一则「借脸盗刷」的民生新闻,迁出一个「刷脸支付被盗」的乌龙,同时也反映出「人脸识别」在应用和技术普及层面的短板。
基于「浙江袁先生」的案件背景,我们怀着好奇和求证的态度进行了多款机型和多款应用的「刷脸支付」闭眼状态测试,结果大跌眼镜,针对闭眼状态的识别率竟然不到70%,换句话说,10个人就可能出现3个人被「借脸盗刷」用于线上支付。
针对目前两类最为主流的金融生物支付应用,支付宝和微信,我们从技术视角抽丝剥茧,进一步的解构方案背后的流程和权责。
我们也从行业现状出发,挖掘在金融安全本应当讲究谨慎克制的行当里,究竟是什么原因促使从业者不顾用户安全风险,如此冒进和大胆。
01「标题党」闹出乌龙
「一男子睡梦中“被支付”上万元,竟是用了人脸识别!」
上周,一则关于浙江袁先生因「刷脸钱被盗」的公诉案件登上「宁波公安」的公众号,并被浙江新闻频道电视报道。
50多岁的袁先生,在浙江宁波一家餐厅打工。4月2日早上,他发现自己银行卡里的一万多元存款竟不翼而飞!
民警经过排查发现,和袁先生同住的刘某、杨某有重大作案嫌疑。经审讯,是同事趁袁先生睡觉时,用他的手机刷脸开机,再用微信将他银行卡里的钱转走。
案件中涉及到两个技术环节,一是手机解锁,案件清楚描述嫌疑人是通过人脸验证解锁手机,并且是闭眼通过刷脸解锁验证。二是微信支付,目前微信支持的支付方式包括密码支付、指纹支付、刷脸支付、免密支付等。
警方并没有透露手机品牌及型号。一位不愿具名的警官表示,手机为「千百来块」的安卓低端机。
手机解锁能盗用人脸,权责当属手机责任方,那么更为关键的「微信支付」又是如何实现的?
在「宁波公安」官方公众号的案件披露中,我们发现了「关键细节」:
「经警方调查,窃贼是袁先生的室友,而其作案手法竟是趁袁先生睡熟之际,拿起袁先生放在床头的手机,扫了袁先生的脸解锁后,进入手机支付平台,刷脸转走了存款。」
描述中的最后一句「刷脸转走了存款」,将矛头直指微信「刷脸支付」的安全隐患,即无法识别熟睡中的用户的闭眼状态,导致被熟人盗刷。
据机器之心了解,针对「闭眼盗刷」的风险早有防范措施,通常在人脸识别过程中加入「注视识别」的二维人眼关键点检测,并且这项技术早已经在行业普及。
照此推测,微信的「刷脸支付」当真存在该严重漏洞?而嫌疑犯恰好就是利用「刷脸认证」方案中的同一个漏洞攻破两道技术防线?
