继条码支付的大范围普及之后,生物识别黑科技正引领金融支付行业步入全新的机遇发展期。从全球支付市场来看,中国的人脸支付、指纹支付发展最为迅速,接受度和应用范围最为广泛,相比之下,欧美国家由于信用卡支付发展迅速、用户支付习惯普遍保守、信息保护监管等多种因素影响,生物识别等创新支付方式的发展总体缓慢。但基于欧美发达国家科技和金融整体处于世界领先水平,近年来也有科技公司在生物识别与支付的结合方面进行了很多大胆尝试。

科技引领金融,未来更多的人脸、声纹、指纹、掌纹、虹膜、静脉等生物识别新技术将继续为数字支付发展提供更多想象空间。为进一步探讨海外生物识别在支付领域的应用情况,我们对海外生物识别支付技术实践进行深入分析,并结合海外生物识别的支付安全问题,总结提出有关趋势建议。

一、海外生物识别支付应用实践

不可否认的是,生物识别支付在快速安全身份认证和提升支付效率方面正在发挥着重要的辅助作用。鉴于现阶段6种核心生物识别技术特点差异较大,其与支付行业的结合应用也各有不同,其中,人脸支付和指纹支付的应用范围最广,掌纹支付在精确度方面高于人脸和指纹,声纹支付的应用最为少见,虹膜支付精确度、稳定性、可升级性最高,发展潜力最大。

1. 人脸支付:打通消费场景支付的重要渠道

在应用于移动支付之前,人脸识别技术最早应用的领域是动态安检和考勤,相比传统卡基支付和条码支付,以人脸支付为代表的支付黑科技对解决不同支付场景的身份验证问题有重要意义。一方面,可以有效打通电子支付与传统卡基支付的边界,提高移动支付效率;另一方面,帮助消费者摆脱智能手机的束缚,降低消费场景门槛,释放更多场景的消费需求。从全球数字支付发展来看,国外人脸支付技术并没有达到我国的普及程度,现阶段我国在零售、餐饮、商超、医疗、酒店旅游等支付场景的人脸支付技术和应用,位居全球首位。但近年来SnapPay,Google等海外互联网科技公司也在加速推出人脸支付系统,为B端消费场景支付提供更多可能。

SnapPay加拿大人脸支付服务商

1.1应用实践:2019年10月,SnapPay宣布向北美商家提供面部识别支付系统,用于零售支付场景。面部识别是SnapPay支付平台的一项新功能:一是消费者在结帐过程中使用合格的数字快照进行数字支付;二是有助于商家节省结账时间,为打造更多自助结账渠道提供可能,帮助商家自主选择人脸支付方式。

1.2技术特点:一是在硬件上应用红外双目摄像头或3D结构光/TOF相机进行人脸图像采集,二是在通讯设施上使用4G乃至5G网络作为云服务基础,三是将采集的人脸图像特征与数据库中的特征模版进行搜索匹配,最后,当匹配度超过预先设置的阀值,则匹配成功,完成转账支付全流程。

图1 SnapPay人脸支付流程示意图

来源:网络公开资料,京东数字科技研究院整理

1.3竞争优势:(1)SnapPay与全球知名ERP系统供应商 SAP 和 JD Edw- ards合作紧密,SnapPay通过与ERP系统无缝对接,可以有效提高企业运营效率。(2)SnapPay运用区块链技术加密用户信息,搭建起完善的安全保障系统。(3)SnapPay刷脸支付系统通过对敏感数据的通证化(Tokeniz- ed)和加密化(Encrypted),其安全技术也通过了PCIPA-DSS认证有效保障支付安全性。

1.4监管背景:加拿大是全球第三方支付平台监管最严格的国家之一。加拿大政府对于第三方支付平台制定了严格的监管政策,包括针对金融科技公司的监管沙盒,即金融科技公司可以在“安全空间”内测试创新型金融产品。此类监管科技可以有效保障金融科技在合规的环境下保留更多创新空间,同时也防止风险外溢现象的发生。

