技术在带来便利的同时也带来了信息安全的隐忧，目前针对这方面的规范并不全面，甚至没有参考案例。面对来势汹汹的信息安全危机，生物识别行业的监管和自律需要尽快形成体系并逐步完善。

“剪刀手”照片通过照片放大技术和人工智能增强技术，就能将照片中人物的指纹信息还原出来！！！

9月15日，2019年国家网络安全宣传周在上海举办，上海信息安全行业协会副主任张威表示，大家在拍照时一般不太会注意到自己比的“剪刀手”很容易泄露身份信息。

“基本上1.5米内拍摄的剪刀手照片就能100%还原出被摄者的指纹，在1.5米-3米的距离内拍摄的照片能还原出50%的指纹，只有超过3米拍摄的照片才难以提取其中的指纹。”

ZAO事件收集“面部信息”舆论风波还未平息，“指纹信息”又成为了一个新的热点。

大众为何对于指纹、面部如此敏感？这与人脸识别、指纹识别技术在支付、安防等领域的大量使用密不可分，而人脸、指纹这些生物信息正在成为互联网时代的“万能钥匙”。

一、生物信息识别技术，互联网时代的“万能钥匙”

时间线回到2015年，马云在德国汉诺威IT博览会上演了经典的“扫脸”。为蚂蚁金服的Smile to Pay（微笑支付）扫脸技术站台，刷自己的脸从淘宝网上购买了一枚20欧元的1948年汉诺威纪念邮票。

也就是在那一年，支付宝正式推出“刷脸登录”功能，即用户用人脸验证取代账号密码进行登录。

经过四年的发展和迭代，“刷脸登录”从支付宝一个隐藏在四级子菜单、体验大于实用的“展示功能”，逐步前置，权限放手，发展为几乎面向所有智能机型开放的“刷脸支付”，应用场景进入到互联网金融的核心阵地。

而手机指纹支付的普及还经历过段小小的插曲，这段插曲的主角就是同属于深圳的两家企业——腾讯与华为。

在2013年，苹果推出支持指纹识别的iPhone 5s，并在次年推出便捷的Apple Pay，国内厂商开始陆续普及指纹支付这项功能。

微信支付、支付宝等移动支付商家也开放了指纹支付的接口，使用户付款更加便捷。而华为mate7也成为了第一台支持微信指纹支付的手机。

但在数年间，mate7是第一台也是最后一台支持微信指纹支付的手机；直到双方和解后，仍未披露当时未继续合作的原因。但是据了解，对于用户指纹信息到底是存储在腾讯的云平台还是手机本地这个问题，双方发生的巨大分歧是未继续合作的重要原因。

现在使用支付宝和微信的指纹支付已经成为了一件非常普遍的事情，而生物识别技术应用的便捷性，已经成为了两大支付应用跑马圈地的重要筹码。

但是生物识别技术真的百分之百安全吗？

二、生物识别技术的争议

2019年4月8日，一则看似稀松平常的民生新闻，引发了大家的隐忧。

宁波公安局在其官方微信公众号中发表了一篇《一男子睡梦中“被支付”上万元，竟是用了人脸识别！》的文章，介绍了袁先生在睡梦期间被同宿舍的刘某和杨某用人脸识别转走银行存款的事情。这件看起来很标题的民生新闻背后，却暴露了生物识别技术的隐患。

虽然最终核实，仅是在解锁阶段运用了人脸识别技术，支付阶段是通过密码的方式进行了转账，但新闻还是引起了一定范围内的恐慌。

看起来设置了很多道“防火墙”的生物识别技术，实际上仍有很大的安全隐患。

三、到底是谁在使用你的生物信息？——生物信息的收集与处理

在大众看来，很多生物识别技术的应用看起来是一样的。就是刷个脸、按个指纹的事情，但在具体的实现路径上，不同的应用之间实际上是不同的。

就拿人脸识别这件事情来看，支付宝和微信的技术方案就有所不同。

微信现有的方案主要是本地3D人脸认证方案，而支付宝采用的是2D人脸支付模式，乍一听好像3D要比2D安全的多。

所以为确保在二维方案下的人脸识别准确性，支付宝会调用阿里系平台更多的数据维度，如消费数据、消费习惯、信用数据、消费能力等，结合人脸识别结果一同针对该用户的金融行为做出评判，来保障整个交易的安全。

无论采用的是哪种技术方案，在这个过程中，大家可能最关心的一点就是到底是谁收集走了自己的生物信息，自己的生物信息又是怎样被运用了。

因为不是特别专业的技术人员，为了解开这个谜团，我们翻找了支付宝与微信的部分公开协议。

我们先看支付宝的部分协议：

首先是支付宝的《隐私权政策》：第一部分第10条就写明了，“我们仅接收验证结果，并不收集您的指纹或面容ID信息”。

我们简单做个翻译，这句话的意思就是，支付宝是按照你用的手机发过来的验证结果，来判断是不是要付这笔钱的；支付宝没有收集你的指纹或者面容信息去做比对，都是你的手机告诉我的，用户手机才是收集和处理信息的地方。

