《中国工商银行:2022商业银行生物识别技术应用实践及趋势分析报告(36页).pdf》由会员分享,可在线阅读,更多相关《中国工商银行:2022商业银行生物识别技术应用实践及趋势分析报告(36页).pdf(36页珍藏版)》请在三个皮匠报告上搜索。
1、商业银行生物识别技术应用商业银行生物识别技术应用实践及趋势分析实践及趋势分析中国工商银行金融科技研究院中国工商银行金融科技研究院20222022 年年 9 9 月月1商业银行生物识别技术应用实践及趋势分析前前言言随着金融科技发展,近年来商业银行不断应用人工智能、大数据、云计算、物联网等前沿技术促进自身转型发展,以应对科技进步的迭代更新和金融消费者的需求变化。以人脸、指纹、指静脉、虹膜、声纹等为代表的生物特征识别技术,由于具备识别速度快、防伪性好、使用方便等特点,较好地满足了人们对安全与便捷的双重要求。在产业创新政策推动下,生物识别技术作为人工智能技术重要分支,引领技术发展浪潮。各大商业银行逐步
2、扩大生物识别技术应用领域和覆盖面,将其作为辅助增强安全身份认证的重要手段。与此同时,由于生物识别技术在隐私保护、安全性能等方面仍存不足,商业银行在技术应用时均结合多因子认证、风险防控等机制,平衡便捷性与安全性。本文结合生物识别技术产业发展和金融业应用现状,分析生物识别技术在商业银行的应用路径,总结商业银行在产品服务、运营管理、风险管理等领域的探索实践,展望生物识别技术的发展趋势和应用前景。2商业银行生物识别技术应用实践及趋势分析目录目录一、生物识别技术发展现状.3(一)技术发展日趋成熟.3(二)产业规模持续增长.5(三)行业应用不断深化.7二、商业银行生物识别实践探索.10(一)注重顶层架构设
3、计,构建企业级技术支撑能力.10(二)创新银行应用场景,打造新模式升级服务能力.13(三)探索业务规模应用,创新赋能提升银行竞争力.16三、生物识别应用挑战及应对.18(一)算法准确率问题制约应用场景范围.18(二)个人隐私泄露风险成为应用掣肘.20(三)安全威胁随应用范围拓展不断升级.23四、生物识别应用趋势展望.26(一)多模态生物特征融合,提升整体识别准确性.26(二)监管规范市场行为,隐私技术防范信息泄露.28(三)攻防对抗螺旋式发展,持续增强技术安全性.29(四)数字经济大势所趋,生物识别助力转型发展.31参考文献.353商业银行生物识别技术应用实践及趋势分析一、生物识别技术发展现状
4、(一)(一)技术发展日趋成熟技术发展日趋成熟生物特征识别技术(简称生物识别)是指通过获取和分析人体生理和行为特征,实现自动身份鉴别的科学和技术。如图 2-1 所示,常见生物识别包括指纹、人脸、虹膜、指静脉、掌纹、声纹、笔迹和步态等。图 2-1:生物识别技术分类生物识别借助各类传感设备采集用户生物特征信息,根据不同生物特征算法提取特征数据,形成特征模板,并通过比较两个生物特征模板的相似度是否大于预设阈值给出匹配结果。总体上包含生物特征数据采集、提取、存储、比对及决策 5 大处理环节,如图 2-2 所示。生物识别技术的应用模式包含 1:1 认证、1:N 搜索等两大类。其中,1:11:1 认证认证是
5、指用客户当前生物特征模板与系统中基准特征模板比对,相似度超过预设阈值判断为比对成功,4商业银行生物识别技术应用实践及趋势分析即证明“你是你”。1:N1:N 搜索搜索是指从包含 N 个客户的特征库中找出与客户当前特征模板匹配度最高的特征模板,相似度超过预设阈值,则认为特征库中最高相似度客户为当前客户,即证明“你是谁”。图 2-2:生物识别技术处理流程近年,生物识别已成为人工智能、模式识别、计算机视觉、信息处理和分析等学科领域的前沿方向,学术研究欣欣向荣,行业相关专利申请量逐年猛增。早在 2020 年底,全行业仅人脸识别在全球的专利申请已达十二万余件,中国迅速赶超美国和日本,已成为生物识别领域专利
6、申请最多的国家。2022 年 7 月底,美国国家标准与技术研究院(NIST)公布了有工业界黄金标准之称的“全球人脸识别算法测试(FRVT)”最新结果,在 1:1 识别比赛1排名前五的名单中有3 家中国企业,国内生物识别技术水平已处于国际前列,人脸识别精度已达到 99%以上2,已大大超过人工识别的准确度。1在 VISABORDER 数据集上2在 FAR 错误接收率为百万分一的阈值下5商业银行生物识别技术应用实践及趋势分析随着生物识别研究力量的不断增加,生物识别技术成熟度不断提升,逐渐为广大群众熟知。但不同类型的生物识别在普适性、稳定性、识别精度和速度以及便捷性和安全上有其自身特点,彰显不同的优劣
7、势,如表 2-3 所示。比如虹膜识别精度最高,但依赖专用采集设备;人脸识别使用方便,但稳定性和识别精度则相对低些。表 2-3:不同类型生物识别技术对比对比项指纹识别人脸识别虹膜识别指静脉识别声纹识别广泛性覆盖群体个别人无法识别 覆盖群体广覆盖群体广覆盖群体广覆盖群体广稳定性适用周期变化较小随年龄少量变化成年后不变成年后不变随身体、情绪变化环境影响湿度、清洁度、脱皮影响大姿势、光线影响大眼疾影响影响小身体状态、情绪影响大识别精度错误接收率十万分之一十万分之一百万分之一十万分之一万分之一错误拒绝率0.1%1%-3%0.01%0.01%5%-9%识别速度1:11-2 秒2-3 秒1-2 秒1-2 秒