很快,就有从业人士推翻了案件中的「关键细节」,表示「从目前市场在售手机来看,千把块的手机基本是没有微信「刷脸支付」功能的。」
而与此同时,各大媒体针对该事件的报道迅速升温,网络媒体渠道的标题中多用「刷脸钱被偷」作为噱头引发关注。新闻的由头没有问题,但是通过我们进一步与新闻当事人和警方沟通才发现,报道者和警方本身都没有意识到「钱被偷」中一个更为关键的环节是「钱如何在微信应用内被转走」。
毕竟,「刷脸被盗」和「刷脸支付被盗」完全是两回事。
事有蹊跷,为进一步追溯真相,机器之心联系到浙江电视台新闻频道的编辑。对方表示,在新闻中报道,并没有提及微信转账的具体方式。「这个信息点我们也没有向当事人和民警采集。」
盛编辑向机器之心表示,「可以明确的是,解锁环节采用刷脸方式。至于支付方面,他们是关系很好的工友,同居一室,微信支付密码几近公开。」
机器之心联系到宁波市公安分局海曙分局警官,多次沟通之下,他终于松口表示,在该案件中窃贼是通过刷脸进行手机解锁,但在微信支付环节「应该」采用密码支付。因为两位作案人与袁先生是工友关系,同居一室,平时很亲密,微信支付密码几近公开。
「还可以用微信『刷脸支付』吗?不可以吧!这个细节我们在案件问询中也没有展开。」
由于对于「人脸识别」目前的技术水平和应用现状缺少足够清晰的认知,让这起噱头十足的报道差点闹出乌龙。
02 安全隐患却真实存在
在「浙江袁先生」事件之后,我们决定进一步求证目前手机「刷脸支付」的防攻能力。毕竟在上述案件中,换一个手机型号,「刷脸支付盗刷」不是不存在可能性。
对此,我们随机搜集到13位用户、12款市场主流手机机型进行系统性测试,分别在微信和支付宝应用端,进行睁眼/闭眼状态下的转账支付实验。
结果备注:1)上述测试结果以2019年4月10日10:00am-4:00pm测试为准,之后测试数据有所波动将在下文提及,但不作为测试结果统计范围内。2)测试指在同等环境下,同一个测试人以同一姿势进行测试,两次以上得到同一个结果。3)在测试者闭眼状态下,通常有旁人进行辅助测试,确保闭眼状态的真实性。4)测试结果,「成功」指两次或两次以上的测试结果为「支付成功」,反之「失败」。5)测试样本随机抽取,样本数量较小,但具有一定的参考价值。我们希望反映的是,两套已经大规模的支付应用微信、支付宝,在针对睁/闭眼状态的人脸识别方案的缺漏。
根据上图统计的测试结果,在针对支付宝「刷脸支付」功能的闭眼状态测试中,超过33%(4台)的手机都能够在闭眼状态下通过支付,其中17%的用户完全无障碍通过闭眼支付,17%的用户在闭眼支付的连续相同环境下测试结果不稳定,无规律波动,但均出现超两次「闭眼刷脸」认证通过。
安卓手机针对支付宝「刷脸支付」闭眼状态实测,顺利验证通过
换句话说,目前支付宝「刷脸支付」功能的人脸认证的「准确率」连67%都不到。在我们随机挑选的13人测试中就有4人能够通过「闭眼支付」。
试想如果把手机测试规模扩大到20台机型、100台机型……将测试人群扩大100人、1000人、10000人……结果会怎样?
在测试中,我们还发现微信和支付宝对于「刷脸支付」功能的支持力度和方式有所不同。
微信目前只针对少数高端机型、具备前置三维深度视觉方案的手机开放「刷脸支付」权限,比如苹果的iPhoneX、iPhone Xs、iPhone Xs Max,华为Mate 20 Pro。即在我们的测试中,仅有四款机型具备「刷脸支付」功能,但就有三台均能通过微信的「闭眼支付」验证。
对于支付宝,绝大部分采用二维人脸验证方案的手机都能够开启「刷脸支付」,并且权限和3D人脸识别方案相同,不仅可在支付宝应用内完成转账和支付等交易,还可以跨平台使用,比如在滴滴平台调用支付宝「刷脸支付」功能进行结账。
在体验方面,和3D人脸识别方案的别无二致,在前端的用户基本感觉不出异样。
采用二维人脸识别方案的安卓手机,在饿了么订单,采用支付宝「刷脸支付」功能结账。
测试前,我们对于测试结果和「闭眼支付」的通过率都始料未及。站在用户立场,我们也曾相信在两个用户超过十亿的金融支付平台的交易安全能够得到足够保障。
但当我们拿到统计完的测试结果,很难再对其报以乐观和信任的态度。
03 刨根问底「刷脸支付」
或许有人提出异议,既然是在手机端完成的「人脸验证」,技术方案和安全责任理应由手机厂商承担。在与腾讯微信公关沟通时,对方也转达了技术人员的观点,「手机中人脸识别支付功能,确实是使用手机厂商的功能,所以质疑更多关注在手机厂商的人脸识别标准上会更好。」
据机器之心了解,一套完整的手机安全认证通常涉及到APP应用方、手机厂商、TEE服务商、算法厂商等多方配合。
但是,针对「刷脸支付」具体应用而言,这些合作方究竟是如何协同的,背后究竟隐藏着什么样的「黑盒子」?
