平衡围绕面部识别的隐私问题

近年来，关于面部识别技术及其是否合乎道德的声音在全球引起了轩然大波。未经公民同意使用它可能会带来安全隐患，但无疑会侵犯隐私，实际上确实需要加强政策。

不幸的是，有关面部识别的最新消息来得令人困惑。银行，机场和医疗机构也使用面部识别来准确确定一个人是否是他们所说的真实身份。因此，在使用面部识别进行帐户安全，监视列表或进行恶意攻击之间，这已成为一种棘手的平衡行为。

尽管像欧盟的《通用数据保护条例》（GDPR）和《加利福尼亚消费者隐私法》（CCPA）等较新的法规是朝着保护消费者隐私的正确方向迈出的一步，但仍需要对这项技术以及如何更负责任地进行更严格的监管杠杆

面部识别与面部认证

为了在面部识别和必要的调节方面为沙子划清界限，需要更好地了解该技术可以做什么和不能做什么。最好的区分方法是将面部识别和面部认证放在两个不同的存储桶中。

未经个人同意的面部识别一直是最近新闻中的争议焦点。它通常与广泛的监视和侵犯平民隐私有关。它的使用应被区别为一种技术，它可以在未经个人同意的情况下从被俘获相像的人身上取消控制权-在某些情况下是抓住不良行为者或已知的恐怖分子，但在其他情况下，其意图更是恶意的。

例如，美国亿万富翁约翰·卡西米蒂斯（JohnCatsimatidis）最近因使用ClearviewAI应用程序描述其女儿的约会而受到批评。Catsimatidis只是捕获了个人的照片，并将其上传到应用程序以进行全面的背景检查。尽管意图似乎是无辜的，但使用该技术明显违反了求婚者的隐私，因为未经个人同意或知情就使用了该技术。此用例可以并且应该被视为对技术的滥用，需要由监管机构加以加强。

另一方面，面部认证通过选择是否要允许技术来识别个人，从而使个人具有完全的控制权。面部认证是为了保护登录名而进行的，它是基于权限的-与用户名和密码，基于知识的认证甚至基于SMS的两因素认证相比，它提供了更高级别的帐户保护。

由于传统的身份验证方法不再足够先进，无法跟上当今先进的欺诈形势，因此银行和金融业等高风险行业正转向基于人脸的身份验证和验证。这些新兴技术可将政府签发的身份证件上的照片（例如驾驶执照）与入职时的实时自拍照进行比较。

在验证用户之后，可以将用户的脸部（即自拍照）用于下游帐户身份验证。用户可以将自拍照用作第二个因素，而不是向用户询问自己的第一辆汽车的名字或母亲的娘家姓，而是结合了复杂的算法，这些算法可以发现最轻微的异常情况，并且可以授予或拒绝用户访问权限。对于个人的财务状况，这种尽职调查可以为用户提供最高的信心，尤其是对于电汇和密码重置等高风险交易而言。

区别点是在进行任何基于面部的身份验证或帐户身份验证之前赋予用户的独特控制。通过这种方式，我们可以说面部认证可以验证一个人的身份，而面部识别通常可以将其公开。

同样重要的是要注意，实际上，有些边际案例应该逐案进行辩论。例如，印度以失踪儿童数量众多而闻名（仅在过去的五年中，这一数字就不足25万）。因此，印度政府创建了一个数据库，其中包含失踪儿童的照片，并使用面部识别技术对其进行识别。

技术与技术POV有何不同？

面部识别技术最令人关注的方面之一是其结果是否100％准确。当我们查看诸如骚乱或罢工期间的监视之类的用例时，就会看到这种担忧。

例如，如果在骚乱期间使用面部识别来识别街道上的任何给定个人，然后将其用于逮捕，则将存在关于这些结果是否可靠甚至公正的问题。该用例的问题在于，面部识别技术通常使用大型照片数据库来进行某种匹配。因此，精度经常会出现偏差。

另一方面，面部认证使用护照或驾驶执照上的一张原始照片，以便清楚地区分实际上是有关个人。由于该算法使用原始照片作为决策依据，因此其准确性水平具有更高的置信度。

最近有关使用面部识别的争论揭示了对管制措施的迫切需求，并明确区分了正确使用该技术的背后。通过对监管机构和整个社会进行教育，我们可以创建一个系统，该系统可以最大程度地自信使用基于面部的身份验证，并减少其用于可疑目的的使用。

在过去十年中，包括Yahoo和Equifax之类的大规模数据泄露事件已经损害了数十亿消费者的个人身份信息（PII）。因此，暗网已成为金融服务机构的重大威胁，在这些机构中，网络犯罪分子可以安全地聚集，协作和买卖此信息。

