近年来,刷脸支付在零售、线上等场景中有着越来越广泛的应用,但对于人脸识别的精确度与安全性,一直引发不少人的担忧。11月19日,北京商报记者在国家知识产权局网站注意到,支付宝(杭州)信息技术有限公司公布一项名为“被动刷脸行为检测方法、装置及电子设备”的专利,可以识别用户不知情情况下的被动刷脸行为。在业内人士看来,这对于目前刷脸支付存在的不足起到了纠偏作用,而在后续,仍需完善隐私保护的安全体系。
多项新专利推出
提升刷脸安全性
支付宝的该项专利说明书显示,当前,行业内存在被动刷脸行为,即由第三人持有用户设备,在用户不知情的情况下完成该用户的刷脸验证行为,此类手段容易使用户产生资损或其他损失。该发明能够通过分析用户的刷脸行为识别被动刷脸风险,避免用户因被动刷脸而产生损失。
具体来看,其检测方法包括三步:获取目标移动终端在刷脸行为过程中的姿态特征数据;将该数据输入预先训练的姿态识别模型,得到所对应的刷脸行为类别;基于行为类别,确定是否为被动刷脸行为。
简单来说,该专利可以用来鉴定刷脸行为是否为自愿发生、会不会有盗刷行为。支付宝方面对北京商报记者表示,“这是一个提升刷脸支付安全性的技术改进。支付宝在安全领域每年都有大量的专利申请,以保障用户安全”。
正如支付宝所述,这项技术不仅对人脸识别精确度有一定的提升,更对刷脸支付安全性提供帮助。易观分析金融行业高级咨询顾问苏筱芮进一步解释,本次专利开展的分析检测可以集成在用户终端内,而不需要额外设备,防止终端设备对持有者的偷拍行为,涵盖第三人持有用户手机对机主进行偷拍,以及手机内其他“流氓应用”对机主进行偷拍等行为。从过往情况来看,设备对设备主的偷拍行为相较于他人的偷拍行为更隐蔽,也更具危害性,以往需藉由系统层面的隐私防护手段予以防护。而在系统本身防护不力的情况下,设备主往往束手无策,而本专利则无需依赖系统,填补了相关领域的空白。
“该项专利技术对刷脸安全和强制刷脸行为有很好的纠偏作用,能够感知刷脸系统是否超范围获取用户脸部数据。”浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林评价。不过,专利的有效性需要在应用实践中确定。
北京商报记者注意到,不仅是支付宝,在提升刷脸安全性上,类似专利技术不断涌现。就在11月17日,中国建设银行股份有限公司同样公布“一种人脸识别处理方法和装置”。
专利摘要显示,该方法的具体实施方式包括:接收人脸采集接口采集的原始人脸图像,将原始人脸图像输入预设颜色模型中,得到每个像素点的色调值和亮度值;确定色调值位于预设色调范围内且亮度值位于预设亮度范围内的像素点集合,得到原始人脸图像中的肤色区域,对肤色区域做审核处理;通过审核,调用预设人脸检测模型识别原始人脸图像中的人脸是否完整,响应于识别结果为完整,将原始人脸图像传输至人脸识别接口进行处理。
“该实施方式加入人脸图像评估环节,评估通过后再将人脸图像发送到脸库做识别处理,以增加脸库识别成功率、提高用户刷脸支付体验。”建设银行表示。
优化识别流程
严守用户隐私
随着支付技术与设备的不断革新,以刷脸支付为代表,人脸识别在各个商业领域有着广泛的应用,也带来了许多隐忧。例如,人脸识别偏差、被动非自愿刷脸等,给用户使用刷脸支付带来了不小困扰。
在业内人士普遍看来,刷脸支付具有便捷性与灵活性,但也存在着不足。盘和林表示,刷脸支付当前最大的缺陷体现在两个方面:其一是刷脸存在安全问题,刷脸验证方可能过度获取用户信息,侵犯用户隐私,而对数据的保护又“形同虚设”,导致相关数据流失;又或者刷脸技术不过关,会被虚拟图像、AI等技术绕过验证。其二是刷脸技术存在强制刷脸、被动刷脸的情况,在用户不知情的情况下获取用户脸部数据。
博通咨询首席分析师王蓬博补充到,如何识别交易链条过程中的风险、如何在识别风险之后及时断开、交易后个人信息的保存与使用,都是值得注意的问题。
刷脸支付技术不断改进,也正是为了解决刷脸支付出现的风险。一名支付机构技术人员对北京商报记者表示,针对各类问题,一直在做技术研发。例如,结合大数据、隐私计算等手段,现在的模型已经可以识别“屏幕中的人脸”,或是戴着头套、闭眼等情况下的被动刷脸。“对于刷脸精确度的提升是一个不断攻防的过程。”这名技术人员说道。
也正由于刷脸支付“识别人体生物信息”的特殊性,现阶段的技术不足对各支付公司提出了更高的要求。“在优化刷脸支付安全要求,保障用户隐私领域,支付公司需在科技领域加大研发力度,针对被动刷脸的特征进行提炼,不断提升刷脸支付效率与精确度。”苏筱芮表示。
在盘和林看来,支付公司首先要提高刷脸验证技术,更要严格遵守个人信息保护法规,比如征得用户同意授权,对用户刷脸数据采取最小取得原则。最后,刷脸要和其他技术结合应用,不能靠单一刷脸来完成验证。
王蓬博同时指出,目前来看,刷脸支付的效率较高,支付时效性、依照模型识别人脸轮廓等技术都已成熟,但还需完善从识别意愿到信息保护的一整套系统流程,配合监管规范,进而在用户端形成共识。
(责任编辑:柯晓霁)