这对于划定支付安全漏洞的权责十分重要,否则只能是手机厂商与应用厂商互相「踢皮球」。
我们联系到手机安全虚拟化操作系统方面的专业人士,进一步追溯在手机应用中实现「刷脸支付」究竟涉及到的技术与权限。
一位不愿具名的TEE厂商CTO向机器之心表示,从人脸验证方案来看,主要有两种模式:
1)本地3D人脸模式,比如Apple Face ID、微信、银行APP授权手机刷脸认证模式,一般走传统的手机安全认证流程。
2)2D人脸支付模式,比如支付宝应的刷脸支付功能,一般为远程认证,这部分只涉及到应用方自己的app和后台系统。
首先,从本地3D人脸模式谈起。
在这套方案中需要对可信执行环境概念,也就是TEE ,Trusted Execution Environment进行了解。
当我们要在手机端进行某些关键或者敏感操作时,比如加密或安全存储,无法在公共安全的操作系统内执行。于是,就有了虚拟化出来的可信任的操作系统/程序,即TEE厂商。他们在硬件隔离的安全区域中,单独安装可信应用程序来提供这些操作。
在一个完整的3D人脸验证流程中:
1)首先,应用方APP会调用手机操作系统功能接口,提示用户人脸识别,手机操作系统唤醒摄像头,采集人脸数据,包括面部2D图片+3D结构信息。
2)然后,摄像头使用与TEE共享的数据加密密钥,针对采集到人脸数据进行加密,并传输到手机的TEE安全虚拟操作系统中。 TEE再使用该套加密密钥进行解密,获得原始人脸数据信息。
3)接着,手机将调用人脸识别算法对原始人脸数据进行分析和特征点识别,并与预先存储的人脸特征数据进行比对,再将比对结果进行数字签名后,通知给应用方APP。
4)最后,应用方APP再将该结果发送给应用方后台系统,并利用数字证书对应的公钥校验识别结果,最终完成整个刷脸支付过程。
与这一模式对应的是,具备前置3D深度视觉摄像头方案的手机厂商,比如iPhone X、iPhone Xs、华为Mate 20 Pro等。照上述理论,针对这类手机,应用厂商进行刷脸认证实现金融交易时,调用的都是手机端的数据、算法以及比对结果。
但是,针对该模式中,应用厂商对于手机调用数据和计算结果的干涉程度,我们仍保留疑问。
因为在我们联系到微信公关部,针对微信刷脸闭眼支付的安全问题进行沟通的前后两个时间段,我们的三个样本测试结果均出现了反转。
4月10日上午,笔者采用iPhone Xs在睁/闭眼的测试中,两次闭眼微信刷脸支付成功,支付宝测试失败。同日,笔者同事A采用华为Mate 20Pro进行测试,同样闭眼刷脸支付成功。笔者同事B采用iPhone X进行微信测试,测试结果同上。
但在4月10日下午,与微信公关同事针对该事件进行沟通并提出采访诉求后,在4月11日再次进行微信刷脸闭眼测试时测试结果发生变化,笔者与上述同事采用iPhone Xs、iPhone X、华为Mate 20Pro多次测试微信闭眼刷脸均为失败。
4月12日晚上,在我们的采访需求沟通了两天之后,微信支付安全团队终于给出回复,但并没有针对微信「闭眼支付」安全的关键问题进行回应。
他们表示,微信针对手机人脸支付的机制要求相关机型要符合必要的安全标准,包括3D结构光深度摄像头、比对计算等操作在TEE可信环境等。