8、6-30 秒1:N一般一般速度快速度快慢便捷程度 便捷性需配合设备采集 较方便需配合设备采集 需配合设备采集 较自然安全性实施攻击易伪造,指纹膜等易伪造,视频、照片等仿冒较难仿冒极难易伪造,录音等(二)(二)产业规模持续增长产业规模持续增长生物识别生物识别产业快速发展产业快速发展,市场规模持续增长市场规模持续增长。随着近年来的快速发展,生物识别已成为人工智能领域落地最快和商6商业银行生物识别技术应用实践及趋势分析业市场规模最大的方向。生物识别行业已逐步在上游(硬件基础支撑)、中游(核心算法服务)、下游(场景应用解决方案)之间建立起产业链条。从指纹识别到人脸识别、虹膜识别,再到静脉识别、声纹识别
9、和微表情识别,生物识别技术种类愈发丰富,产业规模正在不断扩大。2019 年中国刷脸支付用户首次突破 1 亿人,被誉为生物识别大规模普及应用元年。从世界范围看,根据相关数据3显示,全球生物识别市场规模从 2016 年的 126 亿美元上升至 2021 年的 286 亿美元,年均复合增长率为 17.8%,预计 2022 年市场规模将达 340 亿美元。如图 2-4 所示,市场规模整体呈持续增长态势。图 2-4:2016-2022 年生物识别市场规模趋势3*数据来源:全球企业增长咨询公司 Frost&Sullivan7商业银行生物识别技术应用实践及趋势分析(三)(三)行业应用不断深化行业应用不断深化
10、在政策支持背景下在政策支持背景下,产业应用持续深化发展产业应用持续深化发展。有关资料显示,生物识别技术可以追溯到 20 世纪初期,1912 年法国政府采集流浪汉指纹实施人员身份管理,开启“生物密钥”身份识别的新时代。但由于生物信息采集和分析均需要投入巨大成本,故该技术最初应用只被限制在刑侦、社会管理等很小的范围内。直到上世纪 90 年代末,硬件和算法快速发展,采集和计算成本大幅降低,识别速度和准确率有了很大提升,应用范围进一步扩大。1998 年西门子推出第一款带有指纹识别的手机,美国在“911”恐怖袭击后,研发部署人脸识别、指纹识别等生物识别装置加强本土安全警备,客观上促进了生物识别推广应用。
11、2019 年 9 月,我国工业和信息化部公开关于促进网络安全产业发展的指导意见(征求意见稿),表示支持构建基于商用密码、指纹识别、人脸识别等技术的网络身份认证体系,着力提升支撑网络安全管理、应对有组织高强度攻击的能力,明确了生物识别技术在网络安全产业发展中的重要意义。在人工智能、深度学习、影像传感等技术推动下,生物识别迅速普及化,人脸识别、指纹识别等被应用到公众日常生活当中。生物识别技术将人体生物特征数字化和网络化,为政府、企业、消费者(GBC)三端主体提供崭新、便捷、高效的身8商业银行生物识别技术应用实践及趋势分析份验证和智能感知能力,广泛应用于社保认证、智慧教育、金融支付、智慧交通、安检通
12、关等领域。图 2-5:生物识别典型应用行业生物识别技术将为各行业的用户提供方便快捷、安全且高效的服务体验,满足人们消费生活升级需求。生物识别可简化业务处理流程,缩短业务办理时间,如社保资格远程身份核实等;可实现无纸化出行、无介质服务,如刷脸登机、刷脸支付等;可增强身份验证安全性,如考生认证、安检门禁等。表 2-6:行业应用场景典型案例应用主体应用主体行业应用行业应用典型场景案例典型场景案例政府社保国家社会保险公共平台上线,用户可以实现“刷脸”完成社会保险待遇资格认证,让社保年审不折腾老年人。医疗大连医保局试点实施就医“刷脸结算”,解决老年人不会操作智能手机复杂功能或忘记带医保卡和身份证的麻烦。
13、教育北京、广东等多地高考采用人脸识别+指纹识别双重技术9商业银行生物识别技术应用实践及趋势分析确认考生身份地。企业交通深圳地铁发布“生物识别+信用支付”地铁售检票系统,人脸识别自动开闸进入地铁,提升通行效率;餐饮智慧食堂上线刷脸支付,提升支付便捷性,提高结算效率。商超各类商超、无人超市等利用人脸识别实现自助结算,自助收银,提升消费者结账效率和购物体验。安检考勤北京首都机场推出“刷脸”自助登机服务,不用身份证和机票,实现无纸化出行。在企业门禁、考勤、访客管理中应用生物识别,提升工作效率,加强安全管理。消费者智能手机具备某种形式的生物识别功能已成为智能手机的标配,如指纹、人脸、虹膜手机解锁功能。智
14、能门锁智能锁行业在常见的指纹锁外陆续推出人脸识别锁、虹膜识别锁、声纹识别锁,智能门锁逐步取代传统锁。10商业银行生物识别技术应用实践及趋势分析二、商业银行生物识别实践探索商业银行本质是经营管理风险的行业,防范风险是其永久的主题,特别是涉及资金安全的身份核实更是重中之重。生物识别作为新型身份认证增强手段,商业银行需要深刻理解其技术本质与特性,统筹做好技术应用顶层设计,为客户提供更安全、便捷、智能的产品服务,提升商业银行运营效率和风控水平,为业务发展带来新机遇。(一)(一)注重注重顶层架构设计,构建企业级顶层架构设计,构建企业级技术支撑技术支撑能力能力1 1.做好技术应用做好技术应用架构架构设计设
15、计,构建生物识别技术体系支撑。构建生物识别技术体系支撑。生物识别技术在不断向前发展,架构设计宜以前瞻性、系统性、安全性为指导原则,采用分层架构设计,建设多元化特征并行发展、云边端纵向分层解耦、生物特征客户统一视图的企业级生物识别服务,以兼顾不同场景和部署环境需求,参考架构如图 3-1 所示。图 3-1:生物识别平台参考架构11商业银行生物识别技术应用实践及趋势分析(1)多种生物特征原子服务并行发展。以算法引擎为基础,将特征模板库水平分库存储,构建多特征、独立的生物识别原子服务。不同特征原子服务间横向解耦,特征模板按照特征种类分库、同一特征分片存储,实现识别算法升级互不影响。同一特征原子服务支持
