北京时间9月13日凌晨，苹果发布了史上最强大的“刘海”，哦说错，是最强大的iPhone X，其slogan直接是“Hello，未来”。许多极客们都说，这是款属于未来的手机，现在苹果把它带到了2017。当然，本文不是来讨论爱疯叉有多牛叉，而是讨论自发布之后，极具争议的Face ID，特别是其与Apple Pay结合的人脸支付。

先来看关于iPhone X的完整视频，如果想了解Face ID，可以直接切到1分10秒，用Face ID做支付切到2分00秒。在知道Face ID是什么之后，我们开始来讨论Face ID以及人脸识别。

Face ID与其他人脸支付的不同

Face ID是基于面部识别技术的认证方式，首先用户需要开通该服务，将人脸信息存储在iPhone X当中，苹果称面部敏感信息并不会上传到服务器；开通之后，在解锁、支付中就可以使用Face ID。所以Face ID并不需要识别很多张脸，而只需要识别机主的人，或者其他授权的人即可。在一个私人设备上，完成一次个人生物特征的认证。

Face ID在支付当中使用时，其流程可为两种。

方法一，使用iPhone X靠近POS机，感应弹出Apple Pay界面并提示验证Face ID，然后“刷脸”完成支付。

方法二，双击iPhone X的侧边键调出Apple Pay界面，先验证Face ID(刷脸)，然后将手机靠近POS机完成支付。

那么其他人脸支付是怎样的呢？最近农行推出了“刷脸取款”，取款流程是：1)点击农行ATM右上角“刷脸取款”；2)按照操作规范，脸部对准摄像头；3)输入手机号或者身份证号；4)输入取款金额和密码；5)ATM吐钞，完成取款。在这个流程当中，用户需要接触农行的ATM公共设备，农行需要建立一个数据库，并储存用户的人脸信息。在取款时，ATM采集用户人脸信息并与数据库当中的千万张人脸比对，挑出唯一一张人脸之后，用户输入手机号码或身份证号码进行交易确认，最终完成提款。

最近支付宝在肯德基推出的刷脸支付与农行的刷脸取款也是同样的流程，都是需要提前将人脸信息存储在云端数据库，支付时千万张人脸认准用户，而后输入手机号码进行交易确认。

对比下来，Face ID的人脸认证是在手机中完成，不需要POS或其他外部设备的配合，按照苹果不收集人脸敏感的说法，Face ID也没有云端数据库，只是本地化的一次身份比对，基本属于1对1认证的方式。

而农行与支付宝的刷脸交易，用户则是需要与非个人设备进行交互，比如ATM机、点餐机，在输入手机号码或身份证号码之后，随时收集的人脸信息与数据库储存的信息比对。通过特定号码绑定人脸信息，交易时调出比对，其实质也是1对1的认证方式，但与Face ID最大区别是有数据库概念。

“刷脸”的问题讨论

在了解Face ID 1对1和刷脸取款N对1的两种不同人脸识别应用之后，仍然有许多问题值得讨论。

人脸做交易的争议。

首先是Face ID替代Touch ID的争议，对于支付行业来说，本次iPhone X的创新，最大争议便是人脸识别替代了指纹，作为Apple Pay的快捷认证方式。在安全性方面，苹果方面称，其误差率是百万分之一，比指纹的五万分之一提升了20倍。但是应用在支付体验上确是非常值得怀疑的，基于指纹的Apple Pay基本是一步到位，拿手机对着POS机指纹压Home键。而Face ID，无论用哪种方式，都需要两个步骤，照着自己的脸一下，然后对着POS照一下。Face ID的认证速度很快，但这仍然是两个步骤，支付体验上是一个问题。

另外，需要考虑支付失败的情况。在地铁支付时，如果出问题，乘客不断刷卡就行，只要不是卡出问题，那么多刷几次总是能过闸机的，这就是支付方式简单的好处，重复尝试所需要付出的时间和流程成本低。同样，简单的指纹版Apple Pay可以快速的重复尝试，而Face ID版的Apple Pay要来回于POS机与人脸。也许一次性支付对体验的感知不会太大，但是重复操作的话，体验的优劣便会成倍凸显。还有一种情况就是，苹果X对着POS机进行支付操作呼出Apple Pay界面之后，如果没有及时进行人脸认证呢？从POS唤起交易到用户完成人脸认证之间有多少的反应时间？

