AI换脸让刷脸支付不安全？支付宝：可能性极低

近日，换脸应用ZAO在朋友圈疯传，有人质疑AI换脸是否会让刷脸支付变得不安全？支付宝回应称，刷脸支付主要采用3D人脸识别技术，不用担心其安全性。

此前有媒体报道，有人用3D打印制作的蜡像人头成功骗过支付宝，那么刷脸支付很容易被盗用吗？支付宝安全事业部总裁芮雄文表示，可能性极低。

支付宝安全事业部总裁芮雄文。主办方供图。

8月28日，在2019年网络安全生态峰会期间，芮雄文在接受专访时对包括刷脸在内的生物支付安全性问题进行了解答。

在此次峰会上，支付宝宣布账户安全保障体系全面升级，每位用户均可一键免费领取账户安全险，最高可保500万。

3D人像最多只能突破自己账户，盗刷可能性极低

ZAO的爆红让人们开始担心，玩这个软件会不会导致自己的支付宝刷脸被冒充。支付宝表示，“不管怎么换，也不管换的有多‘逼真’，你都不用担心支付宝刷脸支付的安全性。”

支付宝进行回应。

支付宝回应称，在进行人脸识别前，会通过软硬件结合的方式进行检测，来判断采集到的人脸是否由照片、视频或者软件模拟生成，能有效地避免各种人脸伪造带来的身份冒用情况。

今年8月初，一个3D打印的公号发布了一个测试视频，在视频中，工作人员使用3D打印制作的蜡像人头，骗过支付宝的人脸识别系统，成功买到了一张火车票。

该文作者介绍，想要制作一个这样的蜡像人头首先需要使用高精度的3D扫描仪，对人进行扫描，得到三维数据；其次需要使用高精度的3D打印机，打印出人头的主体结构；然后需要精准地安放使用传统工艺制作的眼球；最重要的是需要人脸特征的毫米级还原，包括肤色的高度还原，达到栩栩如生的地步。

支付宝进行回应。

显然，这种逼真度极高的蜡像人头是非常不容易制作的。

芮雄文在专访中回应称，“如果花上10万、5万，做出一个非常逼真的3D模型，有没有可能突破？其实不管怎么突破，最多只能突破自己的账户。”在支付宝上实现刷脸支付功能只有在输入密码后才能开通。“靠3D模型来盗刷，第一要拿到用户的手机，第二要知道用户的密码，这种可能性极低，”芮雄文说。

他还强调，人脸识别涉及到人脸信息，“一是需要用户的知情和授权，而且在收集、传输、存储和利用上要非常非常小心。”

支付宝上的人脸数据是加密的，而且一张人脸一个密码。芮雄文解释道，“人脸的存储是跟别的信息完全隔离，所有信息都脱敏、加密过。”不可能在一个地方既找到某个人的密码，也找到Ta的人脸信息。

芮雄文表示，“这也是我们想要发布的行业规范。”8月23日，支付宝发布了国内首个“生物识别用户隐私与安全保护倡议”，“我们也想在行业中呼吁，大家把安全做好，这样更有利于新技术的推广”，他还说到。

支付宝发布了国内首个“生物识别用户隐私与安全保护倡议”。

据了解，生物识别技术主要包括识别人的指纹、人脸、声纹、虹膜、静脉等，其中人脸识别和指纹识别广泛应用于手机App支付领域。

账户安全险免费送，疑案先赔付

倡议中指出，企业应对采集到的生物信息进行加密存储来提高安全强度，也应明确和规范用户信息使用的目的及范围，避免信息被过度使用。而且，企业在采集用户生物信息时应遵循“最小、够用”的原则，防止被滥用。

“如果有人真的使用3D打印人像进行盗刷，支付宝是否会进行赔偿？”在此前报道中，作者提出了疑问。支付宝随后回应称，即便出现极小概率的盗刷事件，也能得到全额赔付，确保用户利益不受损失。

2011年，支付宝和保险公司推出“账户安全险”，一旦用户账户被盗，保险公司会对损失进行赔付，最高可保100万。相比之前需花几块钱不等，在2019网络安全生态峰会上，支付宝宣布，每位用户都可以一键免费领取账户安全险。

此前未投保的可获得100万保额，已付费投保的则可提额至500万，原本用户支付的保费由支付宝承担。用户上支付宝搜索“账户安全险”完成升级即可领到保单。

芮雄文介绍，此次账户安全险还扩大了赔付范围，包括收款码被替换、手机中木马病毒、手机丢失等，都提供赔付。并且，采用用户优先的赔付原则，对于责任不确定需要调查的案例，会先赔付给用户。

“以前我们做这个承诺的时候，其实是倒逼我们的能力提升。”芮雄文表示，以手机丢失场景为例，支付宝在探索通过用户的表现行为来判断是不是本人，比如拿手机的方式、按手机的指压等。他还透露，七、八年前有赔的挺多的时候，随着能力的提升，现在交易风险率是千万分之一。

同样被倒逼出来的还有别的能力，目前支付宝上有八成的交易决策是在端上完成，也就是用户手机，而不是越来越普及的云端存储。

芮雄文坦言，这都是被双11“逼出来”的。2017年，双11零点的峰值交易是一秒25万笔，“量是爆炸的”。不少用户提前十多天，就将心仪商品装进购物车，只待付款那一刻。在这种情况下，他开始思考，能不能再快一点。

2017年双11零点的成交额。

在他看来，端有自己的优点，比如速度快，省去了将数据送到云端再传回来的麻烦，此外，端对于用户的隐私保护也更为安全，而这，对于支付宝的技术能力提出了更高要求。芮雄文表示，在万物互联时代，这很可能成为一种趋势，即简单的计算在端上进行，复杂的计算在云上进行，端云相结合。

为这些能力实现提供技术支持的是支付宝的7大安全实验室，在峰会上也首度公开亮相。（李慧琪）

声明：本文来自隐私护卫队，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。