16、按需横向水平拓展,根据交易并发需求灵活动态部署。(2)云边端服务纵向分层解耦。将前端设备采集的 SDK与边缘端、云端识别算法原子服务分层,由前端 SDK 输出标准化的识别图像,动态路由到边缘端或云端相应的服务,边缘和云端服务接收标准化的图像进行识别,实现云边端纵向分离。支持同一前端图像由服务侧多识别算法综合决策后返回最终识别结果。(3)以客户视角构建统一的生物特征全视图。按客户信息号建立统一生物特征管理视图,将生物特征作为客户敏感信息,纳入企业级客户信息全生命周期管理和可信等级分类管理,实现客户视角对多种生物特征的统一视图管理,并可按采集时认证条件划分可信等级,满足不同安全级别认证需求。2 2
17、.制定制定技术规范技术规范应用应用指引指引,保障技术创新应用安全保障技术创新应用安全。商业银行在应用生物识别技术时,注重以生产安全为底线,结合银行业务特性,寻求技术与业务的契合点。通过建立生物12商业银行生物识别技术应用实践及趋势分析识别应用技术规范,在兼顾便捷的前提下,保障生物识别技术应用安全。(1)生物识别作为增强认证因子,综合其他认证手段实施业务分级使用管理。生物识别本质是计算两个生物特征向量的相似度,且特征提取易受到环境等因素影响,技术上存在一定误识概率。因此,在实际业务应用中,需根据业务身份核实的不同强度需求和各生物识别技术特点,对业务安全需求进行分级管理,选择合适的生物识别技术作为
18、增强认证手段并设定合理阈值,如表 3-2 所示。原则上,生物识别技术宜作为一种辅助增强的身份验证手段,与其他的认证手段结合应用以强化身份认证的安全性。对安全级别高的场景,不能将生物识别作为唯一的身份验证因子,应组合多种身份验证因子来验证身份。表 3-2:各安全强度应用要求安全强度安全强度应用要求应用要求高对安全级别高的场景,如支付结算、资金交易等,生物识别仅作为辅助认证手段,应组合多种身份验证因子,包括但不限于静态密码、动态短信验证、U 盾、安全设备校验、设备指纹等等,设置阈值相对高。中对安全级别中的场景,如登录、小额支付等,应组合其他的身份验证因子来验证身份,设置阈值中。低对安全级别低的场景
19、,如查询明细等,应组合至少一种其他的身份验证因子来验证身份,设置阈值可以稍低。13商业银行生物识别技术应用实践及趋势分析(2)制定技术应用规范指引,引导业务合理使用。遵照国家和行业标准,在企业内制定生物识别应用技术指引,明确应用生物识别技术的原则和规范要求。一是可按照线上渠道、线下自助渠道、线下协助渠道分别制定生物识别安全基线,明确各渠道应用生物识别技术应满足的最基本安全管控要求。二是明确客户明示同意、应用范围最小化、注册身份可控、特征存储和特征传输加密保护等应用原则,保证满足业务合规和应用安全要求。三是明确客户端开发组件和云端服务的接入规范,规范运行环境和安全防护的要求,实行服务接入方权限登
20、记,算法版本周期升级等策略,实现技术集成的有效管控。(二)(二)创新创新银行银行应用场景应用场景,打造新模式升级服务能力,打造新模式升级服务能力金融是生物识别技术应用典型且重要的领域。随着近年来人工智能技术的兴起,生物识别作为一种平衡安全与便捷的身份鉴别、智能感知的新手段,创新身份认证、交易识别、客户识别的新模式,为商业银行发展带来新动能。图 3-3:金融业生物识别典型应用模式14商业银行生物识别技术应用实践及趋势分析1.1.生物特征作为身份认证生物特征作为身份认证增强增强模式模式,加固安全认证能力。加固安全认证能力。传统用户名加密码或短信认证码的身份认证方式己难以满足用户的安全性需求。随着手
21、机病毒、网络黑客等金融安全威胁日渐增多,简单的数字或字母组合作为密码很容易被破解,在公共场合面临输入密码被盗窃或手机短信被伪基站嗅探的风险。一旦发生此类安全问题,将给客户、银行带来了不可逆转的负面影响和巨大的经济损失。构建安全可靠的交易认证体系、保障客户资金安全,已成为金融安全的重点研究和实践方向。商业银行可借助生物特征具有唯一性、稳定性、防伪性、不可抵赖性等特点和优势,根据业务场景特殊要求,在交易认证过程中增加生物识别认证环节,校验当前交易对象是否客户本人,实现用户交易 KYC 增强认证,防范伪冒交易,如开户刷脸人证合一校验、卡片启用声纹校验等。依托生物信息进一步增强交易身份认证安全性,更能
22、保障客户交易安全。2.2.生物特征作为交易识别新模式生物特征作为交易识别新模式,构建免介质服务能力。构建免介质服务能力。随着人们对于金融服务“便捷和安全”的体验追求不断提高,商业银行越来越重视通过新技术创新产品服务。生物识别技术在不失安全的前提下,还能防丢、防忘,具备便捷广泛的特点,是自然界赋予的天然密码,与多样化、个性化和便捷化的需求发展相适应。15商业银行生物识别技术应用实践及趋势分析商业银行可将生物特征向“交易账户”+“交易密码”的应用方式转变,既可作为交易认证媒介,又可作为交易账户识别媒介。融合应用生物识别、语音识别等新技术,构建商业银行无介质服务体系,建立客户生物特征与银行卡账户的关
