工商执照注册活体检测失败(工商注册活体检测不好用)

女子称身份信息被冒名注册个体工商户，请求撤销遭拒，监管部门：不存在冒名情况，建议复议或起诉

北京一女子自称个人信息被冒名注册个体工商户，请求市场监管部门予以撤销。市场监管部门调查后称，注册个体工商户时，当事人曾上传身份证并进行活体实名验证，冒名登记情况不存在，登记不予撤销。当事人如有异议，可向上级部门复议或提起行政诉讼。

小丽说，她名下的个体工商户登记是被人冒名登记的

律师提醒：不法分子会冒用公民身份信息注册个体工商户或公司，从事偷税、洗钱等非法勾当，广大市民一定要提高警惕，保管好个人的身份信息。

应聘银行工作时被告知，名下注册有个体工商户不能录用

小丽（化名）是北京人，今年39岁。连日来，提起自己“被注册个体工商户”的维权经历，小丽既气愤又无奈。

“今年2月，我在北京参加一家银行的应聘面试时，银行说我在陕西注册有个体工商户，根据规定，不能录我。我当时很震惊，因为我从来没有注册过个体工商户，也没有去过陕西。银行说他们不会弄错，让我自己去查。”

带着疑惑，小丽上网查询发现，她名下果然有一家名为“泾河新城XXX健康咨询服务部”的个体工商户登记，登记日期是2021年7月27日，经营者是她本人，登记机关是陕西省西咸新区市场监督管理局泾河新城分局。

小丽说，第三方公司今年3月为她办理了清税证明

“谁用我的身份信息注册了个体工商户？为什么我不知情？”小丽说，慌乱和担忧之下，她选择了报警。警方问她，身份证有没有丢过？她仔细回忆后称没有，但她的身份证2021年7月曾被之前工作过的一家医院以做核酸检测为由拿走过。

警方和小丽一起到北京某医院了解情况。医院承认，2021年7月确实拿过小丽的身份证，但做完核酸后就还给了小丽，小丽名下注册有个体工商户的事情他们不了解。

监管部门：注册经过当事人扫脸认证并上传身份证

小丽说，无奈之下，她只好联系陕西省西咸新区市场监督管理局泾河新城分局询问情况。西咸新区市场监督管理局泾河新城分局说，他们登记的个体工商户是通过正规流程申请注册的，并通过邮件向小丽发来注册登记时的相关材料。

相关材料显示，个体工商户注册确实是小丽通过扫脸认证、上传身份证等一系列操作完成的。申请资料上还有小丽的签名。

“身份证不是我上传的，扫脸也不是我扫的，签名百分之百不是我签的。”对于陕西省西咸新区市场监督管理局泾河新城分局的情况说明，小丽感到不可思议。

问题究竟出在哪里？就在小丽百思不得其解时，申请资料上一个熟悉的公司跃入她的眼里。小丽这才想起，2021年7月，她在北京某医院应聘时，医院说工资由第三方公司发，让她扫第三方公司的二维码填写相关信息。

小丽依稀记得，填写个人信息时，一个“入园信息”夹杂在合同里，当时她只顾着填写信息，并没想太多。几天后，医院负责人称要做核酸检测，拿走了她的身份证。“在医院工作没多久，我就离职了。”

了解情况后，小丽再次来到北京某医院反映。这时，第三方公司出面了。“对方说他们可以给我开一个清税证明，让我申请注销在陕西登记的个体工商户信息，我没有答应。”

小丽说，她想弄明白到底是谁在她不知情的情况下注册了个体工商户。此外，她不同意注销的原因还有，相关登记即使注销，仍有可能出现债务遗留等历史问题，所以她希望对方能彻底处理此事，申请相关部门撤销之前的工商登记。小丽的这一请求遭到第三方公司拒绝。

个体工商户登记被注销后，当事人请求撤销登记遭拒

小丽说，就在她向陕西省西咸新区市场监督管理局泾河新城分局反映情况，请求撤销相关登记时，今年4月7日，她名下的个体工商户登记突然被注销。近日，华商报记者从小丽提供的相关证据上看到，目前，小丽名下的个体工商户信息确实呈“注销”状态。

目前，小丽名下的个体工商户登记显示为“注销”状态

小丽说，她名下的个体工商户虽然注销了，但注销不能从根本上解决登记期间可能出现的法律问题。而且注销等于当事人默认自己名下的个体工商户是自己登记的，就像离婚一样，婚虽然离了，但当事人结过婚的事实没有改变。撤销则表示结婚的事实不存在，当事人是未婚状态。“个体工商户登记撤销后，登记期间出现的任何法律问题都与当事人无关”。