2. 指纹支付:使用最为广泛的支付认证方式之一

与传统密码相比,指纹特征更难被破译。因此,指纹识别逐渐发展成为使用最为广泛的安全认证方式,也是在移动支付领域应用最为广泛的技术之一。从技术角度来说,指纹识别主要分为三种:电容式、光学式和超声波式。目前,手机所搭载的指纹识别芯片大多数是电容式指纹传感器,通过采集的指纹与指纹库中的样本进行比对后,最终确定信息进行支付。

指纹支付服务商Nuggets

2.1应用实践:Nuggets打造一个基于区块链技术将数据归还给用户的电商支付和身份验证平台;对个人信息加密后存储于用户设备本地,消费者只需通过验证其生物特征(例如:指纹)进行身份验证。目前,Nuggets指纹识别产品已与英国金融行为监管局(FCA)完成测试,在英国、中国、印度三个国家同步推广。

2.2技术特点:Nuggets通过区块链技术,将由用户个人的生物特征所构建而成的数字身份存储在只属于个人的数据云中,其他人(包括Nuggets)均无权访问,电商不再需要建立中心数据库储存用户的加密信息。

图2 Nuggets指纹支付流程示意图

来源:网络公开资料,京东数字科技研究院整理

2.3竞争优势:Nuggets将指纹支付与区块链结合,实现数据去中心化。一方面,可以真正实现个人用户无缝的网购体验,另一方面,可以减少企业用户建立、维护数据库的成本。此外,Nuggets运用区块链技术取代传统数据库,真正实现了对用户隐私的保护,增强支付安全性。

3. 声纹支付:安全性争议最大的支付黑科技

现阶段声纹识别技术在支付领域的应用主要基于声纹的无光线依赖、无接触、不易仿冒、侵犯性较低等天然优势,但也比较少见,其主要应用于智能音响等身份安全性要求并不太高的场景。主要原因是:其一,声纹识别系统受用户发声时状态影响较大,如人的身体状态、情绪波动等,都会影响声纹识别的准确性。其二,声纹识别系统容易受环境干扰,环境的嘈杂程度,采音传音设备都会在一定程度上对识别系统进行干扰。

全球最大语音识别技术研发公司Nuance

3.1应用实践:2015年,荷兰国际集团借助Nuance的声纹验证技术实现支付,主要通过声纹验证替代PIN码及密码提供移动银行支付体验。

3.2技术特点:Nuance拥有其独特的自动语音识别(ASR)技术,其Nuan ce Recognizer技术具有业界最高的识别准确率。此外,Recognizer技术支持VoiceXML、EMMA、SRGS、SISR、NLSML和 MRCPv2 等新兴和公认的标准。

图3 声纹支付流程示意图

来源:网络公开资料,京东数字科技研究院整理

3.3竞争优势:全球80%以上的语音识别都用过Nuance识别引擎技术,

Nuance为苹果、亚马逊、三星、诺基亚等科技巨头提供过语音技术解决方案,支持全球50种语言,有近20亿用户。

3.4支付安全:目前声纹支付的安全性存在很大争议。一方面,相比面部识别、指纹识别,声纹识别具有动态性强的优势,每个人的说话习惯和发音方式都难以被模仿。另一方面,声纹识别对于硬件要求较高,需要较为精密的收音、传音设备,安全性优势门槛较高,难以同时兼顾安全性和便捷性。