同时,微信制定了一系列严密的测试验收机制,从安全、用户体验上保证该设备的人脸支付合规,包括包含活体检测判断、有效支付距离&角度,明显非注视不能支付等安全标准,以及专项攻防测试,包含屏幕录像、3D头模等可能存在的攻击手段,只有通过标准验收的设备才具备开通微信人脸支付的条件。
关于在微信「刷脸支付」闭眼测试结果前后不一的现象,究竟是谁在背后进行算法或者数据的调整尚不得而知,我们也将继续关注。
下边来聊聊支付宝的2D人脸验证支付模式。
时间线回到2015年,马云在德国汉诺威IT博览会上演了经典的「扫脸」。为蚂蚁金服的Smile to Pay(微笑支付)扫脸技术站台,刷自己的脸从淘宝网上购买了一枚20欧元的1948年汉诺威纪念邮票。
也就是在那一年,支付宝正式推出「刷脸登录」功能,即用户用人脸验证取代账号密码进行登录。
彼时,蚂蚁金服柒车间负责人陈继东谈道:
生物识别取代传统密码验证是一个行业趋势,人脸识别技术2015年7月份开始,逐步在支付宝实名认证、重置密码、换绑手机、风险支付校验等功能中应用,现在扩大到了登录这个主流场景中,实践证明,真实应用场景下的识别成功率已经在90%以上。
经过四年的发展和迭代,「刷脸登录」从支付宝一个隐藏在四级子菜单、体验大于实用的「展示功能」,逐步前置,权限放手,发展为几乎面向所有智能机型开放的「刷脸支付」,应用场景进入到互联网金融的核心阵地。
记得2017年,笔者初次体验「刷脸支付」功能时,在每笔交易使用前都需要额外调用,并且在使用前需要进行点头、摇头、张嘴等动作配合,以进行活体检验,安全验证流程基本到位。
但因为概念超前,环节过于繁琐,很长时间里,支付宝的「刷脸支付」功能只是默默地隐藏在应用内。
在这一阶段,支付宝的人脸识别技术一直采取和AI技术公司旷视科技(Face++)合作,由Face++提供从人脸比对、检测、识别的核心算法,后来进一步发展成为支付宝的人脸识别技术方案提供商。
变化发生2017年下半年。iPhone X问世,FaceID概念迅速大规模普及。正式生物支付战略落地的最佳窗口期,支付宝大胆地踩下了油门。
与此同时,蚂蚁金服自建人脸识别技术平台的信号也日臻强烈。2017年11月,蚂蚁佐罗(ZOLOZ),蚂蚁金服孵化的首家安全技术公司成立,蚂蚁金服并表示将借助该平台开放其金融级生物识别技术能力。
尔后,支付宝及蚂蚁金服平台下的更多人脸识别应用技术改道采用「蚂蚁佐罗」团队方案,旷视(Face++)被迅速取代。
自身技术平台健全,支付宝在生物支付,尤其是「刷脸支付」技术的推广和落地也驶入快车道。在支持iPhoneX「刷脸支付」权限之后,支付宝开始小范围地加速推进国产安卓机的3D人脸识别方案落地,多为价格偏高的旗舰机型,比如OPPO FindX、小米8探索版等。
但市场趋势不遂人愿,由于3D人脸识别硬件方案,即结构光摄像头模组价格居高不下,且数款采用该配置的高端机型推广未及预期。安卓市场还未掀起3D人脸识别热潮,3D人脸识别方案就折戟沉沙,iPhone 在安卓生态的示范作用无奈失灵。
于是,支付宝开始立即同步推进部分单目/单目+红外/双目摄像头方案,即2D人脸识别方案或者进化版,比如华为nova3。
2D人脸识别方案无法做到准确的活体检测,面临假体攻击的极大安全隐患,这是技术方案所客观决定的。
但是,将用户体验和流量摆在第一位的产品经理们,当然不愿再用老一套的「活体检验」繁琐流程。付个账,还要折腾老半天的摇头晃脑,谁还愿意用?