为了彻底解决此事，避免今后可能出现的债务、税务纠纷，5月中旬，小丽从北京赶至陕西，请求西咸新区市场监督管理局泾河新城分局撤销之前的工商登记。“这几天，我和西咸新区市场监督管理局、泾河新城分局就此事沟通了几次，一直没有结果。他们说当初登记资料齐全，程序合法，不予撤销。”

监管部门：登记合法合规不予撤销，如有异议可行政诉讼

5月中旬，西咸新区市场监督管理局、泾河新城分局相关人员告诉华商报记者，小丽名下的个体工商户登记合法合规，小丽的撤销登记申请不符合法律规定，他们已向小丽做过多次解释，如果小丽不服，可以依法复议或提起行政起诉。

5月16日，西咸新区市场监督管理局泾河新城分局就小丽的反映做出书面回复。回复称，针对小丽反映的问题，该局做了认真调查。“经查，泾河新城xxx健康咨询服务部登记信息完整，程序合法，资料齐全，符合个体工商户设立登记规定。

相关资料显示，2021年7月19日，小丽通过微信扫描“某平台注册入口”二维码进行了“泾河新城xxx健康咨询服务部”的登记。期间，小丽曾填写手机号码，接收并输入验证码进行注册；点击并查看个体工商户开业登记申请书等3份文件，勾选“我已阅读并同意全部协议”，之后在手机屏幕上手写自己的名字上传；上传身份证并进行活体实名验证，系统采集其本人面部信息，其将随机显示的四位数字进行大声朗读，上传身份证信息。

答复称：目前没有证据表明存在小丽身份信息被冒用的情况。根据相关规定，撤销登记需要被冒用人提供身份证件丢失报警回执、身份证件遗失公告、银行挂份证件记录、由专业机构出具的笔迹鉴定等有助于认定冒名登记基本事实的文件材料，鉴于小丽不能提供上述材料，西咸新区市场监督管理局泾河新城分局认为，冒名登记不成立，依法决定不予撤销登记。

如果小丽对该回复不认可，可以依法向西咸新区管委会申请行政复议，也可以依法提起行政诉讼。

对于西咸新区市场监督管理局泾河新城分局的书面答复，小丽说她正在考虑是否复议或起诉。

律师说法：身份证件不能随意出借，丢失要及时补办并保留证据

普通市民如何查询自己名下有无个体工商（公司）登记？冒名登记对当事人有哪些影响？如何防范？合法注册的个体工商户（公司），为什么只能申请注销不能申请撤销？就该案涉及的法律问题，华商报记者采访了山东辰泽律师事务所律师柳孔圣。

华商报：普通市民如何查询自己名下有无个体工商（公司）登记？

柳孔圣：可以通过国家企业信用信息公示系统和其他一些企业信息查询平台线上查询，也可以到当地的行政审批局或市场监督管理局有关窗口现场查询。

华商报：身份信息被人冒用注册个体工商登记（公司）对当事人有哪些风险？当事人发现后如何依？

柳孔圣：有可能因名下企业负债，而导致本人财产被采取强制措施，或因企业的失信行为导致本人被限制高消费，甚至是成为失信人员等。当事人发现后应第一时间调查取证，根据不同情况采取民事诉讼、行政诉讼或报警、投诉等手段，使相关人员或部门对企业注册登记予以注销或撤销。

华商报：冒用他人信息注册公司是什么性质，要承担哪些责任？

柳孔圣：根据冒用信息的种类和所实施的行为、造成的后果不同，可能构成民事侵权或行政违法甚至是刑事犯罪，需要承担民事、行政和刑事责任。

华商报：为什么会有人冒用他人信息注册公司？

柳孔圣：常见的有逃税、洗钱、网络等不法企图。通过冒用他人信息取得企业注册后，可以开设资金结算账户，可以开具，可以转入转出资金，从而实现违法者的非法目的。

华商报：注销登记和撤销登记有什么区别？对当事人的影响有何不同？

柳孔圣：注销由设立人主动进行，撤销是由行政机关依职权为之，后者属具体行政行为。二者都会产生企业主体资格消灭的后果，但对企业存续期间的负债等法律后果，注销行为不会导致消灭。撤销企业注册登记的事由有很多，如果是由于提供虚假注册登记资料原因而被撤销登记，则被冒用人无须对企业经营活动承担任何法律责任，其他事由导致的撤销则视具体情况而定。