帐户接管（ATO）是一种欺诈手段，金融服务组织必须据此特别提高警惕。通过这种形式的身份盗窃，犯罪分子使用合法但被盗的客户详细信息和个人信息来访问在线帐户。根据UKFinance的《2019年欺诈事实》报告，账户接管欺诈导致2018-2019年仅从消费者手中骗走了1800万英镑，不幸的是，ATO案件继续上升。事实上，最近的一份报告强调指出，2019年上半年英国上法庭的ATO案件数量上升了57％。

在过去的十年中发生了无数次大规模的数据泄露事件，随后暗网的出现无疑助长了ATO的增长。但是，由于金融机构继续使用过时的旧式身份验证方法，例如基于知识的身份验证和基于SMS的两要素身份验证，因此ATO的水平几乎没有减弱的迹象。大概现在可以在黑暗的网络上几乎零钱购买安全信息，这就是为什么这些旧式身份验证迅速变得过时的原因。

由于网络罪犯可以轻松地在暗网上获取个人信息，因此凭据填充也正在增加。这是一种网络攻击，其中由用户名或电子邮件地址列表以及相应的密码组成的帐户凭据被盗，用于通过大规模的自动登录请求未经授权访问用户帐户。与暴力攻击不同，暴力攻击涉及网络犯罪分子通过尝试使用不同的用户名和密码值来识别有效的登录凭据，而凭据填充攻击则不会尝试通过暴力访问帐户或猜测任何密码。攻击者仅使用标准的Web自动化工具就可以自动对成千上万的先前发现的凭据对进行登录，从而限制了成功所需的尝试次数。

为了打击此类在线欺诈，金融服务行业需要认真考虑替代身份验证解决方案。即，基于面部的生物识别技术与经过认证的活动检测配对。

将权力还给金融服务

如果可能的话，大多数安全高层（86％）会愿意放弃传统的密码身份验证。而且，如今，三分之二（67％）的消费者已经习惯使用生物特征认证。这种趋势已被最流行的智能手机（如AppleFaceID）中集成的面部识别技术广泛采用和熟悉所加速。但是，重要的是要了解，由于缺乏政府认可的信任锚，Apple的FaceID以及安装在行业领先的智能手机上的类似技术并不是防止欺诈加剧的答案。

组织也不应该选择最基本的基于生物特征的身份验证解决方案。由于网络犯罪分子的先进性，某些基于面部的生物特征认证解决方案很容易通过使用Deepfake技术或高质量掩码来被欺骗。因此，金融机构如果要确保安全性，就需要采用经过认证的活动检测的解决方案。这些解决方案能够检测高分辨率的纸和数码照片，数字伪造品，纸面罩，市售逼真的玩偶，甚至乳胶和硅3D面罩，这些都已被网络犯罪分子用来绕过基于生物特征的身份验证。

这些解决方案使用标准2D相机捕获3D人脸图。然后，当需要进行将来的身份验证时（无论是日常帐户访问还是授权高风险交易），用户都会捕获新的自拍照，并重新创建新的3D面部图并将其与原始3D面部图和信任度进行比较即时身份验证的锚。正是这种不断不断地对用户进行身份验证的能力，使得具有经过认证的活动检测的基于面部的生物特征识别解决方案非常安全。令人遗憾的是，由于成本，熟悉程度和不愿采用更新技术的原因，绝大多数金融机构仍然依赖于传统的身份验证过程，但是由于这种情况，其安全性受到了损害。

创建以客户为中心的安全解决方案

尽管对数字技术进行了大量投资，但仍有超过一半的在线客户放弃了尝试注册新金融服务的尝试。在线身份验证过程可能会受到多种因素的阻碍。例如，用户可能拥有劣质的相机，在光线不足的情况下拍摄图像，在拍摄过程中移动ID或在拍摄照片时意外地遮盖镜头。这些情况中的任何一种发生时，验证将无法进行，必须被拒绝。

但是，最新的基于面部的生物特征验证解决方案具有将这些环境因素实时通知用户的能力，这些环境因素导致无法使用（ID文档或自拍照的）图像捕获并导致身份验证交易被拒绝并建议他们如何正确校正并重新拍摄图像。除此之外，得益于人工智能和每次用户验证ID时都会创建的重要数据集，该技术能够减轻某些缺陷，而不会降低安全性。这样可以确保用户获得更简化的体验，并且最终，金融服务组织不会错失潜在客户。

随着越来越多的重要财务互动在线上转移，金融服务组织必须寻求基于生物特征的身份验证和身份验证解决方案，以保护其免受多种形式的欺诈（包括ATO和凭证填充）的侵害。但是，这不能以牺牲客户体验为代价，因为这会导致转化率下降。通过利用复杂的新技术的力量，金融服务公司可以放心，他们拥有最强大的安全措施，同时还能保持一流的客户体验。