那么在支付包的逻辑里,二维图像比对如何能够保证防御「假体攻击」呢?
技术不够,数据来凑。
据支付宝的合作应用厂商表示,为确保在二维方案下的人脸识别准确性,支付宝会调用阿里系平台更多的数据维度,如消费数据、消费习惯、信用数据、消费能力等,结合人脸识别结果一同针对该用户的金融行为做出评判。
但事实证明,基于侧面数据的辅助验证手段,在人脸验证技术所涉及到的安全隐患面前只不过是一颗给厂商自己的「安慰剂」。
根据目前测试结果,支付宝「刷脸支付」测试的准确率如此之低,连五年前承诺的90%准确率都远远不及。
在支付宝官网首页,「你是中心」,鲜明的标语用大字号书写着。当我们沟通多轮,才拿到支付宝技术人员的回应,「支付宝刷脸设有『注视识别』,可以有效防范闭眼状态下通过刷脸的情况」,回应和标语在此刻都显得尤为苍白无力。
04 支付宝为何如此激进?
在金融安全如此谨言慎行的业态里,支付宝大胆而激进的风格独树一帜。
「在支付格局上面,支付宝等互联网公司和人民银行等银行系机构实际上已经产生了非常大的冲突。」一位人工智能金融安全的从业人士说道。
一面是在符合监管要求层面的金融机构,比如各大银行APP在进行尝试创新时,都不敢步子迈得过大,做得过快。因为监管机构明确没有文件支持。但是,另一方面,支付宝等基于互联网公司一贯的作风和基因,视流量和体验至上,对比而言更显冒进。
事实上,双方冲突和争夺的焦点还在于在金融支付全流程的标准化问题上。
一项完整的金融认证方案的标准,涉及从图像采集数据传输到算法攻防等的整个链条,从用户的终端一直到银行端,需要实现端到端的全程的安全可控。比如,交易设备需要通过相关权威的金融检测机构认证,确保达到金融安全级别,才能够进行交易。
但显然,对于目前用户通用的消费类设备,并没有专门的金融机构进行认证。有算法公司表示,在针对多款手机设备摄像头进行适配时,发现目前手机内部集成的算法和方案,完全不能针对攻击和假体做到防范。
标准尚未定夺,此时得标准者,即得盟主位。而标准联盟的竞争才是支付宝、微信以及各大银行体系竞争的本质。
首先,力推和信任在手机终端实现全流程的身份认证流程是FIDO联盟。
该联盟认为,如果身份信息和认证等所有流程仅限于手机本地端完成全,那么就默认是安全的,用户验证均以本地验证为准,然后再向后端发起交易,此时的金融机构、银行等,将直接接受终端设备的身份认证结果。
FIDO联盟成立于2012年7月,其宗旨为满足市场需求和应付网上验证要求。目前,中国银行、民生银行、工商银行、交通银行、中信银行、联通沃支付、移动和包、兴业证券、国泰君安证券等泛金融应用背后均支持FIDO标准。
虽然支付宝早期也参与过FIDO联盟的认证业务,但很快意识到标准联盟的重要性之后,2015年,蚂蚁金服转身,与中国信通信研院等单位联合发起新的联盟,IFFA联盟,同样以解决身份认证问题为己任。
依托阿里系自身庞大的金融和电子商务业务,IFAA近年来的用户基础和客户群体成长迅速。到2017年,IFAA已经支持36个手机品牌的200款手机型号,覆盖7000万用户。在2018年的双十一中,支付宝生物支付占比超过60%,IFAA市场负责人姚青予将其归功于IFFA联盟的功劳。
而对于同样拥有海量用户的腾讯,当然不会甘心归于IFFA势力。2017年8月,腾讯宣布自立山头对外开源SOTER标准,该标准主要用于微信指纹支付、微信公众号/小程序指纹授权接口等场景。
得盟主位,即得行业。
综合来看,目前金融身份认证市场仍呈现出『三足鼎力』的格局。
国际身份的FIDO坚持中立视角。腾讯SOTER起步较晚,在开放性略有不足,尚不能称为联盟标准,IFFA这几年势头正猛。
