生物识别技术的应用与监管亟待加强跨领域、跨部门的顶层设计

生物识别技术正迅速在各行各业推广应用。

以人脸识别技术为例，公安、社保、医疗、教育、交通等领域纷纷试水：在线下，已延伸至监控安防、智慧医疗、智能家居等领域；在线上，智能手机解锁、APP辅助登录等应用也已深入人们的日常生活。

市场热情推动了技术革新，尤其在我国——当前，中国的人脸识别技术已处于全球领先地位。美国国家标准与技术研究院（NIST）2018年底公布了有工业界黄金标准之称的“全球人脸识别算法测试（FRVT）”结果，排名前五的算法全部被中国包揽。

但值得注意的是，技术是把双刃剑，用户体验不断提升的同时，技术防攻击性和安全性所面临的挑战也越发严峻。如何在风险可控的前提下稳妥应用新技术，如何保障数据安全、信息安全、金融安全，正日益成为关注焦点。

中国人民银行作为监管部门之一，对于新技术在金融领域的应用高度敏感，已于2018年10月出台了《移动金融基于声纹识别的安全应用技术规范》，并正在加快制定人脸识别、活体检测、个人信息保护等相关标准。然而，生物识别技术的应用与监管已远超金融范畴，亟待加强顶层设计，完善相关法律法规，形成以《网络安全法》和正在制定出台过程中的《个人信息保护法》、《数据安全法》为“骨架”，以诸多细则条款和相关标准为“血肉”的多维度、立体式监管体系，防止系统性风险发生。

线上线下差别监管

不可否认，人脸识别技术提升了金融服务的便捷性和普惠性，但同时也存在隐私泄露、算法漏洞、假体攻击和活体攻击等一系列风险。

由于安全性差别悬殊，线上和线下应用场景应予以谨慎区分。

在线下，刷脸支付技术已较为成熟，具备试点应用的基本条件。规范引导人脸识别技术在线下支付场景的应用，有助于满足安全便捷支付服务的需求，提升现有受理环境资源使用效能，激发我国金融系统主动创新活力。但在线上，人脸识别支付仍存在诸多风险，暂不具备应用条件，若要应用推广须采用可信执行环境（TEE）、安全单元（SE）等技术加强风险防控。

当前，市场上个别机构仅靠人脸特征判断用户身份，显然存在一定的隐患。《中国人民银行支付结算办法》第十九条规定，银行应依法维护用户资金的自主支配权。在支付交易时，银行卡交易需用户提供实体卡片并输入密码，条码支付需用户打开手机APP并向商户展示条码，手机PAY需用户主动唤起支付功能（如双击电源键）并验证身份，这些方式均不同程度体现了用户自主意愿。

与之相比，仅靠人脸特征识别未经用户确认就直接完成支付交易，不能有效体现用户主观意愿和资金自主支配权，给不法分子“无感”盗取资金提供了“便利”，可能成为人脸支付资金风险的根源。

经过前期深入调查研究，结合行业实践探索情况，目前来看，“人脸识别+支付口令”是兼顾安全与便捷的实现方式。因此，人脸支付推广过程中可加强身份认证管理，建议综合运用支付口令、活体检测、数据标签等实现多因素交易验证，提高交易安全强度，提升支付交易抗抵赖能力。

下一步，人民银行也将按照“联网通用、安全可控、便捷友好、易于推广”原则，探索利用密码识别、隐私计算、数据标签、模式识别等技术，突破1：N人脸辨识支付应用性能瓶颈，构建以人脸特征为路由标识的转接清算模式；将人脸特征作为关联支付账户的媒介，利用专用口令、“无感”活体检测等实现交易验证，使用户无需额外携带外部介质即可完成支付交易，推动实现支付工具安全与便捷的统一。

挑战不断升级

由于生物识别信息终身不变、采集隐蔽、集中存储，因此，安全上存在漏洞便贻害无穷。

2月，国内专注安防领域的人工智能企业“深网视界”发生大规模数据泄露事件，超过250万人的数据可被获取，有680万条数据疑似泄露，包括身份证信息、人脸识别图像、图像拍摄地点等，严重威胁人民群众的隐私和财产安全。

