央行：线下刷脸支付应用风险可控，基本具备试点条件

在9月20日举办的金融网络安全论坛上，央行科技司司长李伟对外表示，在网络空间仅依靠人脸等单一特征进行金融交易验证，存在严重交易隐患。金融机构在相关交易时，人脸数据采集应提前告知用户信息使用的方式，明确获得客户授权。同时，不要简单地将人脸特征作为唯一的交易验证因素，须根据风险等级结合用户口令等其他因素进行多因素认证。

李伟表示，针对人脸识别支付应用，线上开放的网络环境中存在诸多风险，应用条件不成熟。“不过，针对刷脸支付应用，线下应用风险相对可控，基本具备试点应用的条件”。

不过，他也表示，刷脸支付应用应遵循最小够用、用户知情及风险补偿等原则。

李伟进一步指出，关于信息采集要坚持“用户授权、最小够用”原则。人脸特征是重要隐私，数据采集应提前告知信息使用方式，明确获得客户授权，避免与需求无关的特征采集，确保人脸特征采集的合理性和必要性。

另外，在李伟看来，支付交易也要坚持“表达意愿、多重认证”原则。考虑到人脸识别过程悄无声息，金融机构要严格落实消费者权益保护法，充分尊重用户的主观意愿，保护用户的知情权、财产安全权等合法权益，不得在用户不知情、未授权的情况下擅自发起交易，不要简单地将人脸特征作为唯一的交易验证因素，必须根据风险等级结合用户口令等其他因素进行多因素认证，平衡好金融服务的安全与便捷。

“安全管理要坚持‘风险补偿、全程防护’原则。鉴于人脸识别高度依赖人工智能算法模型，攻防技术不断迭代升级，因此要主动建立健全风险赔付资金、保险计划、应急处置等风险补偿机制，综合运用多种信息技术，加强人脸特征信息端到端的全链条安全防护，切实保障消费者资金与信息的安全。”李伟强调。

在9月20日举办的金融网络安全论坛上，央行科技司司长李伟对外表示，在网络空间仅依靠人脸等单一特征进行金融交易验证，存在严重交易隐患。金融机构在相关交易时，人脸数据采集应提前告知用户信息使用的方式，明确获得客户授权。同时，不要简单地将人脸特征作为唯一的交易验证因素，须根据风险等级结合用户口令等其他因素进行多因素认证。

李伟表示，针对人脸识别支付应用，线上开放的网络环境中存在诸多风险，应用条件不成熟。“不过，针对刷脸支付应用，线下应用风险相对可控，基本具备试点应用的条件”。

不过，他也表示，刷脸支付应用应遵循最小够用、用户知情及风险补偿等原则。

李伟进一步指出，关于信息采集要坚持“用户授权、最小够用”原则。人脸特征是重要隐私，数据采集应提前告知信息使用方式，明确获得客户授权，避免与需求无关的特征采集，确保人脸特征采集的合理性和必要性。

另外，在李伟看来，支付交易也要坚持“表达意愿、多重认证”原则。考虑到人脸识别过程悄无声息，金融机构要严格落实消费者权益保护法，充分尊重用户的主观意愿，保护用户的知情权、财产安全权等合法权益，不得在用户不知情、未授权的情况下擅自发起交易，不要简单地将人脸特征作为唯一的交易验证因素，必须根据风险等级结合用户口令等其他因素进行多因素认证，平衡好金融服务的安全与便捷。

“安全管理要坚持‘风险补偿、全程防护’原则。鉴于人脸识别高度依赖人工智能算法模型，攻防技术不断迭代升级，因此要主动建立健全风险赔付资金、保险计划、应急处置等风险补偿机制，综合运用多种信息技术，加强人脸特征信息端到端的全链条安全防护，切实保障消费者资金与信息的安全。”李伟强调。