3.5监管背景:在全球范围内,声纹识别技术以 VXML standards、MRC- Pv2 protocol 等认证标准为主。

4. 掌纹支付:比指纹和人脸精确50倍的支付方式

掌纹识别作为近几年提出的一种较新的生物特征识别技术,被认为是继指纹识别、人脸识别之外的下一个身份验证想象空间,有望实现比面部和指纹识别度高数百倍的精确度。

掌纹识别服务商Redrock Biometrics

4.1应用实践:Redrock Biometrics是一家位于旧金山的初创公司,主要产品PalmID是首个基于掌纹的非接触性生物特征解决方案,目前已与银行、支付、医疗和企业安全领域的十几家企业签订许可协议,包括Wells-Fargo、Mastercard、NCR、Imprivata、Samsung SDS 等国际知名企业。

4.2技术特点:(1)在手掌与手机、电脑、ATM机等终端设备在距离镜头15厘米以内捕捉掌纹,存储为RGB格式视频。(2)PalmID识别模块将RGB视频转化成为可以用于授权密码的掌纹图像。(3)PalmID匹配模块,运用专利矩阵技术,通过远程数据或本地数据进行掌纹特征匹配。

图4 掌纹支付流程示意图

来源:网络公开资料,京东数字科技研究院整理

4.3竞争优势:(1)使用方便。手掌无需与设备接触进行匹配。(2)兼容性强。可以与任意摄像头进行无缝兼容,无需加装其他硬件设备。(3)精准度高。掌纹相比指纹、人脸等其他生物特征更具有独特性,即使是双胞胎也可以通过掌纹进行精准识别。(4)安全性强。掌纹的高度特殊性使其难以被复制和破译。

4.4支付安全:据 Redrock Biometrics的报告显示,掌纹识别的破译难度是面部识别的20倍以上。PalmID掌纹匹配系统不仅可以将用户掌纹特征与本地数据库匹配,还可通过云服务与远程数据库对比,保障支付安全。

4.5监管背景:截至2018年底,美国伊利诺伊州、得克萨斯州、华盛顿州均出台了生物识别隐私监管法规。目前,阿拉斯加州、康涅狄格州、亚利桑那州、加利福尼亚州、马萨诸塞州和新罕布什尔州等州政府也在考虑颁布相关的生物识别隐私监管法规。

5. 静脉支付:与指纹结合打造双保险

静脉识别技术的应用主要是通过扫描手掌和手指中的静脉血管纹路进行身份验证,是目前精确度最高的一项成熟生物识别技术,现阶段静脉将与指纹识别一同成为支付身份认证的重要方式。主要源于以下3方面原因:一是错误率低于千万分之八;二是人体静脉特征几乎不可复制;三是精准度受外界环境干扰程度极低。

身份识别技术开发商Sthaler

5.1应用实践:Sthaler 2012年在英国成立,2017年开发了一款运用静脉识别技术的支付产品FingoPay,在英国伦敦布鲁内尔大学率先应用,目前也已与Visa和Worldpay绑定应用。

5.2技术特点:静脉支付终端是一个传感器用于扫描手指,此时位于手指下方的近红外光扫描仪就会开始采集用户手指的静脉,扫描区域大约为成年人食指下方的底部关节到手指尖,传感器通过扫描手指血管内的血红蛋白细胞构建可识别的静脉图像,并与数据库内的特征进行比对。

图5 静脉支付流程示意图

来源:网络公开资料,京东数字科技研究院整理

5.3支付安全:(1)静脉支付技术自身安全性高,扫描器可识别活体,避免不法分子利用非活体进行转账支付。(2)静脉识别可识别出用户是否满18岁,有助于监管未成年人购物。

6. 虹膜支付:有望成为最具安全性的生物特征密码支付

2014年,虹膜支付技术的概念被提出,但目前国外较为成熟的虹膜技术尚未在支付领域有成功实践。考虑到虹膜技术的安全系数比指纹、钥匙、数字密码都高,未来将更加适用于风险系数较高的金融支付领域。

美国虹膜生物识别公司Tascent,成立于2015年,提供以虹膜为主的多模态生物识别系统,被广泛应用于机场身份识别和公共安全领域,能够高速远程捕获准确、高质量的虹膜图像。目前Tascent公司虽然尚未将虹膜识别技术运用于第三方支付平台上,但是根据虹膜识别的技术特性和Tascent公司的创新优势推断,Tascent虹膜识别技术有望被运用于第三方支付平台。