华商报：当事人合法注册的个体工商户（公司），为什么只能申请注销不能申请撤销？

柳孔圣：当事人依法注册个体工商户或公司后，如因各种原因不想继续经营，或被行政机关吊销营业执照，或公司被强制解散等，可依法向相关部门申请注销。

《个体工商户登记管理办法》第二十八条规定，有下列情形之一的，登记机关或其上级机关根据利害关系人的请求或者依据职权，可以撤销个体工商户登记：

（一）登记机关工作人员滥用职权、玩忽职守作出准予登记决定的；（二）超越法定职权作出准予登记决定的；（三）违反法定程序作出准予登记决定的；（四）对不具备申请资格或者不符合法定条件的申请人准予登记的；（五）依法可以撤销登记的其他情形。

申请人以欺骗、贿赂等不正当手段取得个体工商户登记的，应当予以撤销。

华商报：已经注册的个体工商户（公司）如确系他人冒名注册，当事人应找哪些部门反映、解决？这种现象如何追责？

柳孔圣：遇到这种情况，当事人应先向登记机关反映，查明是如何登记的。如涉及冒用、伪造身份信息的，可以向公安机关报案，公安机关依法追究相关人员责任。

华商报：市民平时如何保护好自己的个人信息，防范类似事件发生？

柳孔圣：要保管好自己的身份证件，不能随意出借他人，如果丢失要及时进行补办申报以保留证据。对于陌生人以各种理由要求提供银行账户信息、短信验证码、进行刷脸认证等要求，要提高防范意识，坚决予以抵制，避免造成财产损失。

华商报记者 陈有谋 编辑 杨德合

（如有爆料，请拨打华商报新闻热线029-88880000）

揭底人脸识别「大跃进」：准确率不足7成却推向10亿用户

撰文 | 四月

采访 | 四月、太浪

针对支付宝「刷脸支付」的闭眼测试，识别率竟然不到70%，换句话说，10个人中就可能出现3个人被「借脸盗刷」用于线上支付。

从技术视角抽丝剥茧，进一步其解构方案背后的流程和权责。在金融安全本应当讲究谨慎克制的行当里，究竟是什么原因促使从业者不顾用户安全风险，如此冒进和大胆。

01「标题党」闹出乌龙

「一男子睡梦中“被支付”上万元，竟是用了人脸识别！」

上周，一则关于浙江袁先生因「刷脸钱被盗」的公诉案件登上「宁波公安」的公众号，并被浙江新闻频道电视报道。

50多岁的袁先生，在浙江宁波一家餐厅打工。4月2日早上，他发现自己银行卡里的一万多元存款竟不翼而飞！

民警经过排查发现，和袁先生同住的刘某、杨某有重大作案嫌疑。经审讯，是同事趁袁先生睡觉时，用他的手机刷脸开机，再用微信将他银行卡里的钱转走。

案件中涉及到两个技术环节，一是手机解锁，案件清楚描述嫌疑人是通过人脸验证解锁手机，并且是闭眼通过刷脸解锁验证。二是微信支付，目前微信支持的支付方式包括密码支付、指纹支付、刷脸支付、免密支付等。

警方并没有透露手机品牌及型号。一位不愿具名的警官表示，手机为「千百来块」的安卓低端机。

手机解锁能盗用人脸，权责当属手机责任方，那么更为关键的「微信支付」又是如何实现的？

在「宁波公安」官方公众号的案件披露中，我们发现了「关键细节」：

「经警方调查，窃贼是袁先生的室友，而其作案手法竟是趁袁先生睡熟之际，拿起袁先生放在床头的手机，扫了袁先生的脸解锁后，进入手机支付平台，刷脸转走了存款。」

描述中的最后一句「刷脸转走了存款」，将矛头直指微信「刷脸支付」的安全隐患，即无法识别熟睡中的用户的闭眼状态，导致被熟人盗刷。

据机器之心了解，针对「闭眼盗刷」的风险早有防范措施，通常在人脸识别过程中加入「注视识别」的二维人眼关键点检测，并且这项技术早已经在行业普及。

照此推测，微信的「刷脸支付」当真存在该严重漏洞？而嫌疑犯恰好就是利用「刷脸认证」方案中的同一个漏洞攻破两道技术防线？

很快，就有从业人士推翻了案件中的「关键细节」，表示「从目前市场在售手机来看，千把块的手机基本是没有微信「刷脸支付」功能的。」

而与此同时，各大媒体针对该事件的报道迅速升温，网络媒体渠道的标题中多用「刷脸钱被偷」作为噱头引发关注。新闻的由头没有问题，但是通过我们进一步与新闻当事人和警方沟通才发现，报道者和警方本身都没有意识到「钱被偷」中一个更为关键的环节是「钱如何在微信应用内被转走」。

