生物識別技術現狀及對我國金融業發展的啟示

劉敏文

（中國人民銀行隴南市中心支行，甘肅 隴南 746000）

一、各類生物識別技術發展及在移動支付領域應用的基本情況

（一）應用情況

一是指紋識別應用率和接受度最高。指紋識別由于識別精準快速、使用便捷、接受度高等特點，廣泛應用于身份識別、支付驗證，是當前使用最普遍的生物識別技術。同時在銀聯云閃付、阿里支付寶、微信支付、翼支付等應用中指紋識別還替代傳統支付密碼及短信驗證碼，作為資金支付的驗證手段，提供了更好的用戶體驗。

二是人臉、聲紋、虹膜等技術應用也已取得突破。隨著智能終端硬件配置的提高，人臉、聲紋、虹膜識別技術已在金融業進入實用性階段，如用來輔助身份驗證和遠程身份核查等。但受制于安全性和接受度，因此還沒有在資金支付等高安全性場景中應用。

（二）發展前景

一是行業規模將大幅提高。據生物識別技術研究集團(BRGI)估算：2015年末，已經有6.5億人在移動設備上使用生物識別技術。預測到2018年，移動設備生物識別技術應用的行業規模將達到約90億美元。到2020年移動設備生物識別領域的全球收入將達450億美元，生物智能識別手機的用戶規模將從2015年的2億增加到20億，市場年復合增長率將達20.1%。

二是運用領域有望隨著智能手機普及得到進一步拓展。據BRGI估計，當前至少有四分之三的智能手機用戶沒有使用密碼保護其設備安全，隨著IT消費化發展，人們進行移動支付以及便攜設備辦公的需求日益增加，全球智能手機用戶數估計在2016年超過25億人；移動支付交易到2020年將達到7500億美元，用戶超過7億。

二、生物識別技術在我國移動支付應用存在的問題

（一）缺乏國家標準

《中國人民銀行關于改進個人銀行賬戶服務加強賬戶管理的通知》明確規定：“有條件的銀行可探索將生物特征識別技術和其他安全有效的技術手段作為核驗開戶申請人身份信息的輔助手段”。然而，由于缺乏統一的技術標準，各個終端廠家自成體系，無法互聯互通，移動終端廠商和應用開發商需要適配多套方案，增加制造和開發成本，一定程度上限制生物識別技術發展。同時，目前我國僅在人民銀行主導下制定了《金融服務生物特征識別安全框架》（GB/T27912-2011）基礎性框架。該標準僅適用于現金柜臺、鈔票分發和支票欺詐檢測等應用領域，對于各類生物識別技術在移動支付領域運用，特別是在核驗客戶身份及支付驗證等方面尚未建立統一的國家標準。

（二）安全性和準確率還有待驗證

盡管多種生物特征在金融領域已得到了實際應用，但其中有的生物特征是否真正具有獨占性且不受客觀因素（如年齡、疾病、生理變化等）影響還存在疑問。同時生物識別技術對智能終端硬件有一定要求，即使使用同一種生物識別技術，若智能終端的配置和性能較差，也難以有效采集生物特征。此外利用信息技術在對生物特征進行提取和采集時，其精度越高，在識別時耗費的資源和時間也就越長，通過率也會相應降低，因此有的技術廠商為了提高識別效率和減少誤報，降低了特征識別精度，雖然提高了用戶的體驗度，但卻存在無法精確對假體進行判斷的風險，最終可能導致身份驗證失效，從而威脅信息及資金安全。

（三）金融安全管控可能存在“黑盒”

生物識別核心技術和生物特征數據庫均由技術廠商掌握，金融機構自主開發的移動金融APP多數是從軟件層面調用生物識別技術接口，通過服務協議獲取生物特征識別的狀態，安全控制僅僅限于服務協議層面，沒有深度介入和掌控核心技術。因此生物識別的運作模式對于金融機構來說是“黑盒”，如果其硬件或配套軟件出現缺陷或漏洞被惡意利用，或生物特征在數據庫存儲、網絡傳輸中被盜取，攻擊者就可以執行某種身份欺騙攻擊，而移動金融APP無法有效解決其帶來的安全問題。此外有的金融應用采用的是國外的生物識別技術，如果無法了解其核心運作模式，其安全自主可控問題更為嚴重。

（四）缺乏國家層面的戰略布局和論證

生物識別特征對于金融客戶來說具有唯一性和不可更改性，其影響可能遠遠超出金融領域。而目前我國對生物識別特征數據庫管理缺乏國家層面的安全性、戰略性論證，特別是對生物識別數據泄露后可能在支付系統以外的經濟甚至國家安全領域的影響缺乏系統研究，更談不上建立科學可靠的事后應對預案。

三、中國金融支付應用生物識別技術的建議

（一）盡快出臺相應的國家標準和行業標準

2016年5月，由國家標準化委員會主管、工信部中國電子技術標準化研究院牽頭，正式成立移動設備生物特征識別國家標準工作組，吸收了國內外多家技術廠商和終端供應商，開始《信息技術——移動設備生物特征識別》國家標準的起草。建議人總行和金標委對生物識別技術進行科學論證，深入參與國家標準的起草和制定。同時還要吸收FIDO聯盟中國成員作為金融業生物識別技術標準制定的參與者，吸納產業聯盟現有技術標準中已經成熟和合理部分，并結合金融行業高度安全性、保密性以及隱私保護的特點，主導并牽頭對應用金融支付的生物識別技術制定要求更高、安全性更強的金融行業標準，促進國內技術環境與國際接軌，并把握相關標準制定的核心內容和話語權。

（二）加強生物識別技術在金融領域運用的管理

一是建立檢測認證機制。把好準入關口，建議通過國家標準強制要求各類生物識別技術方案在金融領域投入運用前必須經過專業機構的嚴格認證和審查，確保其有足夠的可靠性和安全性。二是健全風險管控機制。加大對風險和漏洞的監控和管理。強化自身應用軟件的健壯性，對金融信息進行加密等使其安全性不完全依賴生物識別技術，以此防范技術掌控方可能利用其技術優勢，在金融行業應用時預留后門，收集用戶隱私信息甚至用作他用。三是加強核心技術積累。通過直接購買、合作共同開發等方式將生物識別核心技術掌握在自己手中。

（三）打好生物特征數據庫管理運用基礎

建議深入研究生物特征數據庫對其他領域的影響，加強數據庫管理的戰略布局。深入研究生物特征數據庫在不同領域、不同供應商及不同國家之間互聯互通的可能性，為支持生物識別技術在全球金融及更廣領域運用打好基礎。依托金融業高安全、高可信的行業特點，建議總行牽頭探索建立金融行業全國生物特征數據庫進行整體管理，提升數據利用率，降低隱私泄漏風險，同時避免各自為戰、減少重復建設。