姚友军 郑洪龙 张志芹 邱田振
摘录自中国反洗钱实务2019年第2期
基于人脸识别技术的实名认证方式可以较好地解决金融机构人工肉眼判断识别、短信验证、绑定银行卡认证等常规手段识别不准确、手续繁琐、成本高等问题,极大简化了业务处理流程,使业务办理更加快捷方便,优化了客户体验,大幅降低金融机构的人力成本和客户的时间成本。但同时,人脸识别技术在金融领域的应用中也存在一定的洗钱风险,需要引起足够重视并采取相应措施加以规避。
一、人脸识别技术在金融领域的应用现状
人脸识别技术在金融领城的用途主要分为身份核验和场景规模化应用。前者被广泛地应用于互联网金融、银行的远程开户、远程身份认证等方面;后者主要包括无人银行网点、刷脸支付、存取款、贷款等应用场景。无论何种应用场景,人脸识别技术最根本的目的在于确认客户身份唯一性和确定性,及时完成客户尽职调查任务。从这个角度来看,人脸识别技术的根本意义在于提高客户身份识别的准确性、时效性。这对于金融机构高效履行反洗钱义务具有重要意义,因此得到了国内外金融机构的普遍重视
(一)欧美国家应用情况
从国外来看,包括人脸识别技术在内的生物识别技术在金融领域已有许多应用先例。美国、西欧、日本等发达国家和地区,已允许全功能银行账户以远程方式开立。花旗银行、巴克莱银行、美国银行、摩根大通等银行在账户登录、存取款和支付等环节引入人脸识别等生物识别技术。2013年7月,芬兰公司 UNIQUL推出全球首个基于面部识别技术的刷脸支付系统,同年8月PayPal在英国推出了识别支付系统。206年4月,英国数字银行Atom手机应用上线,可通过面部及语音生物识别技术验证客户身份,实现远程开户。
(二)国内发展及应用现状
2015年以来,人脸识别技术在国内金融领城的应用得到迅速发展,银行业,证券业,保险业以及互联网金融机构纷纷将人脸识别技术应用于各类业务.其中,传统银行业金融机构在营业厅、自助银行、移动终端、自助终端等场景将人脸识别技术嵌入到开户、发卡、存取款、信用卡等业务中;证券业、期货机构普遍支持刷脸远程开立账户;保险公司在投保、保全以及理赔、给付等业务流程引入人脸识别技术,确认客户身份;在线上,互联网金融机构应用人脸识别技术实现电子账户注册、登录、支付、贷款等功能。2018年4月,中国建设银行主要依托人脸识别技术推出了无人银行网点。
二、人脸识别技术在应用中的洗钱风险分析
人脸识别技术应用于金融机构反洗钱,一方面,增强了客户身份识别的准确性、时效性;另一方面,受制于人脸识别技术本身缺陷和配套不足,有被不法分子利用的可能,其在金融领域应用中存在一定的洗钱风险
(一)客户身份识别失真风险
人脸识别技术应用于金融领域客户身份识别存在缺陷与不足,容易被不法分子利用,通过非法途径冒用建立虚假身份从事洗钱等犯罪活动,造成洗钱风险。一是客户身份核查难以做到准确完整。无论是“前端采集影像+后台人工比对”,还是“人脸识别系统”,均不能完全实现对客户身份的缜密验证。据部分金融机构现场试验,有一定比例的非本人客户通过了人脸识别系统测试,成为“漏网之鱼”。二是人脸识别客户身份的准确性受多种客观因素的影响易发生差错。人脸的外形具有不稳定性,会受光照、角度、年龄、胖瘦、发型等因素的影响,可能会导致人脸识别失败。人脸识别信息的比对影像来自公安部公民身份信息系统中的公民影像信息,而公民影像信息的更新周期受制于居民身份证的更新频率,最长可达20年,在较长的时限内,人脸变化存在较大的不确定性,可能与身份信息系统中的原影像产生较大差异。另外,近亲属之间如果外貌比较接近,还会出现父母子女或兄弟姐妹等误识别情况。三是客户身份信息采集不完整影响识别效果。
(二)客户人脸信息被冒用的风险
人脸特征与指纹、虹膜相比,是一个具有隐私的生物特征,被冒用的风险较大。例如,很多人都会将自拍照上传到网络媒体,人脸特征具有了相对公开性,可能会被不法分子冒用,一是不法分子抓住小额刷脸支付、刷脸取款业务中客户身份识别手段单一的特点,利用3D面具或三维影像等技术通过金融机构系统审核,冒名进行远程开户或刷脸取款甚至非法转移资金。二是客户在被胁迫或者是神志不清的情况下,也能顺利通过人脸识别。不法分子利用这一点,采用蒙骗手法迷惑客户,胁迫或者诱感客户通过自助设备转账或者取款,导致客户财产损失。
(三)客户信息泄露风险
人脸识别技术,包括人脸图像采集和记忆储存两个重要环节,大量的人脸图像被采集、储存后,存储服务器一旦受到攻击,数据库被窃取,人脸作为生物特征的隐私就会被泄露甚至有可能被非法买卖。如果被不法分子利用这些信息从事非法行为,那么客户损失的不仅是资金,甚至更多的个人隐私将被暴露,后续产生的冒用身份、诈骗以及洗钱等违法犯罪活动将难以防范。
三、对策建议
(一)健全人脸识别法律法规和应用技术标准
由于缺少人脸识别相关法律法规和技术标准,金融机构有可能在用户不知情的情况下收集客户人脸验证信息,从法理角度来看处于管理模糊地带,因此必须通过法律和技术标准加以约束和规范。一是出台规范人脸识别的适用范围、信息保护、法律责任以及监管要求的法律法规。二是建立人脸识别技术在金融领域应用的行业标准,研究制定误识率、识别正确率、识别速率等技术指标,制定分级别、多层次的国家安全标准及行业安全标准,对不同金融场景下的人脸识别技术标准区分对待。例如,“刷验”付款的应用,因为涉及资金的转移,应采用最高标准,同时,建立人脸识别技术安全认证机构,对技术的安全性、可靠性、错误率等进行认证。
(二)完善人脸识别客户身价配套措施
了解客户的真实身份是金融机构规避洗钱风险的第一道关口,由于人脸识别技术的精准度问题及存在可能被篡改、盗用的风险,因此不能完全依赖于人脸识别技术。应将人脸识别技术和其他传统客户身份验证技术或生物识别技术结合使用,在保证安全的前提下,提高客户身份识别的效率,如对通过人脸识别准入的客户,应完善相关的配套措施,跟进有效的后续风险控制手段,从而提高客户身份识别的可靠性。
(三)完善人脸图像信息资料的存储和应用管理
一方面,人脸识别技术若想在客户身份识别和交易授权中广泛应用,应进一步完善其在客户身份资料和交易记录保存方面的配套技术和设施,确保相关图像资料的存储、调取能符合反洗钱需求。另一方面,加强人脸识别领域的监管,规范生物特征信息保存和管理,保障个人影像数据安全存储、规范使用。增强人脸识别相关图像和数据资料在存储和传输过程中的加密措施,避免相关资料被窃取,切实防范客户身份信息泄露以及人脸被伪造的风险。