今年以來，隨著巨頭對人臉支付支付的瘋狂推廣，人臉支付開始逐漸走進人們的生活，然而面對大規模商用落地的人臉支付場景，圍繞著人臉識別的安全問題不斷被推向輿論熱點，如何規范地開展人臉支付？如何制定安全合規的人臉支付檢測？

　　11月5日，由北京金融科技產業聯盟、移動支付網聯合主辦的2019第四屆中國移動金融安全大會在深圳召開，銀行卡檢測中心金融科技研究室主任李博文分享了《人臉識別支付技術合規要點》，對于人臉支付技術的檢測要點進行了解讀。

　　首先，他介紹了當下主流的生物識別技術，包括指紋識別、人臉識別、聲紋識別、靜脈識別、虹膜識別等。而無論是哪一種生物識別技術都是先從提取生物特征數據，然后再利用提取到的生物特征進行身份比對認證。因此，不同于其他認證方式，生物特征的價值屬性不一樣，對個人的信息保護要求更高。

　　其中人臉識別技術在支付領域的應用主要分為線上和線下，目前人臉識別識別線上支付使用開放的網絡環境通過移動終端進行信息采集，仍存在諸多風險，尚不具備應用條件；而人臉識別線下支付技術相對已經成熟，具備應用條件。而人臉識別主要分為人臉驗證（1：1）與人臉辨識（1：N），前者是作為認證因子，后者是作為用戶標識。

　　其次，關于人臉識別線下支付的基本流程有幾個主要的測試點，包括活體檢測、終端安全、辨識算法和信息保護。其中活體檢測用戶判斷人臉采集設備捕捉到的人臉圖像是否來源于活體，包括用戶無配合式活體檢測；終端安全是終端從物理層面到軟件層面對人臉識別安全的支持以及對PIN的安全保護；辨識算法決定了人臉識別的精度控制；信息保護則是人臉信息安全存儲的關鍵。該部分測試依據的標準為《人臉識別線下支付安全應用技術規范（試行）》。

　　具體而言，關于活體檢測的圖像質量需要活檢算法廠商集成，若無活檢則由終端應用做圖像質量判斷，判斷要點包括分辨率、角度、瞳間距、光照、完整、表情、清晰度等。關于活體檢測的測試樣本，需要包括二維紙質圖像、電子圖像、電子視頻，三維面具、頭套、頭模以及真人測試。關于活體檢測的測試場景，需要包括不同的光線、距離、角度等。關于活體檢測的結果判定，在不考慮攝像頭形態的標準下，基本級活檢錯誤接受率要在1%以內，增強級的活檢錯誤接受率則在0.1%以內。

　　在終端安全的要求上，李博文從技術要求、物理安全、邏輯安全、通訊安全、交易安全等5個方面進行了詳細的說明，并對人臉識別終端進行了安全分級，包括是否有活體支持能力、是否有TEE/SE、是否支持PIN輸入、是否滿足UPTS2.0等等。

　　另外，在人臉識別算法方面，《人臉識別線下支付安全應用技術規范（試行）》也有著檢測的指標，在萬分之一誤識率下的識別通過率為98.3%，十萬分之一誤識率下的識別通過率為98%。

　　據《個人金融信息保護技術規范》介紹，個人金融信息包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息和其他反映特定個人金融信息主體某些情況的信息。其中個人身份信息指個人基本信息、個人生物特征等信息，而個人生物特征信息包括但不限于指紋、人臉、虹膜、耳紋、掌紋、靜脈、聲紋、眼紋、步態、筆跡等。

　　而根據信息遭到未經授權的查看或未經授權的變更后所產生的影響和危害，將個人金融信息按敏感程度從高到低分為C3、C2、C1三個類別。C1級別為機構內部的信息資產，C2級別可識別特定個人金融信息主體身份與金融狀況的個人金融信息，以及金融消費者用于金融產品與服務的關鍵信息。C3級別則用戶身份鑒別信息，該類信息一旦遭到未經授權的查看或未經授權的變更，會對個人金融信息主體的信息安全與財產安全造成嚴重危害。

　　最后他總結了生物識別的原理缺陷和使用建議，缺陷表現在5個方面，包括生物特征識別的不準確性、生物識別不適用所有人、生物特征不是秘密、生物特征數據容易被復制、生物識別容易被騙過。因此他建議，生物識別技術的使用首先要指定技術規范標準，加強檢測認證和安全分級體系；其次要采用多因子的認證方式，降低單一要素的風險；再者應使用安全性高的生物識別模塊與算法，并不斷優化提升；最后，對生物識別信息要采取加密保護措施，同時降低生物信息集中存儲風險。