生物識(shí)別技術(shù)現(xiàn)狀及對(duì)我國金融業(yè)發(fā)展的啟示

劉敏文

（中國人民銀行隴南市中心支行，甘肅 隴南 746000）

一、各類生物識(shí)別技術(shù)發(fā)展及在移動(dòng)支付領(lǐng)域應(yīng)用的基本情況

（一）應(yīng)用情況

一是指紋識(shí)別應(yīng)用率和接受度最高。指紋識(shí)別由于識(shí)別精準(zhǔn)快速、使用便捷、接受度高等特點(diǎn)，廣泛應(yīng)用于身份識(shí)別、支付驗(yàn)證，是當(dāng)前使用最普遍的生物識(shí)別技術(shù)。同時(shí)在銀聯(lián)云閃付、阿里支付寶、微信支付、翼支付等應(yīng)用中指紋識(shí)別還替代傳統(tǒng)支付密碼及短信驗(yàn)證碼，作為資金支付的驗(yàn)證手段，提供了更好的用戶體驗(yàn)。

二是人臉、聲紋、虹膜等技術(shù)應(yīng)用也已取得突破。隨著智能終端硬件配置的提高，人臉、聲紋、虹膜識(shí)別技術(shù)已在金融業(yè)進(jìn)入實(shí)用性階段，如用來輔助身份驗(yàn)證和遠(yuǎn)程身份核查等。但受制于安全性和接受度，因此還沒有在資金支付等高安全性場景中應(yīng)用。

（二）發(fā)展前景

一是行業(yè)規(guī)模將大幅提高。據(jù)生物識(shí)別技術(shù)研究集團(tuán)(BRGI)估算：2015年末，已經(jīng)有6.5億人在移動(dòng)設(shè)備上使用生物識(shí)別技術(shù)。預(yù)測到2018年，移動(dòng)設(shè)備生物識(shí)別技術(shù)應(yīng)用的行業(yè)規(guī)模將達(dá)到約90億美元。到2020年移動(dòng)設(shè)備生物識(shí)別領(lǐng)域的全球收入將達(dá)450億美元，生物智能識(shí)別手機(jī)的用戶規(guī)模將從2015年的2億增加到20億，市場年復(fù)合增長率將達(dá)20.1%。

二是運(yùn)用領(lǐng)域有望隨著智能手機(jī)普及得到進(jìn)一步拓展。據(jù)BRGI估計(jì)，當(dāng)前至少有四分之三的智能手機(jī)用戶沒有使用密碼保護(hù)其設(shè)備安全，隨著IT消費(fèi)化發(fā)展，人們進(jìn)行移動(dòng)支付以及便攜設(shè)備辦公的需求日益增加，全球智能手機(jī)用戶數(shù)估計(jì)在2016年超過25億人；移動(dòng)支付交易到2020年將達(dá)到7500億美元，用戶超過7億。

二、生物識(shí)別技術(shù)在我國移動(dòng)支付應(yīng)用存在的問題

（一）缺乏國家標(biāo)準(zhǔn)

《中國人民銀行關(guān)于改進(jìn)個(gè)人銀行賬戶服務(wù)加強(qiáng)賬戶管理的通知》明確規(guī)定：“有條件的銀行可探索將生物特征識(shí)別技術(shù)和其他安全有效的技術(shù)手段作為核驗(yàn)開戶申請(qǐng)人身份信息的輔助手段”。然而，由于缺乏統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，各個(gè)終端廠家自成體系，無法互聯(lián)互通，移動(dòng)終端廠商和應(yīng)用開發(fā)商需要適配多套方案，增加制造和開發(fā)成本，一定程度上限制生物識(shí)別技術(shù)發(fā)展。同時(shí)，目前我國僅在人民銀行主導(dǎo)下制定了《金融服務(wù)生物特征識(shí)別安全框架》（GB/T27912-2011）基礎(chǔ)性框架。該標(biāo)準(zhǔn)僅適用于現(xiàn)金柜臺(tái)、鈔票分發(fā)和支票欺詐檢測等應(yīng)用領(lǐng)域，對(duì)于各類生物識(shí)別技術(shù)在移動(dòng)支付領(lǐng)域運(yùn)用，特別是在核驗(yàn)客戶身份及支付驗(yàn)證等方面尚未建立統(tǒng)一的國家標(biāo)準(zhǔn)。

（二）安全性和準(zhǔn)確率還有待驗(yàn)證

盡管多種生物特征在金融領(lǐng)域已得到了實(shí)際應(yīng)用，但其中有的生物特征是否真正具有獨(dú)占性且不受客觀因素（如年齡、疾病、生理變化等）影響還存在疑問。同時(shí)生物識(shí)別技術(shù)對(duì)智能終端硬件有一定要求，即使使用同一種生物識(shí)別技術(shù)，若智能終端的配置和性能較差，也難以有效采集生物特征。此外利用信息技術(shù)在對(duì)生物特征進(jìn)行提取和采集時(shí)，其精度越高，在識(shí)別時(shí)耗費(fèi)的資源和時(shí)間也就越長，通過率也會(huì)相應(yīng)降低，因此有的技術(shù)廠商為了提高識(shí)別效率和減少誤報(bào)，降低了特征識(shí)別精度，雖然提高了用戶的體驗(yàn)度，但卻存在無法精確對(duì)假體進(jìn)行判斷的風(fēng)險(xiǎn)，最終可能導(dǎo)致身份驗(yàn)證失效，從而威脅信息及資金安全。

（三）金融安全管控可能存在“黑盒”

