你我皆楚门:刷脸支付这把火是如何燃起来的?
那些堂而皇之向我们收集脸部信息的软件,会在一开始就受到一百二十度的防备。比如一夜火爆全网的AI换脸App“ZAO”,第二天就有质疑其侵犯隐私的檄文出现。
那如果是悄无声息的刷脸呢?
要不是点餐时某堡王的自助机器突然一声不吭地显现出了我不修边幅的大脸,我还真没意识到,刷脸支付技术已经密布到将我们生活的空间变成了“楚门的世界”。
你我皆楚门:刷脸支付这把火是如何燃起来的?
人脸识别可以说是最接地气的AI技术之一了,从机场高铁安检,到学校会场进门,甚至于金融机构远程身份认证,公共效率与安全性提升的背后都离不开高清智能摄像头的助力。
但与此同时,人脸识别也是一个十分严肃的隐私信息雷区。一旦离开了接驳传统法定身份系统的场景,技术越界的质疑声就会甚嚣尘上。
比较典型的如教师里的人脸识别,学生是否认真听讲、抬头低头了几次,都清楚记录,是否真的有必要,至今尚未讨论出个所以然。再比如,前文提到的刷脸支付。
刷脸支付并不是什么新鲜事。早在2013年,芬兰创业公司Uniqul就提出了这项算法,生成可以极大缩短支付时间。随后,中科院重庆研究所和蚂蚁金服也相继启动了相关研究。但说到刷脸支付第一次应用到商业领域,还要等到2015年德国汉诺威IT博览会,马云通过支付宝刷脸购买了一张1948年汉诺威纪念邮票开始。
作为无感支付的绝佳解决方案,“刷脸”很快成为科技巨头们竞跑“无人零售”必须跨越的一道技术阑干。无论是BATJ,还是AmazonGo、缤果盒子等等,不用手机,仅凭人脸识别系统自动完成进门、结账、扣款等一系列操作,几乎是所有无人超市的标配。不过,无人超市在运营、技术上的硬瓶颈,决定了这把热度只能是“雷声大,雨点小”,许多开张的无人超市传出停业的消息,而大佬们口中的千店万店计划也没有了下文。
在海外,PayPal和Square也都曾尝试过推广类似项目,但没能成功,主要原因是愿意合作的商户太少,大家更乐意用信用卡和现金支付。
这在移动支付发达的中国大陆自然不是困扰。星星点点的刷脸支付商用之火真正出现燎原的苗头,恐怕就要从2018年底蓝绿两家移动支付正式向线下抢地盘开始。
2018年12月,刷脸支付设备“蜻蜓”的出现将刷脸支付的接入成本降低了80%。2019年3月,“青蛙”上市。两家各自推出了设备推广奖励政策,商家努力一点甚至可以依靠补贴免费拿到设备。与此同时,不少代理商和“加盟公司”也伺机而动,依靠技术噱头各种拉人头,江湖传言的补贴金额一度夸张到了“100亿”。
换句话说,这波“蜻蜓飞”“青蛙跳”的刷脸支付,一方面源自于移动支付厂商大幅度降低硬件门槛,另外则源自于不明真相群众的投机热情。但其在终端的表现到底如何呢?
不知道有多少人会在刷脸设备前安然地展示自己的盛世美颜,反正落地战打了这么久,目光所及的大多数人都会像我一样,默默点开手机二维码扫码支付。甚至零售商家也会在结账时默认举起扫码枪,而不是主动询问一句“需要刷脸吗”。所以也就出现了吊诡的一面,尽管一举一动早已被数字化细致地交付给了网络,但有意无意地抗拒也在表达着我们对技术的态度。
大型双标现场:人脸识别的变革与争议
商业机构的种种考量暂且不去说它,有意思的在于,人脸识别在今天已经并不是什么新鲜事物。但同样的技术,在机场火车站安检、公司门禁、防止行人闯红灯、寻找拐卖儿童等新闻出现时,主流舆论都是积极乐观的。而到了诸如用摄像头识别中小学生的上课表现,亦或是支付购物等场景中,负面和保守情绪就变得激烈了。
最主要的原因,可能是效率上的不对等。公共场合的身份校验,通过人脸识别能够大幅度地提升工作速度。比起由工作人员一张张核对身份证,或是派出所寻人,每秒十万次的人脸比对,算法带来的是人力所达不到工作量。
而刷脸支付的核心痛点,还是解决手机不在身边或没电时的支付问题。谷歌的支付应用HandsFree,就是让用户在店内付款时不需要拿出手机。偶发场景与字符密码支付相比,并没有太大的体验改变,反而需要额外交出脸部特征信息,显然不够划算。
同时,安全感的缺失也是公众对商业人脸识别更为谨慎的原因。
一些针对人群匹配的个人信息收集,往往也只会收集一些颗粒度以较大的摘要信息,即核心特征,只有在必要的前提下才会深入到能够识别个人身份的完整数据。但在很多场景,比如教室人脸识别中,并没有进行这样的隐私最小化处理,这就很容易招致安全风险。
而即便是结合了3D结构光等最新技术,刷脸支付也并不能完全保证身份信息的安全。某品牌快递柜的“刷脸取件”被小学生用照片破解,就侧面证明了人脸识别在技术上还处于比较前期的阶段。生物识别结果往往具有一定的模糊和不确定性,一旦与风险系数较高的个人财产、敏感信息连接在一起,引发防范心理也就不奇怪了。
生物信息数字化:流行之前,先严肃一点点
目前看来,“刷脸”作为传统字符密码、二维码等的辅助方式,可能更符合大众对技术发展的心理接受度量。它更多的代表着一种发展方向,而不是全线开放。
但现实的脚步似乎总是先人一步。随着人工智能技术的发展,不仅采集脸部信息的闸机和摄像头越来越多,一些其他具有侵入感的个人生物信息也在被攫取着。
比如印度正在建立的中央数据库Aadhaar,就将大约11亿人的指纹、虹膜等极度敏感的个人信息,都纳入到了系统之中,与个人的社会生活方方面面绑定。但系统安全漏洞之多,导致黑客只需几十块钱就能拿到这些信息,还有数百万印度民众曾因扫描和识别问题而失去了领取救济的机会。
同样的事情也发生在个人意识发达的美国。尽管美国许多州的城市相继颁布了禁止在公共场所使用面部识别软件的法令,但并没有阻碍技术入侵个人身份的脚步。事实上,技术网站TheVerge的一项调查显示,美国联邦调查局(FBI)在过去三年中已经收集了将近43万人的虹膜信息,并添加到生物识别数据库中。
问题就在这里。
用生物特征代替传统方式来识别个人法定身份,其实是一件比较严肃的事。因为这些关键信息被数字化之后,就具备了复制性。这意味着一旦出现安全问题,影响范围很大,甚至可能危及公共和国家安全。
2014年,BBC就曾经报道过,韩国将耗资几十亿美元、10年以上时间,将身份证系统推倒重来。原因就是在网上采用的基于身份信息比对的身份认证措施,导致韩国大量的公民信息被盗,80%的身份证号和个人隐私信息,被黑客从银行和其他网络服务商的服务器中窃取。
如果被窃取的是高度隐私的公民生物特征呢?
对于一些安全系数高的机构,为了提高生活的便捷程度。比如银行、政务民生等接入互联网服务时,要求“人证合一”,介入人脸、虹膜等原始身份识别功能,并不会引起很大的争议。
但对于信息使用者和管理者分离的商业应用,在大规模用生物特征代替传统密码之前,恐怕还需要慎之又慎。