毕竟，「刷脸被盗」和「刷脸支付被盗」完全是两回事。

事有蹊跷，为进一步追溯真相，机器之心联系到浙江新闻频道的编辑。对方表示，在新闻中报道，并没有提及微信转账的具体方式。「这个信息点我们也没有向当事人和民警采集。」

盛编辑向机器之心表示，「可以明确的是，解锁环节采用刷脸方式。至于支付方面，他们是关系很好的工友，同居一室，微信支付密码几近公开。」

机器之心联系到宁波市公安局海曙分局警官，多次沟通之下，他表示，在该案件中窃贼是通过刷脸进行手机解锁，但在微信支付环节「应该」采用密码支付。因为两位作案人与袁先生是工友关系，同居一室，平时很亲密，微信支付密码基本都知道。

「还可以用微信『刷脸支付』吗？不可以吧！这个细节我们在案件问询中没有展开。」

因为对于「人脸识别」目前的技术水平和应用现状缺少足够清晰的认知，这起噱头十足的报道差点被闹出乌龙。

02 安全隐患却真实存在

在「借脸盗刷」事件之后，我们决定进一步求证目前手机「刷脸支付」的防攻能力。毕竟在上述案件中，换一个手机型号，「刷脸支付盗刷」并非不存在可能性。

对此，我们随机搜集到13位用户、12款市场主流手机机型进行系统性测试，分别在微信和支付宝应用端，进行睁眼/闭眼状态下的转账支付实验。

结果备注：1）上述测试结果以2019年4月10日10:00am-4:00pm测试为准，之后测试数据有所波动将在下文提及，但不作为测试结果统计范围内。2）测试指在同等环境下，同一个测试人以同一姿势进行测试，两次以上得到同一个结果。3）在测试者闭眼状态下，通常有旁人进行辅助测试，确保闭眼状态的真实性。4）测试结果，「成功」指两次或两次以上的测试结果为「支付成功」，反之「失败」。5）测试样本随机抽取，样本数量较小，但具有一定的参考价值。我们希望反映的是，两套已经大规模的支付应用微信、支付宝，在针对睁/闭眼状态的人脸识别方案的缺漏。

根据上图统计的测试结果，在针对支付宝「刷脸支付」功能的闭眼状态测试中，超过33%（4台）的手机都能够在闭眼状态下通过支付，其中17%的用户完全无障碍通过闭眼支付，17%的用户在闭眼支付的连续相同环境下测试结果不稳定，无规律波动，但均出现超两次「闭眼刷脸」认证通过。

安卓手机针对支付宝「刷脸支付」闭眼状态实测，顺利验证通过

换句话说，目前支付宝「刷脸支付」功能的人脸认证的「准确率」连67%都不到。在我们随机挑选的13人测试中就有4人能够通过「闭眼支付」。

试想如果把手机测试规模扩大到20台机型、100台机型……将测试人群扩大100人、1000人、10000人……结果会怎样？

在测试中，我们还发现微信和支付宝对于「刷脸支付」功能的支持力度和方式有所不同。

微信目前只针对少数高端机型、具备前置三维深度视觉方案的手机开放「刷脸支付」权限，比如苹果的iPhoneX、iPhone Xs、iPhone Xs Max，华为Mate 20 Pro。即在我们的测试中，仅有四款机型具备「刷脸支付」功能，但就有三台均能通过微信的「闭眼支付」验证。

对于支付宝，绝大部分采用二维人脸验证方案的手机都能够开启「刷脸支付」，并且权限和3D人脸识别方案相同，不仅可在支付宝应用内完成转账和支付等交易，还可以跨平台使用，比如在滴滴平台调用支付宝「刷脸支付」功能进行结账。

