人脸、声纹、指纹、虹膜等个人生物信息的泄露具有终身性和连锁性，可能使深层信息被挖掘、曝光，金融安全风险很难消除。

移动APP强制授权、过度索权、超范围收集个人信息，是当前造成金融信息安全问题频发的重要原因。

在金融活动中，仅凭单一的弱隐私特征进行验证的方式应逐渐被多重、立体的“组合密码”验证方式所取代。

从法律法规上予以规范仍将是有关部门的工作重点之一。

多层面维护个人信息安全

文 |《瞭望》新闻周刊记者 刘惟真 王宁

出行扫码入住酒店、购物轻松刷脸支付、APP“摸脉式”精准推荐……随着大数据、人工智能等科技发展驶上快车道，国人日常生活变得越来越便捷。在享受便利的同时，人们对自己无意中“出让”的各种信息也不无忧虑：随着在生活中泄露的个人数据不断增加，个人信息安全也需认真对待。

生物信息滥用存隐患

“兄弟，借我5000块钱，急用，过两天还你。”南京的陈先生在收到朋友一条微信语音后，毫不怀疑地给“好友”转了账。打电话确认，才发现其微信被盗，自己是上了骗子的当。

“就是我朋友的声音，一模一样。”陈先生表示，若不是亲耳听到朋友的声音，自己不会轻易掉入圈套。

上面这例“语音诈骗”引发不少网友关注。声音原本是最具识别力的个人生物信息之一，而技术可以“模拟声纹”，给个人金融安全带来风险。

耳听难辨真假，眼见也不一定为实。在一款名为“ZAO”的“换脸”APP上，用户提交清晰的面部照片后，就可以将影视剧片段中演员的脸替换为自己的脸。这样的“黑科技”看似只用于娱乐，其下隐患不小。

当前，个人金融信息范围不断延伸，已不仅包含身份证、银行卡号等基础信息，内涵也更加丰富、范围更加宽泛。《2019上半年中国移动支付行业研究报告》数据显示，目前偏好接入刷脸支付设备收款的商户占比已达32.2%；《2018移动互联网支付安全大调查报告》也指出，目前有超过半数的消费者认可指纹识别、刷脸支付等生物识别支付方式，认可度比上年增长了6%。

在日常生活中，人脸、声纹、指纹、虹膜等生物信息已开始用于移动支付等金融领域，与个人金融安全密切相关。“刷脸支付”等技术能否被破解，成了很多用户心头的疑问。

武汉大学国家网络安全学院教授何德彪介绍说，生物特征的泄露是否会导致金融密码被破解，取决于采用何种认证机制。“在安全强度高的身份认证机制下，用户必须同时拥有多个认证因子才可以通过系统的身份认证。”但无论如何，认证因子的泄露，都可能对认证机制造成安全威胁，或降低破解难度。

APP过度采集用户信息

生物特征等个人金融信息是如何泄露的？

在我们日常使用APP、享受其带来便利的同时，可能已在不知不觉的“授权”中出让了许多敏感的个人信息，其中就包括人脸等生物“身份证”。

据国家计算机病毒应急处理中心常务副主任、天津市公安局网安总队副总队长陈建民介绍，当前移动APP强制授权、过度索权、超范围收集个人信息的现象普遍存在，是造成金融信息安全问题频发的重要原因。

今年9月15日，在2019年网络安全专题发布会上，多款APP因涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私遭到“点名”，陌陌、墨迹天气、云闪付等拥有较多用户的应用也在其列。尽管这已不是有关部门第一次针对过度采集用户信息的APP进行点名批评，但效果看来并不显著。

天津财经大学商学院互联网信息与用户行为研究中心主任陈旭辉指出，很多平台商家为拓展用户群体、增强竞争力，在上线APP时对用户数据的采集、信息的存储和使用并没有做过多约束，目前行业自律还未真正形成。