一是如果将其运用于支付领域,虹膜支付的准确性可以得到保证;二是关于用户信息安全,如果将虹膜支付与区块链技术相结合,用户信息的安全存储也可以得到实现。此外,对于虹膜技术的监管,Tascent不仅受到美国各州的生物识别隐私监管法规管理,同时还需要符合欧盟等国际标准。

图6 虹膜支付流程示意图

来源:网络公开资料,京东数字科技研究院整理

二、支付安全与黑科技如何融为一体

在全球生物识别支付黑科技的发展,支付安全风险也逐渐暴露。以适用范围最广的指纹支付为例,最近三星手机的指纹识别被爆出存在安全漏洞,中国银行等支付机构就陆续关闭了有关型号手机的指纹支付功能。由此看出,现行技术条件下,相对于其他生物特征而言,指纹信息较容易被复制,生物识别技术仍存风险。

长期来看,监管政策对于生物识别技术与金融业务的结合应用具有重要的指导意义,有助于推动生物识别的支付规范化和标准化建设。2018年10月,央行发布我国金融行业首个生物识别技术标准《移动金融基于声纹识别的安全应用技术规范》,为声纹识别技术进入移动金融领域解决了标准难题。2019年8月,央行发布的《金融科技(FinTech)发展规划(2019-2021年)》也指出,将探索人脸识别线下支付安全应用,借助密码识别、隐私计算、数据标签、模式识别等技术,利用专用口令、“无感”活体检测等实现交易验证,突破1:N人脸辨识支付应用性能瓶颈,由持牌金融机构构建以人脸特征为路由标识的转接清算模式,实现支付工具安全与便捷的统一。此次金科规划为未来生物识别支付的发展提供有利的政策信号,更加注重识别技术的安全性,突出持牌金融机构在人脸支付流程中的清算作用。近日,银联与60大银行也联合发布“刷脸付”产品,主动顺应监管政策趋势。

总体来看,现阶段提高生物识别支付安全的路径主要有两种:一种是运用区块链等加密技术增加获取生物信息和验证交易的难度,比如研发更多骨骼识别、静脉识别等产品,以及增加专用口令、“无感”活体检测等交易验证;另一种是增加伪造难度,比如加入活体指纹检测技术,增加1:N人脸辨识支付的复制难度等。

三、总结与展望

移动支付将成为未来一段时间科技与金融融合发展的基础性变革。生物识别技术的突飞猛进,正在带动基于生物识别技术的支付黑科技的兴起,持续推动全球生物识别服务商紧密服务金融支付。因此,借鉴海外生物识别支付发展的有意尝试,未来我国支付黑科技的发展还需从以下两方面重点入手:一是从监管合规角度,要建立风险预测机制,以监管沙盒等多种形式为创新支付科技提供孵化空间,持续出台生物识别技术支付的有关标准规范。二是从支付技术安全性角度,要加快推进基于加密技术优势的区块链技术与生物识别技术的融合发展,研发相似生物识别技术的结合应用,多方身份认证,有效提高支付认证和交易的安全性。

附:参考资料

1.SnapPay:

https://www.cditechnology.com/products/snappay-payments

2.Nuance:

https://www.nuance.com

3.Nuggets:

https://www.csdn.net/article

4.Redrock biometrics:

https://www.redrockbiometrics.com

5.Tascent:

http://www.tascent.com

6.Sthaler:

https://fingopay.com

作者:

张 月 京东数科研究院产业金融中心研究员

问乐媛 京东数科研究院产业金融中心助理研究员

王梓韬 京东数科研究院产业金融中心助理研究员

本文仅代表作者个人观点

声明:本文来自京东数字科技研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。