广西福利彩票官网:央行科技司司長李偉:冷靜看待生物識別技術 已遠超金融范疇

【摘要】技術是把雙刃劍,用戶體驗不斷提升的同時,技術防攻擊性和安全性所面臨的挑戰也越發嚴峻。如何在風險可控的前提下穩妥應用新技術,如何保障數據安全、信息安全、金融安全,正日益成為關注焦點。

  金評媒JPM  ·  2019-08-21 15:08
央行科技司司長李偉:冷靜看待生物識別技術 已遠超金融范疇 - 金評媒
來源: 新華網   

东方彩票官网 www.wzmud.icu 生物識別技術正迅速在各行各業推廣應用。

以人臉識別技術為例,公安、社保、醫療、教育、交通等領域紛紛試水:在線下,已延伸至監控安防、智慧醫療、智能家居等領域;在線上,智能手機解鎖、APP輔助登錄等應用也已深入人們的日常生活。

市場熱情推動了技術革新,尤其在我國——當前,中國的人臉識別技術已處于全球領先地位。美國國家標準與技術研究院(NIST)2018年底公布了有工業界黃金標準之稱的“全球人臉識別算法測試(FRVT)”結果,排名前五的算法全部被中國包攬。

但值得注意的是,技術是把雙刃劍,用戶體驗不斷提升的同時,技術防攻擊性和安全性所面臨的挑戰也越發嚴峻。如何在風險可控的前提下穩妥應用新技術,如何保障數據安全、信息安全、金融安全,正日益成為關注焦點。

中國人民銀行作為監管部門之一,對于新技術在金融領域的應用高度敏感,已于2018年10月出臺了《移動金融基于聲紋識別的安全應用技術規范》,并正在加快制定人臉識別、活體檢測、個人信息?;さ認喙乇曜?。然而,生物識別技術的應用與監管已遠超金融范疇,亟待加強頂層設計,完善相關法律法規,形成以《網絡安全法》和正在制定出臺過程中的《個人信息?;しā?、《數據安全法》為“骨架”,以諸多細則條款和相關標準為“血肉”的多維度、立體式監管體系,防止系統性風險發生。

線上線下差別監管

不可否認,人臉識別技術提升了金融服務的便捷性和普惠性,但同時也存在隱私泄露、算法漏洞、假體攻擊和活體攻擊等一系列風險。

由于安全性差別懸殊,線上和線下應用場景應予以謹慎區分。

在線下,刷臉支付技術已較為成熟,具備試點應用的基本條件。規范引導人臉識別技術在線下支付場景的應用,有助于滿足安全便捷支付服務的需求,提升現有受理環境資源使用效能,激發我國金融系統主動創新活力。但在線上,人臉識別支付仍存在諸多風險,暫不具備應用條件,若要應用推廣須采用可信執行環境(TEE)、安全單元(SE)等技術加強風險防控。

當前,市場上個別機構僅靠人臉特征判斷用戶身份,顯然存在一定的隱患?!噸泄嗣褚兄Ц督崴惆旆ā返謔盤豕娑?,銀行應依法維護用戶資金的自主支配權。在支付交易時,銀行卡交易需用戶提供實體卡片并輸入密碼,條碼支付需用戶打開手機APP并向商戶展示條碼,手機PAY需用戶主動喚起支付功能(如雙擊電源鍵)并驗證身份,這些方式均不同程度體現了用戶自主意愿。

與之相比,僅靠人臉特征識別未經用戶確認就直接完成支付交易,不能有效體現用戶主觀意愿和資金自主支配權,給不法分子“無感”盜取資金提供了“便利”,可能成為人臉支付資金風險的根源。

經過前期深入調查研究,結合行業實踐探索情況,目前來看,“人臉識別+支付口令”是兼顧安全與便捷的實現方式。因此,人臉支付推廣過程中可加強身份認證管理,建議綜合運用支付口令、活體檢測、數據標簽等實現多因素交易驗證,提高交易安全強度,提升支付交易抗抵賴能力。

下一步,人民銀行也將按照“聯網通用、安全可控、便捷友好、易于推廣”原則,探索利用密碼識別、隱私計算、數據標簽、模式識別等技術,突破1:N人臉辨識支付應用性能瓶頸,構建以人臉特征為路由標識的轉接清算模式;將人臉特征作為關聯支付賬戶的媒介,利用專用口令、“無感”活體檢測等實現交易驗證,使用戶無需額外攜帶外部介質即可完成支付交易,推動實現支付工具安全與便捷的統一。

