记者 | 杨芮

9月20日，央行科技司司长李伟在金融网络安全论坛上表示，在网络空间仅依靠人脸等单一特征进行金融交易验证，存在严重交易隐患。

随着技术的进步以及信息技术在金融领域的应用，个人金融信息的内涵变得更加丰富、范围更加宽泛，除了个人的身份、金融账户等基本的信息以外，二维码、生物特征等看似与金融无关的信息现在已变得与金融安全密切相关，这些信息承载于移动的通信网络，暴露在开放的网络环境，信息安全风险不断集聚，隐患持续增多，个人金融信息保护面临严峻挑战。

具体而言，主要有四个方面的特点。李伟分析，“首先，生物特征滥用误用风险不容忽视，例如某支付机构APP曾经被3D打印的蜡像人头轻易骗过导致资金失窃，当然技术也在不断进步，人脸识别技术也在不断发展，亡羊补牢尤为可知。”

“二是数据集中泄露风险问题突出。在大数据与金融结合，大数据带来大风险。部分从业机构抢占入口吸引流量，常态化采集个人基础和信息，使个人信息才流危险高度集聚，一旦出现问题不但是个人信息泄露，可能会带来系统性的安全问题，对个人隐私、客户权益、金融安全构成威胁。前段时间某酒店集团的数据库被黑客攻击了，数以亿计的个人信息被泄露，产生了严重的横后果。”

“三是敏感信息窃取手段不断翻新，从冒充客服诱骗点对点的人工，到批量攻击的手段从单单肚兜到有组织、有分工流程化群体作案逐步衍生出攻击、买卖、变现一条龙的黑色产业链。这些不断出现的新型攻击手段迫使产业各方疲于应付，倒逼金融机构不得不继续加大投入，升级防护能力，给个人金融信息保护带来了巨大的挑战。”

“四是公众信息安全意识还有待增强。”

 李伟强调，“加强个人信息保护刻不容缓。”针对金融信息保护他提出五方面的建议： 

第一，坚持法律先行，加快构建多元协同共治格局。

第二，坚持科技赋能，不断强化信息安全技防能力。科技是驱动金融创新的引擎，也是提升风险技防能力的利器，充分挖掘技术在信息保护的权利，加强全生命周期的安全，在采集环节运用标记化安全技术对敏感信息进行脱敏处理，采取可靠的密码技术进行通道加密和双向印证，源头控制个人信息泄露风险。

第三，坚持规范引领、持续健全信息保护标准化体系。

第四，坚持宣传教育切实增强社会公众的安全意识。

第五，坚持安全底线，稳妥推进人脸识别、线下支付应用。金融业要树立正确的生物特征安全观，按照分级分类工作思路，坚决保护好强隐私生物特征，保护利用好弱隐私生物特征，针对人脸识别、支付应用热点，由于线上开放的网络环境中存在诸多风险，应用条件条件不成熟，而线下应用风险相对可控，我们认为基本具备四点应用的条件，无论是机构内的本带本交易还是跨链互通交易应该遵循信息坚持用户授权最小够用原则、支付交易要坚持意愿多重认证的原则、安全管理要坚持风险补偿和全程防护的原则。