浅谈支付领域应用生物识别技术的机遇与风险

    随着生物识别技术的发展，识别手段日趋多样化，依照《支付信息保护技术规范》这一金融行业送审标准可见，指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹乃至人的步态和笔迹都可以作为个人生物特征。

    手机指纹验证、商超刷脸支付、语音识别登录，各行各业应用生物识别的场景，一时间犹如雨后春笋铺天盖地，这一新技术是迎合了广大民众的应用需求，亦或是潘多拉魔盒至此打开。

    结合笔者所在行业趋势，本文将针对性分析其在支付领域的应用机遇与潜在风险。

生物识别技术之所以能用作鉴别个人身份的识别要素，主要是因其基于个体生物学特征的唯一性决定。依照《非银行支付机构网络支付业务管理办法》规定，支付机构可以组合选用客户知晓的要素、客户拥有的要素和其生物特征，作为客户使用支付账户余额付款的交易进行验证的要素。依照《非银行支付机构支付业务设施技术要求》规定，主要网络设备和主机应用应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用动态口令、密码技术或生物技术来实现。

可见目前监管对于使用生物特征作为支付安全策略的鉴权要素是秉持宽容开放的态度。相比较其他验证要素，生物特征信息作为每个人随身最便捷的“携带品”，具备普惠性、唯一性和不可抵赖性，随着各项生物识别技术日臻成熟，各行各业推广是大势所趋。当年二维码作为支付工具，同样面临各方对其安全可靠性的质疑，如今也已深入人们的日常生活的方方面面。

诚如央行科技司司长李伟所言，技术是把双刃剑，用户体验不断提升的同时，技术防攻击性和安全性所面临的挑战也越发严峻。

生物特征作为每个人不可篡改、终生不变的要素，一旦被非法复制和冒用，无法如同静态密码重置或动态令牌更新，及时止损消减影响，一旦遭到未经授权的使用，会对支付等金融消费主体的个人信息安全与财产安全造成严重危害。基于其风险程度，支付领域将生物特征定义为高度敏感的支付信息，使用生物特征作为金融交易鉴别与授权信息的操作便利性，带来的是潜在风险程度的显著升高。因此如何在风险可控的前提下稳妥应用生物识别技术，是推广使用此项技术的必要门槛，也是决定人心所向的风向标。

笔者认为，因噎废食不发展新业务新技术固然不可取，如何全方位管控风险，制定相应可执行可落地的法律法规标准，同时提高准入门槛，加强防护措施才是当务之急。

早在2016年，《非银行支付机构网络支付业务管理办法》就规定支付机构采用客户本人生理特征作为验证要素的，应当符合国家、金融行业标准和相关信息安全管理要求，防止被非法存储、复制或重放，同时应当确保采用的要素相互独立，部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。《网络安全法》中，将公民个人生物识别信息纳入“个人信息”定义之中，所有个人信息均受到相关法律的保护。如何有效落实相关保护要求，笔者建议相应的准入制度需要先行，同时建立必要的检测认证机制，以改善蛮荒发展，允许试错的现状，在技术成熟基础上统一标准，再行推广和规模化使用。如果冒然进行规划和实行，未来可能会有在监管部门要求下被迫停止业务的风险。

01

通过立法手段规范市场行为。

• 通过制度和条件的约束，有法可依有章可循，确认何种生物识别技术满足国标要求，区分具体的场景和行业准入，确保其安全性的前提下考虑可用性。

• 目前各家行业监管机构皆有不同的指南标准政策出台，参差不齐未上升至法律层面，人脸识别、活体检测、指纹验证等相关标准皆停留在研究出台阶段，支付领域也仅在去年下半年出台针对声纹领域的《移动金融基于声纹识别的安全应用技术规范》，事实上生物识别技术的应用已远超监管范畴，亟待加强顶层设计，完善相关法律法规。此外增加行业准入门槛，也是为了国家安全考量。

02

尽快细分并制定保护措施

• 进行全生命周期的管控，重点关注采集、传输、存储、销毁等环节，尤其是加强各环节技术手段的防护措施，降低潜在的系统性风险因素。目前可见支付行业的各项规范，要求较为宽泛，尚未能出台相关实施细则。

• 仅从《支付信息保护技术规范》可见，对于生物特征的采集，标准建议应符合GB/T 29268.1-2012中第7章定义的数据采集要求；同时要求在采集环节，对于个人终端上存储的个人生物特征信息，其存储不应离开终端内部安全环境的范围，对于根据业务需要必须上传到服务器存储的生物信息，应使用单向不可逆摘要算法或高强度加密算法进行加密处理来提高安全强度；再如《信息安全技术 个人信息安全规范》规定，信息控制者存储个人生物识别信息时，应采用技术措施确保信息安全后再进行存储，例如将个人生物识别信息的原始信息和摘要分开存储，或仅存储摘要信息。可见相关规范均仅考虑存储单一场景，未有系统化的全局防护方案。