生物識(shí)別核心技術(shù)和生物特征數(shù)據(jù)庫均由技術(shù)廠商掌握，金融機(jī)構(gòu)自主開發(fā)的移動(dòng)金融APP多數(shù)是從軟件層面調(diào)用生物識(shí)別技術(shù)接口，通過服務(wù)協(xié)議獲取生物特征識(shí)別的狀態(tài)，安全控制僅僅限于服務(wù)協(xié)議層面，沒有深度介入和掌控核心技術(shù)。因此生物識(shí)別的運(yùn)作模式對(duì)于金融機(jī)構(gòu)來說是“黑盒”，如果其硬件或配套軟件出現(xiàn)缺陷或漏洞被惡意利用，或生物特征在數(shù)據(jù)庫存儲(chǔ)、網(wǎng)絡(luò)傳輸中被盜取，攻擊者就可以執(zhí)行某種身份欺騙攻擊，而移動(dòng)金融APP無法有效解決其帶來的安全問題。此外有的金融應(yīng)用采用的是國外的生物識(shí)別技術(shù)，如果無法了解其核心運(yùn)作模式，其安全自主可控問題更為嚴(yán)重。

（四）缺乏國家層面的戰(zhàn)略布局和論證

生物識(shí)別特征對(duì)于金融客戶來說具有唯一性和不可更改性，其影響可能遠(yuǎn)遠(yuǎn)超出金融領(lǐng)域。而目前我國對(duì)生物識(shí)別特征數(shù)據(jù)庫管理缺乏國家層面的安全性、戰(zhàn)略性論證，特別是對(duì)生物識(shí)別數(shù)據(jù)泄露后可能在支付系統(tǒng)以外的經(jīng)濟(jì)甚至國家安全領(lǐng)域的影響缺乏系統(tǒng)研究，更談不上建立科學(xué)可靠的事后應(yīng)對(duì)預(yù)案。

三、中國金融支付應(yīng)用生物識(shí)別技術(shù)的建議

（一）盡快出臺(tái)相應(yīng)的國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)

2016年5月，由國家標(biāo)準(zhǔn)化委員會(huì)主管、工信部中國電子技術(shù)標(biāo)準(zhǔn)化研究院牽頭，正式成立移動(dòng)設(shè)備生物特征識(shí)別國家標(biāo)準(zhǔn)工作組，吸收了國內(nèi)外多家技術(shù)廠商和終端供應(yīng)商，開始《信息技術(shù)——移動(dòng)設(shè)備生物特征識(shí)別》國家標(biāo)準(zhǔn)的起草。建議人總行和金標(biāo)委對(duì)生物識(shí)別技術(shù)進(jìn)行科學(xué)論證，深入?yún)⑴c國家標(biāo)準(zhǔn)的起草和制定。同時(shí)還要吸收FIDO聯(lián)盟中國成員作為金融業(yè)生物識(shí)別技術(shù)標(biāo)準(zhǔn)制定的參與者，吸納產(chǎn)業(yè)聯(lián)盟現(xiàn)有技術(shù)標(biāo)準(zhǔn)中已經(jīng)成熟和合理部分，并結(jié)合金融行業(yè)高度安全性、保密性以及隱私保護(hù)的特點(diǎn)，主導(dǎo)并牽頭對(duì)應(yīng)用金融支付的生物識(shí)別技術(shù)制定要求更高、安全性更強(qiáng)的金融行業(yè)標(biāo)準(zhǔn)，促進(jìn)國內(nèi)技術(shù)環(huán)境與國際接軌，并把握相關(guān)標(biāo)準(zhǔn)制定的核心內(nèi)容和話語權(quán)。

（二）加強(qiáng)生物識(shí)別技術(shù)在金融領(lǐng)域運(yùn)用的管理

一是建立檢測認(rèn)證機(jī)制。把好準(zhǔn)入關(guān)口，建議通過國家標(biāo)準(zhǔn)強(qiáng)制要求各類生物識(shí)別技術(shù)方案在金融領(lǐng)域投入運(yùn)用前必須經(jīng)過專業(yè)機(jī)構(gòu)的嚴(yán)格認(rèn)證和審查，確保其有足夠的可靠性和安全性。二是健全風(fēng)險(xiǎn)管控機(jī)制。加大對(duì)風(fēng)險(xiǎn)和漏洞的監(jiān)控和管理。強(qiáng)化自身應(yīng)用軟件的健壯性，對(duì)金融信息進(jìn)行加密等使其安全性不完全依賴生物識(shí)別技術(shù)，以此防范技術(shù)掌控方可能利用其技術(shù)優(yōu)勢，在金融行業(yè)應(yīng)用時(shí)預(yù)留后門，收集用戶隱私信息甚至用作他用。三是加強(qiáng)核心技術(shù)積累。通過直接購買、合作共同開發(fā)等方式將生物識(shí)別核心技術(shù)掌握在自己手中。

（三）打好生物特征數(shù)據(jù)庫管理運(yùn)用基礎(chǔ)

建議深入研究生物特征數(shù)據(jù)庫對(duì)其他領(lǐng)域的影響，加強(qiáng)數(shù)據(jù)庫管理的戰(zhàn)略布局。深入研究生物特征數(shù)據(jù)庫在不同領(lǐng)域、不同供應(yīng)商及不同國家之間互聯(lián)互通的可能性，為支持生物識(shí)別技術(shù)在全球金融及更廣領(lǐng)域運(yùn)用打好基礎(chǔ)。依托金融業(yè)高安全、高可信的行業(yè)特點(diǎn)，建議總行牽頭探索建立金融行業(yè)全國生物特征數(shù)據(jù)庫進(jìn)行整體管理，提升數(shù)據(jù)利用率，降低隱私泄漏風(fēng)險(xiǎn)，同時(shí)避免各自為戰(zhàn)、減少重復(fù)建設(shè)。