一方面，生物特征与人类生命相伴而生，如被非法窃取利用，基于此类生物特征的身份认证系统都可能被轻易绕过。

用户生物特征普遍暴露在商场、旅馆、饭店、街道等各种公共场所，不法分子可通过远程、非接触方式，在用户本人毫无察觉的情况下“无声无息”地非法批量采集生物特征信息。同时，在金融科技时代，生物特征数据存储集中度越来越高，一旦热点应用的生物特征库被攻破，极易导致大规模隐私泄露，甚至引发系统性风险。

另一方面，攻击手段不断翻新，技防能力则显得相形见绌。

生物识别技术持续快速发展，针对识别算法漏洞的攻击手段也不断翻新。早期，由于生物识别技术无法判断识别对象是否为真实活体，伪造指纹、声纹、人脸等生物特征的“假体攻击”手段较为猖獗。为应对“假体攻击”，基于3D结构光、TOF、红外双目摄像头等的活体检测技术应运而生，一定程度上缓解了假体攻击的威胁。但不久又出现了针对活体检测技术的视频重放、立体面具等“活体攻击”手段。

随着人工智能、大数据等技术不断发展演进，新型攻击手段也不断出现，迫使产业各方疲于应对，倒逼企业加大投入力度，持续升级算法能力和防伪技术，给生物识别技术安全应用带来巨大挑战。

建立多维度、立体式监管体系

当前矛盾在于，市场热情高涨但尚缺一系列制度设计。应尽快完善相关法律法规并形成多维度、立体式的监管体系，多措并举来推动新技术的健康、有序、长远发展。

这其中，相关法律法规的出台尤为重要，无法可依、无律可循是监管缺乏依据和抓手的核心问题。因此，当务之急是推进科学立法、严格执法，同时制定出台兼具包容性、科学性、客观性的规则和标准体系，从信息安全、消费者保护等角度明确监管权责，加强生物特征数据滥用、侵犯个人隐私等行为的管理和惩戒。

人民银行高度重视生物识别信息保护，在遵照现行法律法规与监管规则前提下，将“安全可控”作为生物识别技术金融应用底线，多管齐下积极推动生物识别技术在金融领域安全规范应用。

一方面，加快完善生物识别技术金融应用的监管规则，明确个人生物特征信息采集、传输、存储、利用等环节的安全管理要求，为生物识别技术金融应用提供制度保障。

在监管措施上，探索建立金融科技创新产品管理机制、自声明与备案制度，在一定范围内先行验证生物识别技术应用的可行性和合规性，及时发现并规避产品缺陷与风险隐患；

在标准规范上，坚持标准先行，逐步构建生物识别技术应用标准体系，去年10月发布《移动金融基于声纹识别的安全应用技术规范》，下一步还将陆续出台人脸识别、活体检测、个人信息保护等金融行业规范；

在技术应用上，引导金融机构在风险可控前提下选取较为成熟、安全性高的生物识别技术稳妥开展金融应用。

另一方面，引导金融机构运用科技手段加强生物特征信息保护，提升风险技防能力。

一是数据脱敏。在获取用户授权前提下采集用户生物特征信息，利用标记化等技术对采集的生物特征原始信息进行脱敏处理，并将转换后的信息加密，保障生物特征数据传输、存储的安全性，实现用户生物特征敏感信息的可靠保护。

二是隐私计算。在不归集、不共享原始数据前提下，完成对生物特征信息安全处理，仅向外提供脱敏后的计算结果，确保生物特征数据在使用、处理和流转过程中不发生泄露，有效解决数据隐私保护和高效处理流通之间的矛盾。

三是分散存储。将用户生物特征与姓名、电话等关联性较高的敏感信息进行安全隔离、分散存储，保证攻击者无法通过部分数据推断其他隐私信息，降低敏感数据集中存储带来的泄露风险。

但需要说明的是，新技术的发展和应用已远超金融范畴，亟待顶层设计和各相关部门协同监管，让创新成果实实在在惠及百姓民生。