23、联,创新银行与客户连接模式。线下交易时,可通过刷脸等方式自动获取交易银行卡账户,并同时基于生物特征验证客户本人交易身份,提供无卡取款、刷脸支付等便利。线上交易时,可综合语音识别、自然语言处理技术自动识别客户交易意图,自动获取交易银行卡账户,通过刷脸、声纹校验客户身份,提供语音转账等智能化服务。这种服务方式从生物智能的角度省去了部分交易环节,直接关联银行账户智能确认,提高金融服务无介质化、智能化水平,大大提升交易的流畅性,增强银行品牌美誉度和客户忠诚度。3.3.生物特征作为客户识别新模式,提升客户感知能力生物特征作为客户识别新模式,提升客户感知能力。随着金融科技发展,金融行业变革持续加速,不断催
24、生出新业态与新模式,大幅降低了人民群众享受金融服务的门槛。金融业务下沉的同时,其风险也在不断扩张。与此同时,基于新技术和新场景的诈骗手段不断升级,欺诈方式更具专业化、智能化,实现客户精准识别已成为商业银行应对风险挑战的重要手段。商业银行可借助生物识别技术拓宽客户识别的有效途径,通过生物识别对交易人的人脸或声音校验,可判断是否16商业银行生物识别技术应用实践及趋势分析客户本人,防范非法开办银行卡等业务,提升反洗钱工作效率。通过生物识别捕捉客户表情的细微变化、微小的神情表现,并利用人工智能算法实现对客户的意图感知,识别客户的异常行为,在关键业务办理环节检测出欺诈行为,预防伪冒信贷申请,提高银行反欺
25、诈系统的精准性和有效性,提升风险防控水平。(三)(三)探索探索业务规模业务规模应用,创新赋能提升银行竞争力应用,创新赋能提升银行竞争力在企业数字化转型趋势下,各商业银行积极应用生物识别技术实现新技术的价值转化,在对客服务、运管管理、风险管控等领域探索应用,在实践中创新业务服务模式,优化业务流程,完善风控体系。1.1.创新对客服务模式创新对客服务模式,提升客户服务体验提升客户服务体验。一是提升线下交易便捷性,在网点提供“免卡、免证”无介质服务,支持生物特征代替银行卡、生物识别替代身份证完成业务办理。招行提供刷脸替代银行卡,实现“网点无卡化”,工行、农行等提供 ATM 刷脸存取款服务,攀枝花银行支
26、持掌静脉存取款功能。二是提升线上交易智能化,在手机银行、电话银行智能感知客户本人,自动关联交易账户,提供智能转账和登录服务。工行、建行等提供手机银行“一句话”智能转账、缴费服务,仅需说出收款对象和金额便可智能发起支付指令。汇丰银行为客户提供电话银行声纹登录验证,简化操作流程。2.2.精简优化业务流程精简优化业务流程,提升银行运营效率提升银行运营效率。运用生物特17商业银行生物识别技术应用实践及趋势分析征无接触、难伪冒的特点,优化业务流程,提升银行运营效率。一是借助人脸识别技术精简优化柜面交易远程授权流程。工行、建行、中行等实现柜员指纹、刷脸的签到、远程授权。二是在网点、金库的门禁系统部署生物识
27、别,提升进出效率,加强人员权限管控。工行应用虹膜识别实现金库管理员和押运人员出入库控制。三是借助生物识别扩充自助设备业务种类,降低柜面业务压力。工行提供刷脸自提柜实物提取,建行提供指纹自助领卡,中国银行提供居民健康卡刷脸自助发卡,招行和交行提供指纹保险柜解锁,中信银行提供刷脸智能终端自助开户业务等。3.3.完善风险管理手段完善风险管理手段,提升风控智能水平提升风控智能水平。一是利用生物识别自动识别可疑欺诈人员,实现黑名单自动拦截。工行在信用卡申请业务,使用人脸、声纹识别申请人,检测可疑黑产团伙。二是结合公安部的联网核查功能,实现人证合一校验,增强伪冒欺诈交易检测。工行在 e 钱包和二三类账户实
28、现刷脸远程校验身份,浦发银行使用声纹识别进行进线客户的身份确认。三是应用生物识别在远程服务中分析客户意图,辅助识别欺诈风险。工行、平安银行实现人脸、声纹、微表情检测信贷欺诈风险。总体而言,各商业银行生物识别应用场景日趋丰富,为客户提供无介质服务和便捷高效身份认证手段,提升客户体验和业务运营效率,实现精准识别欺诈风险,增强商业银行风险管理能力。18商业银行生物识别技术应用实践及趋势分析三、生物识别应用挑战及应对生物识别技术广泛应用很大程度上提升了各场景下身份识别的安全性、认证效率及认证过程中的用户体验。然而,在实际应用场景当中,生物识别仍存在一些局限,制约业务场景的应用范围和推广。(一)(一)算
29、法准确率问题制约应用算法准确率问题制约应用场景场景范围范围生物识别准确率受多方面因素影响生物识别准确率受多方面因素影响。生物识别的技术核心和本质是获取用户生理、行为生物特征信息,并将其转换为数字信息,而后利用计算机技术和可靠的匹配算法完成用户验证与识别个人身份。生物识别本质上属于近似计算而不是精确计算,与静态密码 100%精确比较后判断是否匹配的方式不同,生物识别是判断生物特征的相似度决定匹配或不匹配。设置合适的相似度阈值,实际是在易用性(通过率=1-错误拒绝率 FRR4)与安全性(错误接受率 FAR5)之间取舍,设定平衡点。如图 4-1 所示,若调低相似度阈值,则错误接收率增加,表现为通过性
30、较好,宽容度越高,但得到更多的假阳性(不应该匹配上的被判断为匹配成功),降低了系统安全性;若调高相似度阈值,则错误拒绝率增加,表现为安全性更高,4FRR:简单来说是指“把应该匹配的人脸当成不匹配的人脸”的比例。5FAR:指“把不应该匹配的人脸当成匹配的人脸”的比例19商业银行生物识别技术应用实践及趋势分析但得到更多的假阴性(应该匹配上的被判断为匹配失败),通过率降低,宽容度越低,用户体验越不友好。图 4-1:FAR 与 FRR 的关系同种生物识别技术受算法原理、传感器、对象群体、环境因素影响,其识别性能也存在差异。以人脸识别技术为例,2019 年 1 月美国国家标准与技术研究院(NIST)人脸