挑戰不斷升級

由于生物識別信息終身不變、采集隱蔽、集中存儲,因此,安全上存在漏洞便貽害無窮。

2月,國內專注安防領域的人工智能企業“深網視界”發生大規模數據泄露事件,超過250萬人的數據可被獲取,有680萬條數據疑似泄露,包括身份證信息、人臉識別圖像、圖像拍攝地點等,嚴重威脅人民群眾的隱私和財產安全。

一方面,生物特征與人類生命相伴而生,如被非法竊取利用,基于此類生物特征的身份認證系統都可能被輕易繞過。

用戶生物特征普遍暴露在商場、旅館、飯店、街道等各種公共場所,不法分子可通過遠程、非接觸方式,在用戶本人毫無察覺的情況下“無聲無息”地非法批量采集生物特征信息。同時,在金融科技時代,生物特征數據存儲集中度越來越高,一旦熱點應用的生物特征庫被攻破,極易導致大規模隱私泄露,甚至引發系統性風險。

另一方面,攻擊手段不斷翻新,技防能力則顯得相形見絀。

生物識別技術持續快速發展,針對識別算法漏洞的攻擊手段也不斷翻新。早期,由于生物識別技術無法判斷識別對象是否為真實活體,偽造指紋、聲紋、人臉等生物特征的“假體攻擊”手段較為猖獗。為應對“假體攻擊”,基于3D結構光、TOF、紅外雙目攝像頭等的活體檢測技術應運而生,一定程度上緩解了假體攻擊的威脅。但不久又出現了針對活體檢測技術的視頻重放、立體面具等“活體攻擊”手段。

隨著人工智能、大數據等技術不斷發展演進,新型攻擊手段也不斷出現,迫使產業各方疲于應對,倒逼企業加大投入力度,持續升級算法能力和防偽技術,給生物識別技術安全應用帶來巨大挑戰。

建立多維度、立體式監管體系

當前矛盾在于,市場熱情高漲但尚缺一系列制度設計。應盡快完善相關法律法規并形成多維度、立體式的監管體系,多措并舉來推動新技術的健康、有序、長遠發展。

這其中,相關法律法規的出臺尤為重要,無法可依、無律可循是監管缺乏依據和抓手的核心問題。因此,當務之急是推進科學立法、嚴格執法,同時制定出臺兼具包容性、科學性、客觀性的規則和標準體系,從信息安全、消費者?;さ冉嵌讓魅芳喙莧ㄔ?,加強生物特征數據濫用、侵犯個人隱私等行為的管理和懲戒。

人民銀行高度重視生物識別信息?;?,在遵照現行法律法規與監管規則前提下,將“安全可控”作為生物識別技術金融應用底線,多管齊下積極推動生物識別技術在金融領域安全規范應用。

一方面,加快完善生物識別技術金融應用的監管規則,明確個人生物特征信息采集、傳輸、存儲、利用等環節的安全管理要求,為生物識別技術金融應用提供制度保障。

在監管措施上,探索建立金融科技創新產品管理機制、自聲明與備案制度,在一定范圍內先行驗證生物識別技術應用的可行性和合規性,及時發現并規避產品缺陷與風險隱患;

在標準規范上,堅持標準先行,逐步構建生物識別技術應用標準體系,去年10月發布《移動金融基于聲紋識別的安全應用技術規范》,下一步還將陸續出臺人臉識別、活體檢測、個人信息?;さ冉鶉諦幸倒娣?

在技術應用上,引導金融機構在風險可控前提下選取較為成熟、安全性高的生物識別技術穩妥開展金融應用。

另一方面,引導金融機構運用科技手段加強生物特征信息?;?,提升風險技防能力。

一是數據脫敏。在獲取用戶授權前提下采集用戶生物特征信息,利用標記化等技術對采集的生物特征原始信息進行脫敏處理,并將轉換后的信息加密,保障生物特征數據傳輸、存儲的安全性,實現用戶生物特征敏感信息的可靠?;?。

二是隱私計算。在不歸集、不共享原始數據前提下,完成對生物特征信息安全處理,僅向外提供脫敏后的計算結果,確保生物特征數據在使用、處理和流轉過程中不發生泄露,有效解決數據隱私?;ず透咝Т砹魍ㄖ淶拿?。

三是分散存儲。將用戶生物特征與姓名、電話等關聯性較高的敏感信息進行安全隔離、分散存儲,保證攻擊者無法通過部分數據推斷其他隱私信息,降低敏感數據集中存儲帶來的泄露風險。

但需要說明的是,新技術的發展和應用已遠超金融范疇,亟待頂層設計和各相關部門協同監管,讓創新成果實實在在惠及百姓民生。

來源: 新華網

上一篇文章                  下一篇文章
以上文字僅代表作者個人觀點,并不代表金評媒立場,禁止轉載。
作者的其他文章
評論:
    . 點擊排行
    . 隨機閱讀
    . 相關內容