巨头不愿将用户的关键安全认证信息拱手于人,并且行业对安全快速的身份认证的统一标准将是不断「扩建生态圈」、确立行业地位的最有力保障,建立并发展联盟势在必行。
金融安全从业人士谈到此现状时,表示出担忧,「过度信任终端和应用厂商,如果出现问题,手机厂商应该承担什么责任,银行承担什么责任,支付公司承担什么责任?现在都没有细则。」
「要知道,以往的在我们金融机构里,只要出现问题,第一个板子一定是打到后面的金融机构,银行或者是支付公司身上。」
所以,我们会看到银行业在面对不够成熟的新技术方案时,总是显得保守和克制。最常见的,不难发现银行类APP永远无法像微信或者支付宝那样「常驻」,而是每进入一次应用,都需要「验明正身」。
传统银行机构线上体验水平停滞不前,被视为其他金融支付应用的机会和潜力所在,所以微信和支付宝才要极力地推广和完善金融支付极致的用户体验,建立以自我为中心的行业标准,拉拢用户。
而在这个过程中,支付宝相比微信显然更为激进和大胆。
05 原来,我们都是用安全换便利
如果支付宝平台所采用的技术方案存在安全隐患,那么如何才算得上是一套健全而有保障的「刷脸支付」技术方案?
我们对此采访了云从科技金融产品部负责人张兴旺。过去几年里,云从参与制定了由中国人民银行主导的刷脸支付应用标准的起草与制定,该方案将于今年正式发布。作为起草与制定方之一,云从科技的观点和建议具有一定的参考意义。
张兴旺表示,以前述的典型案件场景为例,在进行用户身份认证环节时有两个明显缺漏。
第一,针对活体的监测,比如在银行业做刷脸取款,在正式刷脸前有一个重要的「动作配合」环节,判断当前相机前面是否是「真人」;
第二,判断交易者的主观意愿,即交易者是否愿意主动进行交易。
而在该案件以及我们针对支付宝的「刷脸支付」功能测试中,第一项明显不符合,既不是采用3D人脸识别方案,也没有针对用户进行「动作配合」检测。
我们不禁要问,仅仅建立在二维人脸验证的硬件方案基础上,为什么活体检测环节要被取消?
「这实际上是一个移动端技术方案的常见问题,软件的易用性和安全性实际上是相互矛盾的。」张兴旺表示。
诚然,作为一般用户,大部分人都会认为如果还需要活体检测,那「刷脸解锁」环节未免太繁琐,太耽误验证时间。
目前,业内人士之所以将「刷脸解锁」称之为「非配合」验证方式,恰恰是因为现在的「刷脸解锁」因为追求极致体验,取消了用户配合的检测环节,「过度追求无感体验」。
此外,如果客户端识别到交易者眼睛闭合,那么可以判定用户不符合交易意愿要求,无论是后续的解锁还是支付都不应当继续下去。显然,在案件中手机解锁和支付宝「刷脸支付」案例中,更大可能性是因为闭眼识别的算法准确度上出了问题。
针对睁眼/闭眼状态识别,目前最简单的方式就是先提取面部中眼睛的关键点,通过它是呈现一条线还是一个椭圆形,能够做出基本判断是否睁眼/闭眼。
但是,这仅仅是最基本的一项判断方法。因为仅仅针对眼睛形状判断睁/闭眼状态,很有可能将「小眼睛」特征的人识别为闭眼。
「到底这个判断阈值应该做到什么程度,是需要平衡的。针对每个用户,还需要用大量数据来反复验证,到底是识别到什么样的开合程度才算合适。只有获得足够大和丰富的用户数据,才能帮助算法进一步迭代,提升准确性。」张兴旺谈道。
虽然支付宝很早就在推进人脸识别技术,但到目前为止,在手机应用端进行「刷脸」的消费习惯仍没有真正建立,数据量不足或许是制约算法准确度的原因之一。
但这也并不能成为支付宝「刷脸支付」功能存在极强安全隐患的说辞。如果算法和技术不到位,功能为什么要上线,还要开放如此大的权限全线推广?