31、识别算法测试结果显示,在使用证件照数据集时,前 20 名的参赛算法都能在错误接受率(FAR)为百万分之一时,保持错误拒绝率(FRR)小于 2%。换用日常人脸照片集时,算法性能出现下降,在同样 FRR 下,FAR 只能达到万分之一。综上可见,生物识别的识别准确率不仅依赖于算法优化和训练数据量提升,还与应用环境条件密切相关。因此,生物识别无法保证百分百精确判断且易受使用环境影响的特性,一定程度上限制了生物识别在一些高安全性场景的应用。20商业银行生物识别技术应用实践及趋势分析为应对生物识别算法准确率的问题,商业银行可建立客户体验和算法升级的常态化工作机制。通过建立常态化客户体验报告机制,及时收集客
32、户使用反馈,根据不同使用场景下的客户体验和安全性方面的差异化需求,灵活调整生物识别的应用方式。针对高安全性场景的应用,采用多因子认证的策略,加强认证强度。同时,依托生产运维大数据分析,实时掌握算法应用效果,针对特定场景进行算法调优,推动算法升级保鲜。(二)(二)个人隐私泄露风险成为应用掣肘个人隐私泄露风险成为应用掣肘生物特征隐私信息安全要求越发严格生物特征隐私信息安全要求越发严格。数据安全法、个人信息保护法在 2021 年相继发布实施,将“个人生物识别信息”纳入“敏感个人信息”范畴,规定个人信息处理者在处理敏感个人信息时应取得个人的单独同意,明确不得过度收集个人信息,不得以个人不同意为由拒绝提
33、供产品或者服务,并赋予个人撤回同意的权利。个人金融信息保护技术规范将个人生物识别信息归入敏感级别最高的 C3类个人金融信息,规定了在金融领域收集、存储、公开披露的基本要求。2020 年修订的信息安全技术个人信息安全规范同样将个人生物识别信息划入敏感个人信息范畴,对个人生物识别信息的收集与存储进行了专门规定。21商业银行生物识别技术应用实践及趋势分析考虑到国家监管政策日益收紧,加上生物识别具有应用场景广泛、数据生命周期较长、数据量极大等特点,导致风险敞口增大,生物识别应用的合规风险也越来越大,如表 4-2所示。表 4-2:不同类型应用风险风险类型风险类型应用风险应用风险风险说明风险说明个人权益侵
34、害风险人格权益侵犯风险人格权的核心是个人自主决定权,在用户不知情的情况下进行自动采集生物信息,严重侵犯了信息主体的自主权,贬损了信息主体的人性尊严。隐私侵犯风险个人生物识别信息属于敏感个人信息,具有一定的隐私属性,对个人生物识别信息的非法收集、使用本身就是对个人隐私的侵犯。财产侵害风险个人生物识别信息大多与银行卡、支付开锁、额度提升等金融系统关联,为侵犯公民财产权留下风险隐患。歧视风险个人生物识别技术算法训练数据不同易引发算法歧视,且个人生物识别信息能够揭示特定疾病的概率或趋势,导致相同特征的人群被区别对待,引发歧视风险。社会风险破坏公共秩序风险如果人脸信息被窃取或伪造,致使黑客入侵,可能导致
35、公共服务系统瘫痪;对公众人物等进行换脸伪造视频会引起社会公众的恐慌与社会秩序的混乱。危害国家安全风险一旦个人生物识别信息非法跨境传输被不法分子利用,将危害国家安全。与此同时,立法层面大多将“个人生物识别信息”内含于“个人信息”之中统一规定,没有凸显生物识别信息的特殊性,针对性不强。专门针对个人生物识别信息应用监管的22商业银行生物识别技术应用实践及趋势分析相关法律法规及应用规范等较少,且规定相对笼统,可操作性有待完善。为确保生物识别应用安全,实现全生命周期个人信息的隐私保护,生物信息处理方不得不适应更广泛的个人信息规范要求,增加更多环节和配套管理机制,技术上投入更大成本保障合规,这将一定程度上
36、制约技术在更多领域的推广应用。在强合规监管背景下,商业银行必须依法依规落实生物信息的全生命周期安全管理职责,在信息收集、信息使用、信息持有各个阶段严格按照处理规范实施,真正落实“明示同意”、“最小范围使用”,确保生物信息安全。表 4-3:生物信息处理参考规范处理阶段处理阶段处理规范处理规范信息收集在告知内容上,应向生物识别信息主体告知收集规则,包括但不限于收集目的、收集处理方式、收集时间、收集的必要性以及对信息主体的影响。在告知方式上,应当通过及时性披露、弹窗、勾选、视频等“增强性告知机制”;在公共场所收集应当设置显著的提示标志,并获得信息主体的“明示同意”。信息使用限制“非法处理”个人生物识
37、别信息的行为,包括不得非法使用、加工、传输、买卖、提供、公开、披露等,既不得违反“双方的约定”,亦不得违反相关“法律规定”。按“特定的目的”使用原则,严格限制与原始目的“直接相关”,对此可以融入场景与风险要素进行灵活判断,并不得增加新的目的限制。不得向第三方出售、出租、交换生物识别信息,或以其他方式23商业银行生物识别技术应用实践及趋势分析从保存的生物识别信息中牟利。信息持有在保存方式上,原则上不应存储原始个人生物识别信息,除非获得信息主体单独书面的授权同意。确需储存时应采取安全保障措施保护,包括但不限于个人生物识别信息与个人身份信息分开储存,采取加密、匿名化方式等等。严格限制储存期限,不得逾
