刷脸支付被破解，“丢脸”怎么办？

图：李安执导电影《变脸》剧照

科技炫酷十足的刷脸支付正在火热普及，但万一“丢脸”怎么办，科技创新势必引来风险创新，值得探讨。

撰文|陈大柴

编辑|陈大柴

出品|支付百科

支付宝刚刚宣布未来3年投30亿普及刷脸技术，但没多久，就有一位来自某科技公司的王峻用以自己为原型的3D打印人头，花了10秒钟成功破解支付宝刷脸支付，购买了一张火车票，“算是世界上第一个破解支付宝的机器头吧，”他得意地说，并在微博上@了支付宝。

图：王峻与他的3D打印人头

对此，支付宝近日公开回应，支付宝刷脸系统使用了双重密码保护机制，再逼真的照片或3D模型，也不能随意进行刷脸支付，所谓双重密码机制是只有在输入了登录密码和支付密码的手机上，才能进行刷脸支付。

「支付百科」注意到，尽管这次破解刷脸技术只是个例，纯属当事人对自己支付宝账户实验，但不可否认的是，3D打印破解刷脸技术或许真的成盗刷的一个风险点。

当3D打印遇上刷脸支付

经典商业电影《碟中谍》中，主角伊森特工有一台黑科技工具箱，只要用工具对目标人物的脸扫描一下，就能通过3D打印快速生成一套目标人物的人脸面具，特工借此瞒天过海，骗取情报。

如今电影里的情节在现实中上演，当王峻拿着成本约5万元的3D打印人头面具遇到刷脸支付时，顺利骗过支付机构的人工智能技术，试想未来随着3D打印技术的改进和普及，成本就像电视机一样家家都有的话，那每个人手持多个3D打印头像，是不是就可以不用花一分钱，便能过好吃穿住行的一天呢？

这样从上面看刷脸支付看似存在风险，但市场看法却与之相左，7月26日，中国警察网微博发起的一则调研显示，有超过7成网友认为刷脸比密码更安全。

「支付百科」从公开资料中发现，在刷脸支付2017年试点以来，就伴随着各种安全测试，包括双胞胎、照片、整形整容、化妆等手段，目前主流刷脸支付技术已能应对上述手段的攻击，让盗刷的可能性场景进一步缩小。

但就目前技术情况来看，面对3D仿真打印，仅从技术角度分析，盗刷的风险应该还是存在的。用户在自己手机开通刷脸支付时，付款、转账无须输入支付密码即能完成，如果进入商场等场景进行终端刷脸消费，只需第一次输入手机号，之后便能直接支付，沿着这个逻辑，盗刷者只需获取其他人的手机号和3D打印头像，即可进行盗刷。

业内人士透露，目前手机号码泄露情况普遍，获取手机号码也不是什么难事，至于3D打印头像，未来技术能做到照片视频还原真人模型的可能性还是存在的。

鉴于盗刷风险，支付机构往往会设置一定的单笔交易限额，并承诺为极小概率的盗刷进行全额赔偿，例如支付宝刷脸支付单笔支付限额500元，单日支付限额1000元。

用户隐私也是一座大山

除了盗刷的风险，刷脸支付留下的脸部肖像隐私泄露也是一个不可回避问题。

刷脸技术在中国方兴未艾，但在美国和欧洲因隐私问题受到冷落。据报道，旧金山成为全美首个禁止政府使用人脸识别技术的城市，因为这项技术被指带有种族歧视以及侵犯个人隐私。

根据“支付宝刷脸付用户协议规定”，支付宝有权对用户的人脸信息做必要的处理，有权使用用户提供的脸部特征进行比对核验。

假如海量真人脸部图像信息被不良商家破解利用，那么一些电商终端就能依靠算法对用户进行精准分发化妆品、整容整形等广告信息，并且这些人脸信息采集成本低、针对性强，相较其他方式更易提升销售转化率。