一位不愿具名的金融安全从业人士评价道:
「这个事情,你要做到最基本的功能可用,比如90%人能用,可能花费一倍努力就够了,但是你要保证99.9%的人都不判断出错、都没有问题,那可能就要花费十倍甚至一百倍的精力。
但事实上,不管是互联网公司,还是算法公司好,都没有认真细致地去思考这个事情,结果就会导致有10%或者更多的人出现问题。」
经过我们测试,支付宝在「闭眼验证」这个环节准确率甚至连90%的及格线都没有达到。
在搜索和信息流领域,百度李彦宏认为,「中国用户可以用隐私换取便利」;在金融安全层面,似乎也有人在套用同样的逻辑,「中国用户可以用安全换取便利」。
「在我们的眼中看,如果说做金融安全级别是八分的门槛,那么他们可能就是三四分的水平。将偏向日常应用技术能力用来做金融场景,这是很难被接受的。」
该金融安全从业人士说道,「解决办法当然会比问题多得多,但对于应用厂商而言,未必会愿意用『安全保守』的方案来做。」
06 谁来为安全买单?
「我们认为最终最大的受害者仍然是消费者,这是完全不顾消费者的利益,不管公众的安全,直接就将具备明显安全隐患的功能上线是很可怕的。手机厂商也是如此,设计明显就是有漏洞的,但是仍然发布给了消费者。
不要指望手机厂商和应用厂商会因为你的利益损害而得到赔偿。这在法律和情面上都不可能得到保障。」
假设用户因为采用应用厂商的「刷脸支付」被盗取了钱财,手机厂商和应用厂商需要担责吗?
一位不便具名的人工智能方向法学专家进行了解答,她表示在上述案件中涉及到三重法律关系。
一是刑事部分,从目前有限的信息来看,盗窃成立的可能性较大,有主观故意、非法占有等表现。
二是民事部分,主要是手机厂商是否涉及到产品对消费者侵权。
根据《消费者权益》第七条:消费者在购买、使用商品和接受服务时享有人身、财产安全不受损害的权利。消费者有权要求经营者提供的商品和服务,符合保障人身、财产安全的要求。
第十八条:经营者应当保证其提供的商品或者服务符合保障人身、财产安全的要求。对可能危及人身、财产安全的商品和服务,应当向消费者作出真实的说明和明确的警示,并说明和标明正确使用商品或者接受服务的方法以及防止危害发生的方法。宾馆、商场、餐馆、银行、机场、车站、港口、影剧院等经营场所的经营者,应当对消费者尽到安全保障义务。
人脸识别标准目前已有国家标准出台。手机厂商的人脸识别技术需达到标准,否则给消费者造成的损失应予赔偿。同样地,应用厂商也需要遵守这项人脸识别国家标准。
但遗憾的是,针对上述提到的标准,《公共安全人脸识别应用图像技术要求》(GBT35678-2017),我们发现它适用于公共安全领域人脸识别应用中人脸图像的采集、检测与存储;并且,仅在图像注册环节说明闭眼、眼镜未正视前方不允许,在识别图像时未提及眼部特征的要求。
换句话说,目前能够承担手机「刷脸支付」便利背后隐患与安全的,不过是消费者本身而已。而那些所谓的「便捷」与「易用」不过是支付宝和微信等应用厂商为了称盟圈地的手段罢了。