在近日举行的世界互联网大会上，中国银联与中国工商银行等60余家机构联合发布人脸支付产品“刷脸付”。此前，支付宝、财付通等非银行支付机构纷纷推出了人脸支付产品和服务。以人脸支付为代表的创新支付方式，或将成为支付发展趋势。不过，支付的便捷性必须建立在安全的基础之上，注意保护用户个人隐私。

所谓人脸识别技术，是基于人的面部特征信息识别身份的一种技术，一般是通过拍照或摄像得到的图像信息与后台数据库中预先收集储存的面部信息作比对，从而完成身份识别。根据场景的不同，人脸识别技术可分为线上和线下两种。从现阶段看，人脸识别线上支付仍存在诸多风险，暂不具备普遍应用条件；人脸识别线下支付相关技术较为成熟，具备一定的应用条件。

但是，技术是一把“双刃剑”。人脸支付在提升支付服务便捷性的同时，也存在一些应用风险，在某些时候这种风险还非常大。一是信息泄露风险。人脸特征具有唯一性，不法分子可通过远程等方式，在公共场所批量获取用户人脸信息，“盗脸”一旦发生后患无穷。二是假体攻击风险。虽然现在活体检测技术水平已经大大改进，但新型攻击手段不断出现，对用户资金安全造成潜在威胁，不容忽视。三是算法漏洞风险。目前，人脸识别算法仍在快速迭代，可能存在隐藏的未知漏洞，一旦被不法分子发现并加以利用，或将造成系统性风险。

当前，一些非银行支付机构在开展人脸支付的时候，仅从用户体验出发，只需用户在屏幕上输入手机号码（有的甚至不需要输入手机号码），并不需要用户进一步交易验证，这就很可能给人脸支付埋下风险隐患。据报道，现在有的技术可以在3公里之外识别并盗取人脸信息。账户密码被盗尚且可以修改，人脸信息被盗了难道只能去整容？

对此，央行相关负责人多次表示，人脸是非常敏感的个人信息，不宜将人脸作为支付的唯一交易验证因素，输入支付口令的交易习惯不应因此而改变。据悉，此次60余家机构联合发布的“刷脸付”在支付时就必须验证支付口令，相关考虑一是可以体现用户支付的真实意愿，二是防止通过伪造人脸冒用身份，保障交易安全。此外，“刷脸付”注重保护用户个人信息，将用户的人脸特征信息与用户关联性较高的身份信息做了安全隔离，严格控制存储设备和介质的访问权限，严防信息泄漏、篡改与滥用。相关商户和受理交易的终端，也都须通过权威安全检测机构的专业检测。从上述举措来看，“刷脸付”基本符合监管要求，弥补了市场上同类产品的不足。

尽管备受关注，但目前人脸支付产品总体上仍处于探索阶段，相关产业发展还尚不成熟。央行作为支付行业的监管者，应加快出台包括人脸识别在内的生物识别技术在支付领域的应用规范、技术标准等，推动各类参与主体提高认识，共筑支付安全防线。各类市场主体应正确把握安全与发展的关系，把支付安全放在第一位，认真落实相关要求，确保人脸支付行稳致远。广大消费者则应正确看待支付技术创新，谨慎选择新的支付方式，并妥善保护好个人信息，降低信息泄露风险。

（董希淼作者系国家金融与发展实验室特聘研究员，本栏目话题由今日头条提供大数据分析支持）