今年以来，随着巨头对人脸支付支付的疯狂推广，人脸支付开始逐渐走进人们的生活，然而面对大规模商用落地的人脸支付场景，围绕着人脸识别的安全问题不断被推向舆论热点，如何规范地开展人脸支付？如何制定安全合规的人脸支付检测？

11月5日，由北京金融科技产业联盟、移动支付网联合主办的2019第四届中国移动金融安全大会在深圳召开，银行卡检测中心金融科技研究室主任李博文分享了《人脸识别支付技术合规要点》，对于人脸支付技术的检测要点进行了解读。

首先，他介绍了当下主流的生物识别技术，包括指纹识别、人脸识别、声纹识别、静脉识别、虹膜识别等。而无论是哪一种生物识别技术都是先从提取生物特征数据，然后再利用提取到的生物特征进行身份比对认证。因此，不同于其他认证方式，生物特征的价值属性不一样，对个人的信息保护要求更高。

其中人脸识别技术在支付领域的应用主要分为线上和线下，目前人脸识别识别线上支付使用开放的网络环境通过移动终端进行信息采集，仍存在诸多风险，尚不具备应用条件；而人脸识别线下支付技术相对已经成熟，具备应用条件。而人脸识别主要分为人脸验证（1：1）与人脸辨识（1：N），前者是作为认证因子，后者是作为用户标识。

其次，关于人脸识别线下支付的基本流程有几个主要的测试点，包括活体检测、终端安全、辨识算法和信息保护。其中活体检测用户判断人脸采集设备捕捉到的人脸图像是否来源于活体，包括用户无配合式活体检测；终端安全是终端从物理层面到软件层面对人脸识别安全的支持以及对PIN的安全保护；辨识算法决定了人脸识别的精度控制；信息保护则是人脸信息安全存储的关键。该部分测试依据的标准为《人脸识别线下支付安全应用技术规范（试行）》。

具体而言，关于活体检测的图像质量需要活检算法厂商集成，若无活检则由终端应用做图像质量判断，判断要点包括分辨率、角度、瞳间距、光照、完整、表情、清晰度等。关于活体检测的测试样本，需要包括二维纸质图像、电子图像、电子视频，三维面具、头套、头模以及真人测试。关于活体检测的测试场景，需要包括不同的光线、距离、角度等。关于活体检测的结果判定，在不考虑摄像头形态的标准下，基本级活检错误接受率要在1%以内，增强级的活检错误接受率则在0.1%以内。

在终端安全的要求上，李博文从技术要求、物理安全、逻辑安全、通讯安全、交易安全等5个方面进行了详细的说明，并对人脸识别终端进行了安全分级，包括是否有活体支持能力、是否有TEE/SE、是否支持PIN输入、是否满足UPTS2.0等等。

另外，在人脸识别算法方面，《人脸识别线下支付安全应用技术规范（试行）》也有着检测的指标，在万分之一误识率下的识别通过率为98.3%，十万分之一误识率下的识别通过率为98%。

据《个人金融信息保护技术规范》介绍，个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息。其中个人身份信息指个人基本信息、个人生物特征等信息，而个人生物特征信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等。

而根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。C1级别为机构内部的信息资产，C2级别可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及金融消费者用于金融产品与服务的关键信息。C3级别则用户身份鉴别信息，该类信息一旦遭到未经授权的查看或未经授权的变更，会对个人金融信息主体的信息安全与财产安全造成严重危害。

最后他总结了生物识别的原理缺陷和使用建议，缺陷表现在5个方面，包括生物特征识别的不准确性、生物识别不适用所有人、生物特征不是秘密、生物特征数据容易被复制、生物识别容易被骗过。因此他建议，生物识别技术的使用首先要指定技术规范标准，加强检测认证和安全分级体系；其次要采用多因子的认证方式，降低单一要素的风险；再者应使用安全性高的生物识别模块与算法，并不断优化提升；最后，对生物识别信息要采取加密保护措施，同时降低生物信息集中存储风险。