38、越“原始目的的必要期间”,对不必要保存或存储期限已过的信息进行删除。为信息主体提供“退出”服务机制,支持撤回对生物识别信息收集的同意权,并对相关的信息进行删除。(三)(三)安全威胁随应用范围拓展不断升级安全威胁随应用范围拓展不断升级生物识别技术攻击威胁在不断升级生物识别技术攻击威胁在不断升级。生物识别作为身份验证手段应用时,与其它身份认证技术一样,面临着各种蓄意攻击等威胁。随着应用范围不断拓展,生物识别技术受到的攻击威胁愈发增长,攻击手段不断升级,安全态势不可忽视。以人脸识别为例,在人脸识别交互活体检测、人像照片抓拍、人脸照片上送、静默活体检测、人脸比对的处理过程中,各环节均存在不同的攻击面,
39、如图 4-4 所示,整体可分为活检层攻击、采集层攻击、算法层攻击。同时,在各个攻击面上也面临着不同手法的攻击威胁。特别是在采集层攻击场景下,若识别照片被攻击替换,将会使得活体检测算法的防御机制失效,所以必须结合生物识别算法以外的安全技术,24商业银行生物识别技术应用实践及趋势分析共同保障生物识别技术应用安全,包括如代码混淆、防注入、防内存窃取、恶意代码监控等 APP 应用加固手段。图 4-4:人脸识别潜在攻击面随着各类攻击手段不断升级,如表 4-5 所示,攻击方式呈现出软硬件与社会工程并举、多个攻击面组合实施等特点,任何一个环节的漏洞均有可能导致安全防御机制失效。因此,在技术应用过程中,将面临
40、业务处理全生命周期各环节攻击的持续挑战。表 4-5:人脸识别典型攻击手段处理环节处理环节攻击面攻击面攻击手段攻击手段交互活体检测活检层打印照片攻击:打印用户面部图像,通过照片平移、扭曲、旋转或者抠除照片中关键部位(如眼睛、嘴巴)等方式尝试绕过交互活体检测3D 活化或伪造视频转录攻击:利用图像处理、三维建模软件将客户照片转换为动态图片,录制包含所有活体检测动作的视频,或者利用深度伪造技术生成伪造的客户视频,通过循环或选择播放视频尝试绕过交互活体检测。人像照片抓拍摄像头劫持攻击:针对用户终端设备摄像头进行劫持攻击,在系统驱动层篡改摄像头获取的人脸图像,将现场抓拍照片替换为受害人照片,上送后台服务器
41、通过人脸对比,包括系25商业银行生物识别技术应用实践及趋势分析采集层统摄像头劫持攻击(定制 ROM)和虚拟相机攻击。人脸照片上送代码劫持攻击:针对客户端 APP 代码执行过程进行的攻击,通过逆向手段获取客户端人脸识别 SDK 相关代码逻辑,基于动态插桩技术,hook 人脸识别函数注入攻击脚本,改变人脸识别函数的执行流,将实际拍摄的照片替换为指定图片,上送后台服务器通过人脸对比。通讯报文篡改攻击:在网络层劫持客户端与服务器间的通讯报文消息,将实际拍摄的照片替换为指定图片,上送后台服务器通过人脸对比。静默活体检测算法层高精度伪造攻击:利用业界最新高分辨率激光打印或 3D 打印技术制作高仿真人皮面具
42、或人头模型的方式绕过静默活体检测的攻击。人脸比对人脸对抗样本攻击:通过生成对抗网络等人工智能算法,在人脸图片上进行微小改动,生成具有指定人脸特征的对抗人脸图像,或将多张人脸特征融合在一张图片上,从而使得模型误识别为指定用户绕过人脸识别。为应对生物识别系统安全威胁的问题,商业银行需按交易链条实施全生命周期安全管理。在采集环节,客户端 SDK使用代码混淆、加密、权限控制、终端环境检测、设备指纹等措施实现处理环境的安全加固,防御设备层的攻击;采用动作、光线等活体检测技术,防御活检层攻击。在传输环节,通过传输层和应用层双重加密的方式传输特征图像数据,部署网络入侵防护、应用防火墙等安全防护设备,实时检测
43、和拦截互联网攻击,防御通讯报文篡改攻击。在存储环节,生物特征模板采用国密算法加密存储,通过数据库用户权限控制与实时审计的有效保护,确保生物特征不被非授权访问。26商业银行生物识别技术应用实践及趋势分析四、生物识别应用趋势展望生物识别技术作为人工智能领域最先在产业界规模化应用的技术之一,经历了被大众质疑、担忧到逐渐被接纳、认可的迭代发展过程。随着配套法律法规的制定,相应技术发展逐步完善,技术应用将从野蛮生长向高质量方向发展。(一)(一)多模态生物特征融合,提升多模态生物特征融合,提升整体整体识别识别准确性准确性生物识别由“单一”到“多模态”进化,将提升整体识别准确率。多模态生物识别是指整合或融合
44、两种及两种以上生物识别技术,利用其多重生物识别技术的独特优势,并结合数据融合技术,使得认证和识别过程更加精准、安全。多模态生物识别同时使用多种生物特征,可以取长补短,有效降低识别的误差,不仅提高了识别的准确率,而且降低了单一生物识别系统的风险。随着采集设备整合和成本降低,多模态生物识别将成为未来应用新趋势,但融合方法仍有较大的改进空间。相较于单一生物识别技术,多模态生物识别技术可通过独立或多种采集方式合而为一的采集器,采集不同的生物特征,并通过分析、判断多种生物识别方式的特征值进行识别和认证。目前国内外学术界研究人员提出大量多模态融合算法,如表5-1 所示。多模态数据融合方式在探索中不断完善,
45、在数据构建、融合策略以及系统运行效率等方面,不同融合方法各27商业银行生物识别技术应用实践及趋势分析有侧重。在实际应用中,因在决策层进行多模态融合仅引入很小的计算开销,但却能有效提高多模态生物识别系统的识别精度,所以目前决策层融合方法在实际系统中的应用较为广泛。基于深度神经网络的多模态融合方法,由于不同模态各自发展的不均、缺少大规模多模态生物识别数据库等问题,现阶段研究与发展仍受限。表 5-1:多模态融合算法融合类型融合类型融合算法融合算法原理简述原理简述基于不同层面的融合图像层融合图像层融合使用多幅图像内包含的信息进行图像级别的融合。特征层融合特征层融合需要先对各个模态进行单独处理,在得到每