Face ID与Touch ID的Apple Pay最大的不同是，前者支付与人脸认证体验上是分离的，总不可能谁凑在POS机上刷脸吧，而后者支付与生物认证是可以同时完成的。另外，Face ID对空间也有要求，起码要有空间让你举着手机，对一些较为拥挤或者摇晃的场景可能支付失败，当然这样的支付场景是比较少了。值得一提的是，Apple Pay从指纹到人脸升级，与之合作的卡组织是否有要求重新认证呢？有知道的，可以留言。

对于农行的刷脸提款和支付宝的刷脸支付，优势是不需要带银行卡和手机，劣势是居然还需要输入手机号码，这个体验也是差到没边了。相比，回来看Face ID的人脸支付体验，真的是好到爆。

信息安全的争议。

无论是Face ID还是农行支付宝的刷脸交易，都存在着较大的安全争议，也略有不同，一种是本地认证，一种是云端认证，二者风险不同。一个更偏向于场景，另一个偏向于数据安全。

先说Face ID，按照苹果官方的说法，人脸信息不上传到云端，也就是苹果X储存的人脸信息，即使苹果人脸技术被攻破，只要不是大规模网络攻破，那泄露的信息也仅仅是单一用户信息，不会造成大规模人脸信息泄露，但是Face ID所面临的场景风险也会增加。来两张热图，诠释人脸的风险。

虽然是网络段子，但从目前苹果公布的Face ID的所有信息来说，这一切都是可以完美实现的。但是这些都有前提，一、手机不在机主手上。二、支付授信的权限发生改变，也就是在强迫的情况下发生的。通俗的来说，你连手机和自己的脸都管不好，那你还能怪苹果不成。不过，在国内两张图都不可能发生，因为在银联的要求之下，线下是有单次300的额度要求，线上快捷支付不同银行也有不同限额，一般是单笔5000到1万。如果你害怕此类情况发生，那么去网上银行调低快捷支付的额度也行。超过额度还是要逼你说出密码。

而泄露之后的相关责任，商业集体基本可以无责，因为用户没有管理好自己的个人信息导致盗刷，正如你泄露自己密码造成的盗刷一般，相信苹果对法律研究甚深，Face ID的用户协议会较为详细的免责声明。

相比Face ID，农行与支付宝的刷脸交易风险会更大，而且一旦发生泄露，可能是大规模的。在个人端的风险相对会较低，因为需要专业识别设备。在管理方安全的责任会非常巨大，首先是人脸终端的管理，ATM拥有较好的管理，但其他人脸收款终端，就需要加强管理了，在银行卡体系中，由于终端的管理不善，就会出现诸多盗刷事件，到了人脸支付的终端上，一旦管理不善，其危害将比银行卡终端危害大。

相比终端，更大的安全职责是云端服务器的安全。人脸是弱隐私特征，人们每天出门都要露出脸，但也正因为如此，人脸信息一旦泄露其危害也是非常巨大的，而且作为生物特性信息，一旦泄露就是终身泄露，除非毁容整容。值得一提的是，所谓的泄露不是单单人脸的泄露，而是人脸与个人信息相互关联的泄露，比如一个非授信的设备读取你的人脸之后，就可以获取你的身份证号、婚配情况、收入情况、就职信息、履历、喜好甚至更加隐秘的性取向、三围、大小长短等…说过了，反正人脸信息泄露是非常恐怖的，好不过分的说，一旦人脸信息泄露，人们就是集体裸奔，不经意的一个摄像头就可以读取你的人脸，获取你的信息。一则新闻说明：

如果这人脸识别系统不是警方的，那该多恐怖啊。

未来的一些影响

苹果用了人脸，就是世界用了人脸。苹果对新技术的推动能力是强大的，可以想象在此之后，未来的手机都将更多的推出人脸识别功能，而且从手机端辐射到其他终端，其他应用领域。那么对未来的个人和产业多有大影响呢？

对于个人，手机越来越成为隐私的象征。人脸是弱隐私性，让其他人随意可以获取你的人脸，比如拍个照、拍个视频。人脸难以保护的情况下，就要保护自己的手机了。再给个热图，感受下：

对于产业，人脸需要的安全技术需求增强。人脸信息需要保护，就需要不断更新信息安全保护技术，而在监管层，对于企业收集人脸信息的行为也会更加敏感，未来势必会推出更多细化的政策规划该市场。

最后是脑洞时间，看看段子手们怎么画苹果X。

由移动支付网、北京移动金融产业联盟联合主办的2017第二届移动金融安全大会将于11月15日在深圳举行，详情请咨询：

移动支付网 姜瑞林
手机/微信：18038063793  
邮箱: 3165126738@qq.com

议程详情见大会专栏：http://www.mpaypass.com.cn/MFSC2017/