人脸识别技术在国际国内早已有之并不新鲜,主要应用于特定区域的公安(如办理护照、驾照扣分等)、海关安检或企业工作区域安防等领域。但应用于开放区域的金融业务,作为远程开户或支付的主要手段,因受到金融监管政策的限制,在全球范围尚无先例。
在中国会有突破吗?记者获悉,关于有关远程开户的框架性意见,央行已经有基本轮廓。此前,今年1月初,央行曾召集了对远程开户有所研究的业务人员,初步讨论远程开户的可能性,基本思路是在业界充分讨论之后进行试点,逐步完善之后再形成一个基本制度。
这份有关银行远程开户的框架性意见,将统一把传统银行和网上银行远程开立账户的方式都称为远程开户,并对原有电子账户进行新的界定,不仅限于网上开户,还包括通过设备终端等开户。
按照央行的初步设想,有望在广东和浙江两个省的用户先开展试点。“但目前在哪儿试点还没最后定,监管对此比较谨慎,毕竟开户属于一系列金融服务的重大基础,脱离了柜台面签可能会有一些风险,怎么试点、局限在什么范围内、如何实现还没最后明确。”一位央行权威人士对此表示。
记者获悉,目前有两家券商已另辟蹊径,探索使用公安部第三研究所(下称公安部三所)认证的公民网络身份识别标识(eID,electronicIDentity,俗称网络身份证)实现远程开户试点。近日,记者采访了公安部三所的有关负责人。了解到此前按证监会规定的远程开户要求,要绑定银行卡、视频录像、双人证明等,程序繁琐。
“网络身份证可用于网络远程业务,包括远程开户、移动支付的身份验证等,从技术上完全可以满足央行落实实名制远程开户的监管要求。”公安部三所有关专家告诉记者,远程开户意味着创新了开户模式,不必通过柜台面签。
据前述专家透露,远程开户的原则是,不管采用何种技术,核心是落实央行的账户实名制。比如民生银行的直销银行,是通过绑定其他银行卡激活账户。相当于其他银行已通过面签进行了身份识别,这符合落实账户实名制的要求。至于人脸识别技术是否可用于远程开户,“这种技术是否成熟央行不去评价,但须由第三方权威部门认证该技术能保证识别本人身份”。
记者了解到,工行已率先试点eID银行卡,加载了eID的工商银行金融IC卡已在全国试点发行1000万张。上海银行也已于2014年9月全面开启加载eID的金融IC卡发行业务,农行、建行、中行也正在陆续开展与公安部三所的合作。“今年要全面推广eID技术的应用。”前述专家称,eID可加载在高强度安全机制的不同智能卡芯片,如社保卡、银行卡及SIM卡等。
eID是一种以密码技术为基础、以智能卡芯片为载体,由公安部门签发给公民,能够在不泄露身份信息的前提下,在互联网上远程识别身份的普适性网络电子身份标识,目前也是欧盟国家网络身份识别的主流技术,美国也正在一些州开展试点。
记者了解,在中国,eID技术的初衷是为了精确记录网上行为、防范网络诈骗和网络犯罪。近年随着网购和快递物流的发展,毒贩、枪贩等瞄准物流通道,而eID技术可以确保网购者的真实身份,有效堵截犯罪通道。针对网络虚拟社会管理、保护公民网络安全以及个人隐私保护等迫切需求,由公安部三所研究酝酿五年自主研发的网络身份证技术,建立的全国唯一的“公安部公民网络身份识别系统”。
公安部三所的主要研究领域包括信息网络安全、物联网、特种通讯、禁毒、反恐防爆、图像处理和传输以及社会公共安全防范技术等,拥有信息网络安全公安部重点实验室、电子数据司法鉴定实验室等一批国家级、部级专业技术实验室,在eID、RFID(射频识别)、VSD(视频结构化描述)、PDD(警用数字化单兵)等领域取得显著成绩。公安部三所下属的计算机信息系统安全产品质量监督检验中心,是针对计算机系统质量安全认证和鉴定的权威国家机构。公安部信息安全标准委员会第一工作组设立在检验中心,近年来主持或参与20多项信息安全产品的国家标准、行业标准的制、修订工作。
