在20日舉辦的金融網(wǎng)絡(luò)安全論壇上�,央行科技司司長李偉表示,在網(wǎng)絡(luò)空間僅依靠人臉等單一特征進行金融交易驗證�����,存在嚴重交易隱患��。金融機構(gòu)在相關(guān)交易時�����,人臉數(shù)據(jù)采集應(yīng)提前告知用戶信息使用的方式���,明確獲得客戶授權(quán)�����。同時�����,不要簡單地將人臉特征作為唯一的交易驗證因素��,須根據(jù)風(fēng)險等級結(jié)合用戶口令等其他因素進行多因素認證�����。
李偉表示�,人臉屬于弱隱私生物特征���,信息誤用風(fēng)險比較大?����,F(xiàn)實生活中通常綜合人臉��、聲音����、體態(tài)等多個弱隱私特征來認識他人����,不光看你的臉,還要聽你的聲音��、看你的動作�����,綜合判斷你是誰,來認識一個人���,這些特征普遍顯露在外���,往往容易通過遠程非接觸的方式,在本人豪無察覺的情況下無聲無息的采集�����,當(dāng)前這是難以避免的現(xiàn)象��。但問題在于�����,部分機構(gòu)高估了弱隱私特征的識別作用�����,在網(wǎng)絡(luò)空間僅依靠單一特征進行金融交易驗證�,存在嚴重隱患
李偉表示,針對人臉識別支付應(yīng)用���,由于線上開放的網(wǎng)絡(luò)環(huán)境中存在諸多風(fēng)險��,應(yīng)用條件不成熟�����,而線下應(yīng)用風(fēng)險相對可控���,基本具備試點應(yīng)用的條件,應(yīng)遵循以下幾個原則:
一是信息采集要堅持“用戶授權(quán)�����、最小夠用”原則��。人臉特征是重要隱私���,數(shù)據(jù)采集應(yīng)提前告知信息使用方式,明確獲得客戶授權(quán)�����,避免與需求無關(guān)的特征采集��,確保人臉特征采集的合理性和必要性。
二是支付交易要堅持“表達意愿��、多重認證”原則����。考慮到人臉識別過程悄無聲息����,金融機構(gòu)要嚴格落實消費者權(quán)益保護法����,充分尊重用戶的主觀意愿,保護用戶的知情權(quán)�����、財產(chǎn)安全權(quán)等合法權(quán)益��,不得在用戶不知情、未授權(quán)的情況下擅自發(fā)起交易��,不要簡單地將人臉特征作為唯一的交易驗證因素�����,必須根據(jù)風(fēng)險等級結(jié)合用戶口令等其他因素進行多因素認證��,平衡好金融服務(wù)的安全與便捷。
三是安全管理要堅持“風(fēng)險補償�、全程防護”原則。鑒于人臉識別高度依賴人工智能算法模型�,攻防技術(shù)不斷迭代升級��,因此要主動建立健全風(fēng)險賠付資金�����、保險計劃��、應(yīng)急處置等風(fēng)險補償機制�,綜合運用多種信息技術(shù)�����,加強人臉特征信息端到端的全鏈條安全防護����,切實保障消費者資金與信息的安全���。
后續(xù),人民銀行將對此強化監(jiān)督檢查和安全評估工作���。(記者 汪子旭)
轉(zhuǎn)自:經(jīng)濟參考網(wǎng)