46、个模态的特征后,再对多种模态的特征进行融合。分数层融合分数层融合以各种模态的匹配分数作为输入,经过某种规则得到最终的匹配分数,从而进行身份判断。排序层融合排序层融合将不同模态的匹配分数按照置信程度从高到低进行排序。决策层融合决策层融合将每个模态的布尔响应在融合时通过布尔算子、投票法等进行融合。基于不同操作方式的融合并联融合同步处理所有模态,具备高效的特点,能够有效缩短多模态生物识别系统的响应时间。串联融合将前一个模态的识别结果送入下一个模态的识别进程,其特点是后续识别流程可利用前一模态的识别结果。混合融合使用多种分类器以树结构连接起来,可以认为是一种Boosting 方式。混合融合方法结合了串
47、联融合方法和并联融合方法的优势,但也继承了其缺点,如增加系统复杂性、识别时间长等。28商业银行生物识别技术应用实践及趋势分析基于深度神经网络的融合深度神经网络融合主要优势在于深度学习可自动挖掘不同模态的高层次特征,并充分挖掘其互补性,但不同模态各自发展的不均、缺少大规模多模态生物识别数据库等问题,现阶段基于深度神经网络的多模态融合方法的研究与发展仍受限。(二)(二)监管规范市场行为,隐私技术防范信息泄露监管规范市场行为,隐私技术防范信息泄露多种隐私增强技术加持,保障生物信息隐私安全。随着个人生物识别信息相关的法规和标准相继发布实施,生物信息在收集、储存、处理和使用的每一个过程中都可能涉及到个人
48、隐私保护的合规问题。为应对生物信息隐私保护挑战,业界已从关切识别准确率向兼顾准确率和数据安全性方向转变,防范生物信息隐私泄漏成为各方关注重点。近年来隐私增强技术的不断发展为保护用户生物特征隐私数据提供了新的技术方法,如表 5-2 所示,现阶段的主要方法有分散存储、特征加密变换和隐私计算等技术。其中分散存储的方法应用较为普遍,主要将生物信息与身份信息进行隔离存储,降低敏感数据集中存储带来的泄露风险;特征加密变换采用对原始特征变换的方法,使得识别精度损失较大;隐私计算方法利用多方安全计算技术对特征加密分片计算,计算性能开销大,影响整体响应时效。后两种方法仍在探索改进之中。随着隐私增强技术的逐步发展
49、成熟,与生物识别技术深度融合应用后,将更好保障用户的生物信息隐私安全。表 5-2:各类隐私增强技术29商业银行生物识别技术应用实践及趋势分析隐私增强技术隐私增强技术技术概述技术概述分散存储方法将用户身份证号、电话等敏感信息与其关联的生物特征信息分别存储在不同的数据库中,并且只有特定的和经过授权的查看者才能读取数据,从而防止不法分子恶意收集隐私信息,降低敏感数据集中存储带来的泄露风险。特征加密变换指在用户同意的前提下,对采集的用户生物特征信息,按照一定的规则进行数据加密变形,如针对人脸图像信息的空间域图像像素点置乱方法、图像滤波方法、变换作用域方法等加密技术,保障生物特征数据存储、使用过程中的安
50、全性,实现对用户敏感信息的保护。隐私计算技术面向用户隐私信息全生命周期保护的计算理论和方法。在不共享、不归集原始数据前提下,完成对生物信息安全处理,并按照对外“数据最小化”原则,减少外界可获得的信息量,仅向外提供加密计算后的结果,确保敏感生物信息在处理、流转和使用过程中不发生泄露,有效解决高效处理流通和数据隐私保护之间的矛盾。(三)(三)攻防对抗螺旋式发展,持续增强技术安全性攻防对抗螺旋式发展,持续增强技术安全性近年来,随着生物识别技术应用范围拓展,面向生物识别系统的攻击有不断增多的迹象。过去生物识别防攻击技术以检测打印照片、屏幕翻拍、面具、硅胶头套等呈现式攻击手段为主。近年随着深度伪造合成视
51、频技术快速发展,合成视频可达到“以假乱真”的效果,成为新攻击手段,给传统活体检测手段带来新的挑战。新型攻击技术的出现,引发学术界和产业界广泛关注,生物特征防伪造攻击的新理论和新方法成为研究热点,新型、30商业银行生物识别技术应用实践及趋势分析更有针对性的活体检测方式亦随之出现。其中炫彩光活体检测便是近年业界推出的针对视频合成伪造攻击的新型活体检测技术。对抗样本检测技术则是学术上针对对抗样本攻击的前沿防御技术,技术成熟度有待进一步提升。伴随人工智能和深度学习技术的不断迭代演进,人脸伪造攻击和反伪造防御技术也将在不断对抗中螺旋式发展。表 5-3:各类活体检测手段活体检测类型活体检测类型技术概述技术
52、概述动作活体检测要求用户根据交易界面提示做点头、摇头等随机动作,每次的随机动作都是从计算机 Servers 端发出的,计算机通过人脸质量检测、人脸关键点的感测和跟踪,以及脸部的 3D 姿态等技术细节识别是否真人人脸。视频活体检测主要针对移动 H5 页面的应用场景,要求用户根据交易界面提供的内容读一个四位数字,计算机通过云识别、语音同步检测等方法判断被检测的人脸是否真实。静默活体检测基于人脸图片中可能存在畸变、摩尔纹、反光、倒影、边框等信息,判断图片中的人脸是否来自真人活体,有效抵御纸质翻拍照、电子翻拍照以及视频翻拍等攻击方法。炫彩光活体检测根据反射光三维成像的原理,杜绝了用 3D 软件合成的视
53、频、屏幕翻拍等的攻击。在强光环境下,炫彩活体的检测效果不太好,因此可能需要用户最后做出一个简单的点头动作,以提高活体攻击的门槛。对抗样本检测在人脸识别模块前加入检测防御模块,通过检测排除对抗样本,确保输入人脸识别模块的样本为正常样本。检测防御模块采用基于人脸特征压缩法、人脸特征激活值与人脸属性可解释性等方法,判断输入样本是否为对抗样本。31商业银行生物识别技术应用实践及趋势分析(四)(四)数字经济大势所趋,生物识别数字经济大势所趋,生物识别助力转型发展助力转型发展在我国数字经济快速发展趋势下,商业银行以金融科技驱动转型升级已是大势所趋。展望未来,随着生物识别技术迭代演进和应用规范化,商业银行通
