近日，中國人民銀行科技司司長李偉發文稱生物識別技術正迅速在各行各業推廣應用，要冷靜看待生物識別技術。并表示，中國人民銀行作為監管部門之一，對于新技術在金融領域的應用高度敏感，正在加快制定人臉識別、活體檢測、個人信息保護等相關標準。

　　文中，他闡述了一系列針對生物識別尤其是人臉識別技術在支付領域應用的觀點，其中有兩點值得注意：

　　1、由于安全性差別懸殊，刷臉支付的線上和線下應用場景應予以謹慎區分。

　　2、人臉識別支付需要體現用戶資金的自主支配權，而“人臉識別+支付口令”是目前兼顧安全與便捷的實現方式。

　　刷臉支付的線上線下差別監管

　　在李偉看來，線下刷臉支付技術已較為成熟，具備了試點應用的基本條件。

　　目前，無論是第三方支付巨頭還是銀聯，都在進行線下刷臉支付的布局和試點。就拿支付寶和微信而言，其在線下的刷臉支付主要采用3D結構光、TOF、紅外雙目攝像頭等方式來進行活體檢測，一定程度上緩解了假體攻擊的威脅。同時，還在操作流程上，還采用了輸入手機號的方式來進行驗證，通過大量的數據和算法來進行風險控制。

　　因此，規范引導人臉識別技術在線下支付場景的應用，有助于滿足安全便捷支付服務的要求，提升現有受理環境資源使用效能，激發我國金融系統主動創新活力。

　　但在線上，他認為人臉識別仍存在諸多風險，暫不具備應用條件，若要應用推廣需采用可信執行環境（TEE）、安全元件（SE）等技術加強風險防控。據移動支付網了解，目前銀聯在試推行的線下刷臉支付設備需要經過嚴格的金融認證，具備相應的安全能力，以保證數據存儲和交易安全?；谥悄苁謾C的線上支付，在安全可控能力上顯然不夠。

　　實際上，另一方面線上刷臉支付的應用主要受制于并非所有智能手機的攝像頭都具備主動進行活體檢測的能力，因此在對人臉的防范假體攻擊能力上較為欠缺。目前諸多在智能手機上進行人臉識別認證的操作都需要配合“張嘴、眨眼、搖頭”等動作來進行，倘若應用在支付上顯然不夠便捷和智能。然而，據移動支付網了解，支付寶目前已經在手機端開通了刷臉支付功能，相應地采用了“第一次需輸入支付密碼、換手機需重新登錄和輸入密碼、盜刷全額賠付”等風控措施來解決安全問題，這樣的方式盡管有效，但無法從源頭解決問題。

　　人臉識別+支付口令會成為趨勢嗎？

　　《中國人民銀行支付結算辦法》第十九條規定，銀行應依法維護用戶資金的自主支配權。在支付交易時，銀行卡交易需用戶提供實體卡片并輸入密碼，條碼支付需用戶打開手機APP并向商戶展示條碼，手機PAY需用戶主動喚起支付功能（如雙擊電源鍵）并驗證身份，這些方式均不同程度體現了用戶自主意愿。

　　而在刷臉支付上，李偉認為個別機構僅靠人臉特征判斷用戶身份，存在一定的安全隱患。

　　他表示，相關部門經過前期深入調查研究，結合行業實踐探索情況，目前來看，“人臉識別+支付口令”是兼顧安全與便捷的實現方式。另外，在人臉支付推廣過程中可加強身份認證管理，建議綜合運用支付口令、活體檢測、數據標簽等實現多因素交易驗證，提高交易安全強度，提升支付交易抗抵賴能力。

　　目前，以支付寶和微信為例的線下刷臉支付，其通過“人臉識別+手機號”的方式進行身份認證從而實現代扣支付，部分常用場景也可以實現免輸入手機號的操作。但實際上人臉識別和手機號只是用來確認賬戶進行代扣的過程，和傳統的支付流程還是有一些區別。

　　而按照銀聯“人臉識別+支付口令”的操作來看，則是將人臉特征作為了關聯支付賬戶的媒介，再通過支付口令、無感活體檢測的方式實現交易驗證，整個流程與“銀聯卡+輸入密碼”的操作如出一轍。至于后續是否也會加入“小額免密”來優化操作體驗，現在不得而知，畢竟每次刷臉支付都要輸入支付密碼的話還是稍有麻煩的。

　　最后，李偉強調了技術創新與市場的熱情給生物識別安全帶來了挑戰，需要盡快完善相關法律法規并形成多維度、立體式的監管體系。一方面要明確個人生物特征信息采集、傳輸、存儲、利用等環節的安全管理要求，為生物識別技術金融應用提供制度保障；另一方面要引導金融機構運用標記化技術進行數據脫敏、隱私計算、分散存儲等科技手段加強生物特征信息保護，提升風險技防能力。