03

建立风险补偿机制

• 支付从业机构作为生物识别技术的运营者、推广者和场景受益人，应了解和熟知生物识别信息一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇，应充分意识到泄露生物识别信息对于个人信息主体带来的危害。

• 在强化保护措施的同时，应勇于为消费者衍生的信息泄露和资损风险兜底承担责任，譬如建立合理的风险补偿机制，适当引入市场机制，建构第三方保险共享风险，让消费者无忧，让从业机构安心，构建良性的应用场景生态。

04

遵循个人信息隐私保护要求，合规索权

• 生物识别信息不仅是个人信息而且属于个人敏感信息范畴，信息控制者不应公开披露此类信息。此外涉及使用个人生物特征信息的场景，应在隐私政策约束的基础上，再次明示告知用户并获得用户充分同意，并优先使用采取本地终端认证机制，让用户的授权充分有感知有依据；同时应专门提醒个人信息主体此次收集生物特征涉及的范围，并说明处理目的、处理规则，避免信息被过度使用。

• 以笔者所在公司为例，隐私政策已增加相应公示条款，“在您进行指纹支付时，需要使用您的指纹信息进行验证，我们不会采集您的指纹原图，您的指纹原图仅保存在您授权采集指纹的设备上。具体请详见您开通指纹支付时同意的《指纹服务协议》。如您不想通过指纹验证支付，仍可通过输入支付密码的方式进行支付。在您开启声音锁登录服务时，需要采集您的声音信息进行声纹验证，我们会严格保护所采集的原始声音和声纹信息，仅在您授权后加密存储在我们的服务器上。如您选择关闭声音锁等服务，我们将会按照您的选择删除服务器所存储的原始声音和声纹信息，具体请详见您开通声音锁时同意的《声音锁服务协议》。”

<iframe class="video_iframe rich_pages" data-vidtype="2" data-mpvid="wxv_1003460524232949762" data-cover="http%3A%2F%2Fmmbiz.qpic.cn%2Fmmbiz_jpg%2FPH0j3Qaxg7dJSttia9fIq1U5ziclK4O7g2Dp4gub3ENc6FaDtgyEL1K1gVBia38YMShjFfrlKFoUXXiaiaprcKpdiaKw%2F0%3Fwx_fmt%3Djpeg" allowfullscreen="" frameborder="0" data-ratio="0.5666666666666667" data-w="544" data-src="https://mp.weixin.qq.com/mp/readtemplate?t=pages/video_player_tmpl&action=mpvideo&auto=0&vid=wxv_1003460524232949762"></iframe>

• 值得探讨的是，部分从业机构将生物特征用作强依赖的身份识别方式，如需要通过人脸活体识别方能注册或注销账户，美其名曰提升身份验证的可靠性，依照《信息安全技术 移动互联网应用（App）收集个人信息基本规范》约束，网络支付类APP并不能将生物特征作为强制索取的最少必要信息，因而现阶段作为支付机构，将此信息作为认证身份的依赖操作看似合乎情理，但并不合乎法理，建议审慎考虑索权依据和隐私合规风险，保障消费者必要的选择权。

05

相关从业机构要具备同理心和前瞻思维

• 生物识别技术的规范性应用仅靠监管监督或头部企业的关注是远远不够的。2019年8月23日，支付宝发布《生物识别用户隐私与安全保护倡议》，呼吁从事该行业的科技企业加入进来，一起来规范和保护用户信息。倡议提到企业在采集用户生物信息时应遵循“最小、够用”的原则，防止被滥用。笔者认为为了确保行业的健康发展，生态圈内各个利益干系人都需要为保护用户隐私与信息安全有所作为。

                         

综上所述，笔者认为现阶段在准入机制、制度建设、保护措施尚未到位达标之际，不应把生物识别技术作为单一鉴别要素，应考虑通过不少于包含生物识别信息的两类因子，综合应用静态或动态口令、电子证书等多因素验证，强化个人的身份识别能力，兼顾安全性和便利性，提高各支付场景鉴证的安全强度，提升抗抵赖能力。在此风口浪尖，支付行业应当不惧怕新技术新业务带来的风险和挑战，牢牢把握生物识别技术的发展机遇，在拓展使用平台场景的同时，强化保护措施的技术研发能力和制度机制建设，善用人类这一与生俱来的瑰宝。

－更多精彩，请关注下方公众号－

    

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/