“从技术上讲，在开源环境下对海量的APP进行安全审核存在很大难度；从法律上看，相关的法制不够健全，执法也存在各种困难，违法成本很低甚至零成本，造成超范围采集个人信息的情况屡禁不止。”何德彪说。

很多消费者为追求便捷，往往对此不以为意，警惕性不高。“很多人都有过类似的体验，在下载使用一款APP时，拒绝授予权限就意味着无法继续安装享受服务，也因此用户对于众多APP获取个人信息权限的情况已普遍感到麻木甚至无视了。”陈旭辉说。

信息窃取造成连锁反应

不仅仅在使用APP时，在许多日常生活场景中，个人数据“样本”也可能被他人悄无声息地窃取。

比如在商场购物时，商场的摄像头可能拍下并识别面部信息；和朋友开心拍照，比“剪刀手”的照片甚至可以被用来提取指纹……人们暴露在外的生物特征，往往通过远程非接触的方式就能获得，防不胜防。

中国人民银行科技司司长李伟认为，个人生物特征可以分为指纹等强隐私特征和人脸、声纹等弱隐私特征两种。“互联网技术发展使得强隐私特征被窃取、复制传播变得相对容易；而部分机构高估了弱隐私特征的识别准确度，仅凭单一特征进行金融交易验证，存在严重隐患。”

一旦个人生物特征被成功获取、复制，一连串密码的破解就会易如反掌；个人生物信息泄露具有终身性和连锁性，金融安全风险很难消除。

“密码泄露，我们可以换一个；但个人生物信息一旦泄露，可能使深层信息被挖掘、曝光，形成连锁反应，给百姓造成损害。”天津财经大学法学院副教授、法律经济分析与政策评价中心副主任冯博说。

多层面保护信息安全

技术高速发展迭代向安全保障能力“下了战书”，无论是从个人信息防护还是从有关部门、企业保障层面上，保护个人金融信息安全都迫在眉睫。

在个人层面上，应加强风险防范意识，不轻易授权个人生物信息，像保护密码的安全一样，重视并保护自身生物、金融信息安全。

“需要增强网络安全意识，培养良好的网络使用习惯。例如设置安全强度高的口令并定时更换；上网时进行正确的隐私设置，以确保系统提供的安全机制能正确发挥作用；不下载、不使用来历不明的应用程序，避免使用陌生的无安全防护的Wi-Fi；避免在网络和社交软件上泄露过多个人信息等等。”何德彪建议说。

苏宁金融研究院特约研究员周成提醒说，尽量不要在手机的备忘录或者相册当中存储账号密码、取款密码、身份证照片等敏感信息，也不要轻易在网上购买工具制作指纹模等。

在社会层面上，应规范生物信息的使用，为个人金融信息安全修筑起“防护栏”。

受访专家指出，在金融活动中，使用生物信息进行验证的“密码”复杂度需要不断提高，仅凭单一的弱隐私特征进行验证的方式应逐渐被多重、立体的“组合密码”验证方式所取代。

李伟认为，对于生物信息的使用，交易过程中应遵循信息坚持用户授权最小够用原则、支付交易坚持意愿多重认证原则、安全管理坚持风险补偿和全程防护的原则。避免与需求无关的特征采集，充分尊重用户的主观意愿，并主动建立健全风险赔付资金、保险计划、应急处置等风险补偿机制。

与此同时，从法律法规上予以规范仍将是有关部门的工作重点之一。

“在立法过程中需要平衡数据的开放共享和个人隐私的保护，要在建立政务大数据协同平台的基础上，对个人数据的采集、存储和使用进行明确界定。”陈旭辉说。

中央网信办网络安全协调局副局长胡啸表示，发展技术与不断提高个人信息安全二者不可偏废。“既要支持和促进新技术发展应用，又要加强管理、规范和引导，防范安全风险，在安全可控和开放创新上同时发力、齐头并进。”

刊于《瞭望》2019年第45期

【编辑：戴容】