在体验方面，和3D人脸识别方案的别无二致，在前端的用户基本感觉不出异样。

采用二维人脸识别方案的安卓手机，在饿了么应用中，采用支付宝「刷脸支付」功能结账

测试前，我们对于测试结果和「闭眼支付」的通过率都始料未及。站在用户立场，我们也曾相信在两个用户超过十亿的金融支付平台的交易安全能够得到足够保障。

但当我们拿到统计完的测试结果，部分测试人员及旁观者都十分吃惊，「支付宝还有这样的漏洞？」，我们很难再对其报以乐观和信任的态度。

03 刨根问底「刷脸支付」

或许有人提出异议，既然是在手机端完成的「人脸验证」，技术方案和安全责任理应由手机厂商承担。在与腾讯微信公关沟通时，对方也转达了技术人员的观点，「手机中人脸识别支付功能，确实是使用手机厂商的功能，所以质疑更多关注在手机厂商的人脸识别标准上会更好。」

据机器之心了解，一套完整的手机安全认证通常涉及到APP应用方、手机厂商、TEE服务商、算法厂商等多方配合。

但是，针对「刷脸支付」具体应用而言，这些合作方究竟是如何协同的，背后究竟隐藏着什么样的「黑盒子」？

这对于划定支付安全漏洞的权责十分重要，否则只能是手机厂商与应用厂商互相「踢皮球」。

我们联系到手机安全虚拟化操作系统方面的专业人士，进一步追溯在手机应用中实现「刷脸支付」涉及到的技术细节与权限。

一位不愿具名的TEE厂商CTO向机器之心表示，从人脸验证方案来看，主要有两种模式：

1）本地3D人脸模式，比如Apple Face ID、微信、银行APP授权手机刷脸认证模式，一般走传统的手机安全认证流程。

2）2D人脸支付模式，比如支付宝应的刷脸支付功能，一般为远程认证，这部分只涉及到应用方自己的app和后台系统。

首先，从本地3D人脸模式谈起。

在这套方案中需要对可信执行环境概念，也就是TEE ，Trusted Execution Environment进行了解。

当我们要在手机端进行某些关键或者敏感操作时，比如加密或安全存储，无法在公共安全的操作系统内执行。于是，就有了虚拟化出来的可信任的操作系统/程序，即TEE厂商。他们在硬件隔离的安全区域中，单独安装可信应用程序来提供这些操作。

在一个完整的3D人脸验证流程中：

1）首先，应用方APP会调用手机操作系统功能接口，提示用户人脸识别，手机操作系统唤醒摄像头，采集人脸数据，包括面部2D图片+3D结构信息。

2）然后，摄像头使用与TEE共享的数据加密密钥，针对采集到人脸数据进行加密，并传输到手机的TEE安全虚拟操作系统中。 TEE再使用该套加密密钥进行解密，获得原始人脸数据信息。

3）接着，手机将调用人脸识别算法对原始人脸数据进行分析和特征点识别，并与预先存储的人脸特征数据进行比对，再将比对结果进行数字签名后，通知给应用方APP。

4）最后，应用方APP再将该结果发送给应用方后台系统，并利用数字证书对应的公钥校验识别结果，最终完成整个刷脸支付过程。

与这一模式对应的是，具备前置3D深度视觉摄像头方案的手机厂商，比如iPhone X、iPhone Xs、华为Mate 20 Pro等。照上述理论，针对这类手机，应用厂商进行刷脸认证实现金融交易时，调用的都是手机端的数据、算法以及比对结果。

但是，针对该模式中，应用厂商对于手机调用数据和计算结果的干涉程度，我们仍保留疑问。

因为在我们联系到微信公关部，针对微信刷脸闭眼支付的安全问题进行沟通的前后两个时间段，我们的三个样本测试结果均出现了反转。

4月10日上午，笔者采用iPhone Xs在睁/闭眼的测试中，两次闭眼微信刷脸支付成功，支付宝测试失败。同日，笔者同事A采用华为Mate 20Pro进行测试，同样闭眼刷脸支付成功。笔者同事B采用iPhone X进行微信测试，测试结果同上。

但在4月10日下午，与微信公关同事针对该事件进行沟通并提出采访诉求后，在4月11日再次进行微信刷脸闭眼测试时测试结果发生变化，笔者与上述同事采用iPhone Xs、iPhone X、华为Mate 20Pro多次测试微信闭眼刷脸均为失败。

4月12日晚上，在我们的采访需求沟通了两天之后，微信支付安全团队终于给出回复，但并没有针对微信「闭眼支付」安全的关键问题进行回应。

他们表示，微信针对手机人脸支付的机制要求相关机型要符合必要的安全标准，包括3D结构光深度摄像头、比对计算等操作在TEE可信环境等。

同时，微信制定了一系列严密的测试验收机制，从安全、用户体验上保证该设备的人脸支付合规，包括包含活体检测判断、有效支付距离&角度，明显非注视不能支付等安全标准，以及专项攻防测试，包含屏幕录像、3D头模等可能存在的攻击手段，只有通过标准验收的设备才具备开通微信人脸支付的条件。