此外，刷脸付不仅仅支付，还为商户提供强大的生态支持，比如会员识别功能，线下商户利用刷脸能够轻松快捷达到注册会员的效果，这能高效地为商户打造业务闭环，广告推送与信息管理有了更多的可能性。

隐私保护和风险在支付机构那边或可通过技术升级进行合理解决，但作为C端用户，随着刷脸支付的普及，可能未来随处都有设备对用户的脸部信息进行扫描收集，所以用户必须去衡量每一种新消费习惯的利弊，这可能是支付机构不愿意去想的，但关乎用户的切身利益。

全面商用道路上的阻碍

刷脸支付的全面商用有赖于商户和用户的接纳，目前看来，仍有约3成网友担心刷脸支付的安全问题，此外还有部分中小零售商户抱怨设备价格贵。

“刷脸设备成本较高，如果只是为了追求新的支付手段购买刷脸机器，实在没有多大意义。”某线下零售商户对「支付百科」说。

刷脸支付设备是一种主要用于人工收银台的即插即用支付设备，接上POS机后可代替原有的扫码枪或者扫码盒子进行扫码支付，同时还支持刷脸支付。

相比刷脸支付设备，扫码枪/盒与POS机成本就低很多。即便去打印店做一个二维码，也仅有几块钱成本，况且现在很多商户还可以免费获取支付机构的支付受理设备，一般具有扫码功能的主流POS机市场价格也在数百元的价位、智能POS也普遍在千元以下，而刷脸设备动辄上千，这让有些商户考虑到成本不得不有些顾虑。

尽管两大巨头都出台了补贴优惠政策，如“青蛙”激活就奖励500元，刷脸奖励为每笔0.5元，最高1000封顶，扣除所有奖励后到手价仅为499元，“蜻蜓”奖励政策为每张脸0.7元，最多返1200元，扣除奖励后到手价为799元，但对于夫妻店一类的小商户来说，假设能拿到所有奖励，安装一台“青蛙”和“蜻蜓”的成本仍要1298元，相比二维码和pos机的低成本，我们不得不对刷脸支付商用市场的下沉保持存疑。

刷脸付不能“丢脸”

《互联网金融创新蓝皮书：中国互联网金融创新与治理发展报告（2018）》指出，互联网支付创新业务、模式涌现，整个支付行业面临大洗牌，目前刷脸支付等新支付模式已大规模出现，这对行业可能是个新挑战。

支付宝2018年携蜻蜓一代打响刷脸支付第一枪后，微信也按捺不住开始着手布局，寡头的竞争有利于市场生态朝着更加良性的方向发展，比如促进刷脸支付技术的提升，更好地保障消费者和商户的利益。

回首移动支付上一个风口二维码支付的历程，从产生到封杀再到全面商用，前后大概花了五年时间，关于安全的忧虑也在那时出现过，而今天已无人再谈二维码技术问题，刷脸支付的出现开始将二维码推向移动支付的史册中。

二维码支付的全面商用主要功劳的确在微信和支付宝，但支付生态的搭建离不开监督与规范，业内专家表示，未来刷脸支付的全面商用进程中，必须加强对相关数据的监管和约束，需要公安部门、数据源提供部门和人脸识别技术提供公司共同努力。

今年7月13日，人民银行科技司司长李伟在第四届全球金融科技峰会上表示，“人脸是非常敏感的个人信息，一旦泄露或者被盗，会带来非常大的影响。”

刷脸支付作为一项连接支付机构、服务商、商户、用户的支付手段，需要来自多方的问责以促技术走向更加成熟化，没有人能阻挡得了支付技术的历史浪潮向前推进，支付机构和服务商更应该承担责任，坚持问题导向勇于变革，让刷脸支付全面商用具备更坚实的群众基础。

「支付百科」了解到，有关部门正在推进人脸识别领域相关监管标准的制定，以明确在这部分信息采集、传输、存储、利用等环节的安全管理要求。

3秒加星标，不再难找支付百科