问题—— “刷脸”原本是提升账户安全的常用手段,但近期讨论集中:人脸验证过程中是否会被系统截屏、取景范围会不会超出“仅面部”、图像是否会进入人工审核、以及是否存在二次拍摄或外泄风险;部分网友反映,夜间转账、新设备登录、频繁输错密码等触发风控后,验证页面可能被留存用于核验,因此担心居家环境、他人影像等也被一并采集;也有网友认为,隐私条款提示不够显眼、解释不够清楚,导致“以为只拍脸”的理解与实际处理方式出现落差。 原因—— 受访业内人士表示,在反欺诈、反洗钱和账户保护等场景中,金融机构确有必要对异常交易进行身份核验,并在合规范围内留存必要证据。为提高核验效率,部分系统会将关键核验片段转换为静态图像或低帧率素材,连同风险标签提交人工复核,用于弥补算法误判、应对伪造攻击等情况。同时,手机摄像头取景往往带有广角特性:如果产品仅用圆形框提示面部区域,但采集端未做裁剪、背景抑制或模糊处理,画面边缘内容就可能被同步采集;若内部在水印、访问控制、操作审计、终端管控等环节不够完善,也会加重外界对“可被截屏”“可被转拍”的担忧。 影响—— 一是信任成本上升。数字金融高度依赖用户授权与信任,一旦“采集边界不清”的说法扩散,会削弱用户对远程办理业务的安全感,影响线上服务的使用意愿与效率。二是合规风险更突出。个人信息保护法等法规要求个人信息处理遵循合法、正当、必要原则,并强调告知同意、目的限定、最小必要和安全保障;若告知不足、采集与目的不匹配、留存期限过长或内部访问缺少约束,可能带来合规压力。三是内部治理短板更易暴露。即便采集有正当理由,若缺少防复制、防外传、分级授权、脱敏展示等关键措施,也容易被外界视为管理不严,影响机构品牌与行业形象。 对策—— 业内专家建议从技术、制度和用户沟通三上同步补齐。技术层面,坚持最小化采集:对人脸核验素材在端侧进行裁剪或背景抑制,优先使用活体检测特征值、加密模板等方式替代原始画面;确需留存图像的,应加密存储、到期自动删除,并实施严格访问控制与全量审计。对人工审核界面,可加入不可去除水印、敏感区域遮挡、限制外接设备、屏幕拍摄检测等措施,并通过专用安全终端与隔离环境降低外泄风险。制度层面,明确“哪些场景可触发留存、谁可查看、查看期限、是否可导出、违规如何追责”,将最小权限、双人复核、抽检回溯、异常访问告警纳入常态内控。沟通层面,建议在触发人脸验证时以更显著方式说明“采集范围、用途、留存期限及可能进入人工复核”,并提供更易理解的说明与申诉渠道,减少信息不对称。 前景—— 随着远程开户、移动支付和线上信贷持续发展,身份核验将长期存在。业内普遍认为,下一阶段的重点将从“能否识别”转向“在更少采集下达到同等安全”,即在隐私保护前提下提升安全能力。监管层面也可能更细化远程生物识别信息处理的行业指引,推动形成更统一的采集边界、留存规则和审计标准。对机构而言,提升透明度、完善防泄露技术与内控体系,是稳住用户信任、推动数字金融可持续发展的关键。
当技术创新与隐私保护的边界越来越难分清,这次争议是一记提醒:金融机构不能以“安全”为名突破必要边界,监管也应尽量走在技术迭代之前;数字经济时代如何建立可靠的信任机制,需要企业、用户与立法者共同作答。正如法学界所言:“没有透明度的安全,不过是另一种形式的风险。”