央行:人脸不应被视为唯一的交易验证因素 加强监督检查
在20日举办的金融网络安全论坛上,央行科技司司长李伟表示,在网络空间仅依靠人脸等单一特征进行金融交易验证,存在严重交易隐患。金融机构在相关交易时,人脸数据采集应提前告知用户信息使用的方式,明确获得客户授权。同时,不要简单地将人脸特征作为唯一的交易验证因素,须根据风险等级结合用户口令等其他因素进行多因素认证。
李伟表示,人脸属于弱隐私生物特征,信息误用风险比较大。现实生活中通常综合人脸、声音、体态等多个弱隐私特征来认识他人,不光看你的脸,还要听你的声音、看你的动作,综合判断你是谁,来认识一个人,这些特征普遍显露在外,往往容易通过远程非接触的方式,在本人豪无察觉的情况下无声无息的采集,当前这是难以避免的现象。但问题在于,部分机构高估了弱隐私特征的识别作用,在网络空间仅依靠单一特征进行金融交易验证,存在严重隐患。
李伟表示,对于人脸识别支付应用,由于在线开放网络环境存在诸多风险,应用条件不成熟,线下应用风险相对可控,基本满足试点应用条件,应遵循以下原则:
一是信息采集要坚持“用户授权、最小够用”原则。
人脸特征是一个重要的隐私。数据采集应提前通知信息使用,明确客户授权,避免与需求无关的特征采集,确保人脸特征采集的合理性和必要性。
二是支付交易要坚持表达意愿、多重认证的原则。
考虑到人脸识别过程安静,金融机构应严格执行消费者权益保护法,充分尊重用户的主观意愿,保护用户知情权、财产安全等合法权益,不得擅自发起交易,不得简单地将人脸特征作为唯一的交易验证因素,必须根据风险水平结合用户密码等因素进行多因素认证,平衡金融服务的安全和便利。
三是安全管理要坚持风险补偿、全过程保护的原则。
鉴于人脸识别高度依赖人工智能算法模型,攻防技术迭代升级,积极建立健全风险补偿基金、保险计划、应急处置风险补偿机制,综合利用各种信息技术,加强人脸特征信息端到端链安全保护,确保消费者资金和信息的安全。今后,中国人民银行将加强监督检查和安全评估。
本文由POS机办理中心整理,未经许可不允许任何形式的转载,本文唯一地址:https://www.cdkft.cn/xinwenzixun/27874.html,其他地址不完整的均为抄袭!POS机申请办理请添加客服微信号:shandianpos