刷脸or数字证书,哪个是未来互联网身份识别路径?
作者:吴卫明 2015-06-30马云的刷脸支付试验,将人脸识别问题又一次置于公众的关注之下。对于普通人而言,刷脸识别、刷脸支付,无疑是一种酷炫的科技体验。对于法律工作者而言,刷脸识别则意味着主体身份识别技术的一次重大进步,甚至会引发民事证据规则、民事交易规则的重大变革。
与人脸识别对应的是数字证书识别,如CFCA(中国金融认证中心)的证书体系,以及公安部的e-ID的证书体系,还有其他一些民间第三方认证公司的证书体系。
数字证书的安全性、可靠性,以及识别的准确性已经得到了实践的检验,并在银行资金支付中发挥着巨大的作用。
随着人脸识别技术的发展,当前人脸识别的准确率已经足以应对交易安全的需要。那么,在人脸识别与数字证书识别之间,应该如何取舍?将来哪个识别路径会成为电子商务、互联网金融识别应用的主流呢?
吴卫明博士认为:以人脸识别为代表的生物识别由于其便利性,可能会成为识别的首选和基本路径;而以加密技术和数据传输安全性为特征的证书识别,在大额支付或者大额交易领域将成为识别的重要补充。两种识别不是相互替代的关系,而是相互补充的关系。
一、什么是刷脸支付?
刷脸识别与指纹识别、虹膜识别等统称为生物识别技术,即以人体的生物学特征,作为识别的基础。根据统计,人体的一些重要识别特征,在人群分布中重合的概率极低,具备进行身份识别的基础。生物识别,是将远程用户的生物识别特征数据与数据库中储存的数据进行比对,达到身份识别的目的。
在一个标准的人脸识别模型中,需要具备如下几个要素:
1、人脸数据库:将一定规模人群的人脸图像存入数据库。当前我国人脸数据最为全面的数据库,是公安部的居民身份信息中心所保留的人像数据库。
2、终端设备:即各种各样具有一定解析度的摄像头,包括手机、PC机、ATM机等各种设备所附设的摄像头。从移动互联网发展的趋势来看,手机摄像头很有可能是未来最主要的终端设备。
3、图像扫描软件:软件与摄像头的结合,可以将摄像头拍摄的人脸转化成符合图形比对要求的数据,及对人脸建立数据模型。
4、人脸识别应用者:通常是电子商务、互联网金融企业,考虑到交易的安全性,此类机构具有人脸识别的需求。
5、人脸识别服务商:专业服务商通过专业的识别软件对终端数据与人像数据中心预留的图像数据进行比对。
吴卫明博士认为,刷脸识别在法律上可以定义为直接识别。即类似于面对面观察人像与身份证上照片进行比对的过程,在能够保证图像比对精确度的前提下,刷脸识别是一种在现有身份证法律制度下可以直接应用的识别技术,对于现行法律和规则冲击较小。
二、什么是证书识别?
数字证书由专门的认证中心颁发,通过非对称加密的公钥加密技术对用户的公钥信息和用户的身份信息作了数字签名,把用户的身份信息与公钥信息绑定在一起。最终形成一个包含有用户个人身份信息、公钥和数字签名的特殊电子文件,即数字证书。数字证书可以存储在硬盘或USB Key里。
在网上交易中,用户双方要互相验证证书,用户相信认证中心的数字签名,也就相信用户公钥的真实性,因而相信公钥的持有者所发来信息的真实性。
从形式上看,数字证书认证过程与传统的身份证认证有着不同的逻辑结构,但都具有证明发送交易信息主体身份的作用。吴卫明博士认为,通过数字证书识别身份,是一种间接的识别。在现行身份证法律制度的框架下,并不能直接适用。与其说数字证书是一种身份证,不如说是一种法律上的证据保存方法。
三、刷脸or证书?取舍之道
(一)刷脸识别的缺陷
从前面的分析可以看出,人脸识别是一种直接识别措施,是以数字手段代替现场的人眼比对识别。无论从观念上,还是从体验感上,对传统的法律制度冲击较小。因而,具有商业应用的可能性。
人脸识别最大的问题是,由于人脸经常暴露于公众场合,并且我们生活各个场景中密布着各种摄像头等终端设备,这给窃取人脸数据带来了极大的便利。吴卫明博士认为,理论上讲,只要拍摄到较为清晰的人像,就有可能制作人脸数据模型。而数据模型与3D打印结合,可以复制人脸的立体模型,即人脸面具。
当然,应对人脸面具,识别技术研究者可以通过活体识别、指纹辅助识别等方法加以校正,但这无疑会降低刷脸识别的用户体验。
(二)证书识别的缺陷
与人脸数据模型容易被恶意第三方获取并复制相比,数字证书所采用的非对称加密技术,更加难以被恶意第三方破解或伪造。从这个意义上,数字证书似乎更为安全,但是,数字证书也有巨大的局限性。
数字证书识别最大的局限在于,证书持有人是否就是证书的所有人?也就是说,如果第三方持有他人证书操作,事实上很难鉴别。最然在司法操作中,可以使用推定规则,推定使用证书进行操作的人就是证书所有者,但这一过程并非直接的认定,而是法律上的推定。
吴卫明博士认为,数字证书是一种间接识别方法。即,核发证书的时候,由证书的颁发机构对证书持有人的身份进行认证。但是,一旦证书发出后,只能基于推定规则来认定操作者的身份。
(三)人脸识别与证书结合的路径
为了确保远程识别及交易过程中数据电文的不可篡改性,未来的趋势应该是人脸或者其他生物识别为主,并在大额交易中辅以数字证书识别。或者说,在将来的远程交易中,自然人将拥有两种电子“身份证”,一是自己的生物识别特征,二是统一颁发的居民数字证书(e-ID)。
综上所述,刷脸识别与数字证书识别,各有利弊。从长远发展来看,生物识别可能会成为常规的识别方式,而数字证书则在大额交易中具有辅助识别和防止篡改的功能。