近日，中國裁判文書網披露了浙江省衢州市中級人民法院一份刑事裁定書，引起業內關注。2018年7月份開始，被告人張某、余某等人以牟利為目的，利用已非法獲取的公民個人信息，通過使用軟件將相關公民頭像照片製作成公民3D頭像，從而通過支付寶人臉識別認證，並使用上述公民個人信息註冊支付寶賬戶。

張某、余某等人通過這種方式來獲取支付寶提供的邀請註冊新支付寶用戶的相應紅包獎勵（包括邀請新人紅包、通用消費紅包、花唄紅包等）。

對此，2月18日，支付寶方面告訴21世紀經濟報導記者，2018年，支付寶安全系統監測到部分用人臉識別進行身份認證開通賬戶行為異常，第一時間啟動專案預警：上報警方，並且升級人臉識別身份認證的防攻擊技術。經核實，作案者通過軟件利用盜取的公民信息生成動畫頭像，在特定電腦屏幕上播放動畫頭像進行實名認證。這一案件中，並未有用戶因此造成資金損失。 

支付寶方面還稱，人臉識別認證目前的準確率為99.99%，2018年出現的這一案例為極小概率事件。案件發生後，經過技術升級支付寶對此類攻擊形式已可防可控，至今沒有再發現類似攻擊案例。支付寶承諾，即便出現小概率的盜刷事件，也會全額賠付。

此前，2019年8月，有媒體報導稱，一家科技公司負責人使用以自己為原型的3D人頭模型破解支付寶刷臉支付，成功購買了一張火車票。當時，支付寶有關部門也聯繫到該科技公司負責人並做了說明。

支付寶方面表示，系統使用了雙重密碼保護機制，再逼真的照片或3D模型，也不能隨意進行刷臉支付。雙重密碼保護機制的意思是，只有在輸入過支付寶登錄密碼和支付密碼的手機上，才能使用刷臉支付。

（支付寶App設置-生物識別-刷臉設置頁面）

支付寶最早嘗試刷臉支付，並實現商業化應用。比如2018年12月，支付寶宣布推出一款全新的刷臉支付產品“蜻蜓”，直接將刷臉支付的設備成本降低80%；2019年4月，支付寶宣布推出第二代基於線下消費場景的刷臉支付機具“蜻蜓”，定價1999元，相比第一代直降近30%。

不過，外界甚至監管人士對刷臉支付存在一些看法，認為人臉是非常敏感的個人信息，一旦洩露或者被盜取，會帶來非常大的影響。

支付寶方面曾表示，能率先推出刷臉支付，一是基於其多年來人臉識別技術的積累（支付寶是最早實現刷臉登錄的金融級App）；同時其技術團隊也為刷臉支付商用做了很多獨創的優化。通過軟硬件的結合，智能算法與風控體係綜合保證金融級準確性和安全性，目前識別的準確率為99.99%。不過需要提醒的是，設備安裝情況、現場光線明暗等有可能會影響用戶刷臉的通過率。

支付寶在刷臉支付設備上配備了3D紅外深度攝像頭，在進行人臉識別前，會通過軟硬件結合的方法進行活體檢測，來判斷採集到的人臉是否是照片、視頻或者軟件模擬生成的，能有效避免各種人臉偽造帶來的身份冒用情況。此外，在進行人臉識別後，還需要輸入與賬號綁定的手機號進行校驗，進一步提高了安全性。同時，支付寶還會通過各種安全風控策略確保賬戶安全。比如刷臉支付功能需要用戶進行開通操作，開通之後才能進行支付，用戶也可以隨時關閉。而且，即便出現賬戶被冒用的極小概率事件，支付寶也會通過保險公司全額賠付。

支付寶推出“蜻蜓”不久後，2019年3月，微信支付推出刷臉支付設備“青蛙”，2019年10月20日，中國銀聯聯合商業銀行推出“刷臉付”產品。

2019年9月，央行印發《金融科技（FinTech）發展規劃（2019-2021年）》，其中提及，將探索人臉識別線下支付安全應用，借助密碼識別、隱私計算、數據標籤、模式識別等技術，利用專用口令、“無感”活體檢測等實現交易驗證，突破1:N人臉辨識支付應用性能瓶頸，由持牌金融機構構建以人臉特徵為路由標識的轉接清算模式，實現支付工具安全與便捷的統一。

2020年1月21日，首份刷臉支付自律公約出爐，中國支付清算協會印發《人臉識別線下支付行業自律公約（試行）》。

比如，“安全管理”章節規定，各會員單位應建立人臉信息全生命週期安全管理機制。在採集環節，要堅持“用戶授權、最小夠用”，明確告知用戶信息使用目的、方式和範圍，並獲得用戶授權，避免與需求無關的特徵採集。在存儲環節，將原始人臉信息加密存儲，並與銀行賬號或支付賬號、身份證號等用戶個人隱私進行安全隔離。在使用環節，收單機構、商戶等中間環節不得歸集或截留原始人臉信息，實現端到端的個人隱私保護。

會員單位應根據用戶意願，為其提供開通或關閉刷臉支付服務。用戶進行刷臉支付時，會員單位應採用支付口令或其他可靠的技術手段（通過國家統一推行的金融科技產品認證）實現本人主動確權，保障用戶知情權、財產安全權等合法權益。