件,支付宝也会通过保险公司全额赔付。
支付宝推出“蜻蜓”不久后,2019年3月,微信支付推出刷脸支付设备“青蛙”,2019年10月20日,中国银联联合商业银行推出“刷脸付”产品。
2019年9月,央行印发《金融科技(FinTech)发展规划(2019-2021年)》,其中提及,将探索人脸识别线下支付安全应用,借助密码识别、隐私计算、数据标签、模式识别等技术,利用专用口令、“无感”活体检测等实现交易验证,突破1:N人脸辨识支付应用性能瓶颈,由持牌金融机构构建以人脸特征为路由标识的转接清算模式,实现支付工具安全与便捷的统一。
2020年1月21日,首份刷脸支付自律公约出炉,中国支付清算协会印发《人脸识别线下支付行业自律公约(试行)》。
比如,“安全管理”章节规定,各会员单位应建立人脸信息全生命周期安全管理机制。在采集环节,要坚持“用户授权、最小够用”,明确告知用户信息使用目的、方式和范围,并获得用户授权,避免与需求无关的特征采集。在存储环节,将原始人脸信息加密存储,并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离。在使用环节,收单机构、商户等中间环节不得归集或截留原始人脸信息,实现端到端的个人隐私保护。
会员单位应根据用户意愿,为其提供开通或关闭刷脸支付服务。用户进行刷脸支付时,会员单位应采用支付口令或其他可靠的技术手段(通过国家统一推行的金融科技产品认证)实现本人主动确权,保障用户知情权、财产安全权等合法权益。