而支付宝《生物识别服务通用规则》的2.1条描述：“您理解对您生物识别信息的采集、存储和比对将由您使用的手机或设备及其系统来完成”，也同样重复了原来《隐私权政策》里的意思。

再看下微信的《隐私政策》，在《我们收集的信息》第1.10条中，微信并没有声明在使用支付功能时会收集用户的指纹或者面容信息，其生物识别信息技术的实现路径很难从协议中推断。

在欧盟，GDPR（General Data Protection Regulation，《通用数据保护条例》）就针对“个人生物识别数据”专门提出了“除非获得用户明确同意，或者具有其他正当理由，否则禁止收集、处理上述个人数据”的要求。

在国内，在《个人信息保护规范》中要求个人生物识别信息应仅收集和使用摘要信息，避免收集其原始信息。

由此可见，生物识别信息的收集和使用本身有更高的标准。

虽然两家应用没有直接收集使用，但作为支付功能的提供方，两家支付企业都没有很明确地说明，在整个指纹或者面部支付使用过程中，信息核验的过程到底是怎么样的？如果出现问题，应用方到底是什么角色或者责任方式该如何承担。

四、人工智能时代绕不过的“Deepfake”问题——谁来承担责任？

疑惑随着各类事件的爆发开始凸显，大众的焦虑也越来越深了。这种焦虑不仅仅是来自于传统的风险，而是在技术不断进步的情况下，一些黑灰产业也在不停地膨胀。

“Deepfake”，人工智能时代的深度伪造成为了生物识别技术应用的一大挑战。而如果因为深度伪造发生的盗刷损失，到底责任该由谁承担？

在现有的法律框架下，主张合同纠纷和侵权责任纠纷是两条可能的路径。

1. 主张合同纠纷，论证安全保护措施是否到位难度大，胜诉几乎没有可能

我们以支付宝举例，一般的用户与支付宝之间成立的是服务合同关系。

如果主张合同纠纷，就需要举证支付宝在此期间未履行相应的安全保护义务，但显然这种举证责任对于技术的要求是非常高的，需要论证现有的安全保护措施是否真正到位，在未有普遍性的规范标准下，胜诉的可能几乎不存在。

2. 如果被盗刷用户主张的是侵权责任纠纷，可以主张的对象增加，但是难度依然很大

如果主张侵权责任纠纷，可以主张的对象是信息泄露者、伪造者、未合理提供安全保护技术的手机厂商和应用商家。

伪造者和信息泄露者作为侵权的直接实施方、过错方，承担责任或者补充责任不难理解，这在现实中已经有很多判例，比较著名的就是东航因泄露个人信息被判道歉的案件。

有争议的是如何合理区分手机厂商与应用商家之间的责任。

第一个争议

如果手机厂商未严格按照应用商家的标准提供核验，在此基础上，手机厂商显然需要对于自身的行为承担责任。但是，此时是否要区分用户是否知晓验证服务实际由手机厂商提供呢？

如果应用商家未在用户协议中写明验证路径，用户显然是不知晓如何发生生物信息识别验证的，发生问题只能由应用商家先承担责任，再由应用商家向手机厂商追偿。

第二个争议

如果因为深度伪造的技术突破了现有的安全保障技术手段，在这种情况下是否可以追究手机厂商或者应用商家的责任？

我们认为需要论证现有安全保护措施到底是否可以充分保证用户的支付安全。在这种情况下，同样回到了原有的问题，到底什么样的安全保护措施才是到位？

解决这些问题，最好的方式是统一现有移动设备生物特征识别行业的标准。

据了解编号为ISO/IEC27553《移动设备生物特征识别身份认证安全要求》的标准现正由支付宝带头起草，这将是基于生物识别的身份认证领域首个ISO国际标准，而关于生物信息识别领域标准和规范的落地可以更清晰界定各方的责任，现有生物识别技术应用的法律问题仅仅只是冰山一角。

如今，人脸识别等生物识别技术的发展与应用渐入佳境，市场规模日益壮大。

统计显示：目前从事生物支付行业的企业超过1000家，2018年市场规模超过1000亿元以上。可以预见在不久的未来，这个行业除了更快的发展速度外，监管和自律将会成为重要的旋律。

参考文章：

《你认为手机“刷脸支付”有多安全？我们测出准确率不足七成 | 独家深度调查》 ，机器之能四月

《一男子睡梦中“被支付”上万元，竟是用了人脸识别！》 ，宁波公安

 

作者：严哲瑀，公众号：星光法顾（ID：gh_1d905d36d4ad）

本文由 @星光法顾 原创发布于人人都是产品经理。未经许可，禁止转载

题图来自Unsplash，基于CC0协议