目前,公安部三所已在中国广泛开展eID技术的应用试点。比如,2012年开始,在北京邮电大学发放了近3万张网络身份证,进行校园内网络全业务流程的试点。在银行领域,最早与工行合作开展试点。
不为外界关注的是,本月初,eID开始实践与大型互联网企业的合作,探索在更多的跨领域跨行业资源整合中发挥重要作用。3月9日,奇虎360公司宣布其O2O开发者平台引入了“公安部公民网络身份识别系统”签发的工行eID卡,简化了APP的账户管理开发、打通线上和线下用户身份以及移动支付、方便了移动互联网开发者,使得360和工行双方庞大的用户得到更多服务。这无疑是一个多赢的开局——eID 配合拥有NFC功能的手机使用,开发者借助其可实现APP的账户管理开发、打通线上和线下用户身份及实现移动支付。
一位公安部三所专家认为,无论人脸识别、指纹等多重生物识别技术有多成熟,只要是网络远程传输方式都能够被黑客截取复制,“因为互联网的远程环境是不可控的,人证(身份证件)分离的非现场环境下,技术造假门槛很低;这也是为何没有任何一个国家用人脸或指纹等生物识别技术作为金融业务身份识别的主要手段,这是业内最大的误区”。
北大金融信息化研究中心主任陈钟亦表示:“现阶段网络远程传输的方式的确很容易被黑客截取和复制,用于金融业务的确风险很大,除非未来技术可以进化到量子传输,才有可能防止被黑客截取。”
eID技术,采用了“国密SM2”算法,通过高强度安全机制,可以确保无法被读取、复制、篡改或非法使用,从而确保芯片载体及其持有人一一对应。客户在银行柜台和网上购物时使用eID卡,只显示必要的信息,而不是全部信息,大多时候是一个编码。这样既保证了客户网络消费的安全,又确保了身份信息不向司法部门以外的单位泄露,网络消费更安全。
据公安部三所前述专家介绍,eID是个载体,载体的核心是安全芯片,这个外插硬件可以插入桌面电脑、笔记本、ipad或手机读卡器,类似u盾,不可复制不可篡改,黑客无法重放攻击。
他援引韩国的例子称,韩国政府正考虑给17岁以上的公民发放新的身份号码,整个重建过程将耗资几十亿美元、耗时十年以上。造成此灾难的根源,是韩国线上身份识别体系普遍采用基于身份证的身份信息,这种做法使得公民信息严重泄露,随之而来的是线上的身份冒用、盗用泛滥,网上偷盗和电信诈骗案件频发。“中国身份证的编码规则与韩国相似,网络身份识别也是普遍依赖于第二代身份证的身份信息,为避免重蹈韩国的覆辙,中国应快速建立线上网络身份识别体系。”他强调。
2014年10月,BBC新闻曾报道“韩国的身份证系统将推倒重来”。重建的原因是自2004年以来,韩国大量的公民信息被黑客从银行和其他网络服务商的服务器中窃取,全国5000万人口中有80%人口的身份证号和个人隐私信息被盗。
目前中国的二代身份证上网,已经频发大量个人隐私信息泄露事件。在前述专家看来,eID是网络身份识别的基础设施,eID可以做到身份证明,但又不会泄露身份信息。
此前,中国一代身份证容易伪造,所以有了二代身份证。据记者了解,二代身份证设计时,曾考虑嵌入指纹、血型等生物识别信息,但由于中国十多亿人采集成本高,随即放弃了此方案;2012年底有关中国居民身份证法条例修正后,把指纹加入了第二代身份证,目前升级版的2.5代身份证是对二代身份证照片识别的强化版,嵌入了指纹识别技术。“但是也要通过现场识别比对,并不能用于远程认证。”陈钟介绍说。
中国目前有6亿网民,是全世界网民数量最多的国家。只是eID技术尚未大规模应用。“网络身份证就可以用于网络远程业务,包括远程开户用于移动支付,从技术上可保证身份识别,但需要国家立法推动。”前述公安部三所专家表示。
(本文整理转自《财新周刊》)
更多推荐互联网平台↓↓↓