54、过生物识别技术与其他金融技术交叉融合,将助力实现普惠金融服务,迎合新时代客群需求,抓住未来虚实融合金融新业态机遇,为商业银行业务可持续发展提供源源不断的新动能。1.1.助力构建普惠金融服务,跨越金融数字鸿沟。助力构建普惠金融服务,跨越金融数字鸿沟。根据第七次全国人口普查的相关数据显示,我国已经逐步进入“老龄化社会”,对于老人来说,享受数字时代便利时往往需要付出更多学习时间和精力,甚至还面临使用阻碍。为更好帮助老年人跨越“数字鸿沟”,国务院印发关于切实解决老年人运用智能技术困难实施方案的通知,提升网络消费便利水平,使得金融服务的适老化改造势在必行。生物识别技术基于人体自带的生物特征信息进行处理,
55、具有天然便捷性,可助力解决人口老龄化问题,帮助老年人跨越金融服务数字鸿沟。通过生物识别融合自然语言和语音合成等技术的方式,采用即时响应的策略,实现自动识别客户身份,理解老年人业务办理意图,自助语音提示帮助等功能,简化手工操作步骤,降低老年人记忆负担和学习成本,为老年人提供简单、32商业银行生物识别技术应用实践及趋势分析自然、有温度的交互服务模式,形成适老化无障碍金融服务,让老年人享受到智能化金融服务带来的便利。通过综合应用微表情、生物特征大数据分析、智能风控等技术,可感知老年人情感感受,及时发现老人异常支付转账行为。借助大数据分析生物特征,检测出单人多身份不法分子黑名单,预防伪冒老年人身份办理
56、金融业务,从而防范电信诈骗、借贷欺诈等风险,保护老年人的养老资金安全。2.2.提供智能感知极致体验,沉淀新生代客户群。提供智能感知极致体验,沉淀新生代客户群。90 后群体作为互联网的原住民,用户规模再创新高,2020 年 7 月已达 3.62 亿。90 后在人群规模、消费规模、消费增速上均已取得领先,中国市场全面迎来以 90 后为核心的新生代主流消费群体。新生代群体具有典型线上化、移动化、全天候的互联网时代特征,注重娱乐性,喜欢新鲜感,重视突显个性,追求极致用户体验和沟通互动性。目前视频、游戏、直播已成为新生代注意力的主要载体,未来金融服务将以交互性更强的音视频服务作为主要服务模式,以触达新生
57、代客户。人脸、声纹、表情等生物识别技术均以音视频作为输入要素实现用户智能感知、身份核实和意图理解。借助生物识别技术,在音视频服务过程中,用户身份感知、身份核验在轻松自然的沟通互动中自动完成,业务办理时省去输入身份证明要素,跳过繁琐核实校验过程,达到极33商业银行生物识别技术应用实践及趋势分析致的交互体验,可满足新客户个性化、体验化等深层次需求,沉淀新生代客户。3.3.建立数字空间通行证,双向链接虚实世界。建立数字空间通行证,双向链接虚实世界。随着元宇宙相关技术的发展,未来有望实现虚拟世界与现实世界的双向连接与融通,形成虚实二维全面交织的新型生活方式。和现实世界一样,在元宇宙虚拟世界里每个人也都
58、需要拥有自己的身份,不同用户将以不同的身份标识参与到虚拟空间经济活动中,虚拟世界的身份也将需与现实世界空间的身份产生关联映射。由于生物特征的唯一性、稳定性、防伪性、不可抵赖性等特点,无疑将会成为元宇宙重要的身份认证方式之一。如果说手机是移动互联网的入口,那么 AR/VR 设备将成为元宇宙的入口。在 AR/VR 眼镜等传感设备中,集成虹膜等生物特征扫描模块,使得用户更自然便捷地完成身份认证。在元宇宙虚拟空间下,用户将以更具娱乐性和简便性的方式进行资金支付和金融交易。传统让客户输入姓名、身份证号、卡号、密码等信息的方式显然不能满足沉浸感体验的要求,也无法满足虚实融合、高度逼真的新型交互方式。借助生
59、物识别技术,用户可基于 AR/VR 设备上的传感设备实时完成虹膜、人脸等生物识别,便捷快速地自动完成交易介质和身份验证,用户可轻松流畅办理元宇宙中的金融业务,如账户开立、支付确认等。因此,生物识别技术将更好满足用户对元34商业银行生物识别技术应用实践及趋势分析宇宙沉浸感、即时反馈的体验要求,架起物理世界与数字时空之间身份无缝切换的对接桥梁,成为虚实空间链接的通行证。可以预见,未来随着多模态融合、隐私计算和防御技术的发展,生物识别的准确性、安全性、隐私保护将得到持续加强,进入可信生物识别新阶段,将持续赋能商业银行业务创新发展,更好服务经济发展。35商业银行生物识别技术应用实践及趋势分析参考文献1
60、.生物特征识别学科发展报告,中国图象图形学报,20212.个人生物识别信息权益的法律保护研究,浙江农林大学文法学院,20213.人脸识别在金融领域应用的安全性分析,国家信息技术安全研究中心,20214.多模态生物特征识别技术的研究进展,生命科学仪器,20205.国外人脸识别技术应用管理及启示,网络空间安全,20206.深度伪造技术的发展及影响,信息安全与通信保密杂志社,20217.生物识别技术在金融支付领域应用探索,计算机应用与软件,20218.国际生物识别技术场景创新与应用,中国银行业,20199.推动生物识别技术在金融领域安全规范应用,中国人民银行科技司司长李伟,201910.生物识别信息法律规制的国际经验与启示,中国信息通信研究院 赵淑钰,2019