关于在微信「刷脸支付」闭眼测试结果前后不一的现象，究竟是谁在背后进行算法或者数据的调整尚不得而知，我们也将继续关注。

下边来聊聊支付宝的2D人脸验证支付模式。

时间线回到2015年，马云在德国汉诺威IT博览会上演了经典的「扫脸」。为蚂蚁金服的Smile to Pay（微笑支付）扫脸技术站台，刷自己的脸从淘宝网上购买了一枚20欧元的1948年汉诺威纪念邮票。

也就是在那一年，支付宝正式推出「刷脸登录」功能，即用户用人脸验证取代账号密码进行登录。

彼时，蚂蚁金服柒车间负责人陈继东谈道：

生物识别取代传统密码验证是一个行业趋势，人脸识别技术2015年7月份开始，逐步在支付宝实名认证、重置密码、换绑手机、风险支付校验等功能中应用，现在扩大到了登录这个主流场景中，实践证明，真实应用场景下的识别成功率已经在90%以上。

经过四年的发展和迭代，「刷脸登录」从支付宝一个隐藏在四级子菜单、体验大于实用的「展示功能」，逐步前置，权限放手，发展为几乎面向所有智能机型开放的「刷脸支付」，应用场景进入到互联网金融的核心阵地。

记得2017年，笔者初次体验「刷脸支付」功能时，在每笔交易使用前都需要额外调用，并且在使用前需要进行点头、摇头、张嘴等动作配合，以进行活体检验，安全验证流程基本到位。

但因为概念超前，环节过于繁琐，很长时间里，支付宝的「刷脸支付」功能只是默默地隐藏在应用内。

在这一阶段，支付宝的人脸识别技术一直采取和AI技术公司旷视科技（Face++）合作，由Face++提供从人脸比对、检测、识别的核心算法，后来进一步发展成为支付宝的人脸识别技术方案提供商。

变化发生2017年下半年。iPhone X问世，FaceID概念迅速大规模普及。正是生物支付战略落地的最佳窗口期，支付宝大胆地踩下了油门。

与此同时，蚂蚁金服自建人脸识别技术平台的信号也日臻强烈。2017年11月，蚂蚁佐罗（ZOLOZ），蚂蚁金服孵化的首家安全技术公司成立，蚂蚁金服并表示将借助该平台开放其金融级生物识别技术能力。

尔后，支付宝及蚂蚁金服平台下的更多人脸识别应用技术改道采用「蚂蚁佐罗」团队方案，旷视（Face++）被迅速取代。

自身技术平台健全，支付宝在生物支付，尤其是「刷脸支付」技术的推广和落地也驶入快车道。在支持iPhoneX「刷脸支付」权限之后，支付宝开始小范围地加速推进国产安卓机的3D人脸识别方案落地，多为价格偏高的旗舰机型，比如OPPO FindX、小米8探索版等。

但市场趋势不遂人愿，由于3D人脸识别硬件方案，即结构光摄像头模组价格居高不下，且数款采用该配置的高端机型推广未及预期。安卓市场还未掀起3D人脸识别热潮，3D人脸识别方案就折戟沉沙，iPhone 在安卓生态的示范作用无奈失灵。

于是，支付宝开始立即同步推进部分单目/单目+红外/双目摄像头方案，即2D人脸识别方案或者进化版，比如华为nova3。

2D人脸识别方案无法做到准确的活体检测，面临假体攻击的极大安全隐患，这是技术方案所客观决定的。

但是，将用户体验和流量摆在第一位的产品经理们，当然不愿再用老一套的「活体检验」繁琐流程。付个账，还要折腾老半天的摇头晃脑，谁还愿意用？

那么在支付包的逻辑里，二维图像比对如何能够保证防御「假体攻击」呢？

技术不够，数据来凑。

据支付宝的合作应用厂商表示，为确保在二维方案下的人脸识别准确性，支付宝会调用阿里系平台更多的数据维度，如消费数据、消费习惯、信用数据、消费能力等，结合人脸识别结果一同针对该用户的金融行为做出评判。

但事实证明，基于侧面数据的辅助验证手段，在人脸验证技术所涉及到的安全隐患面前只不过是一颗给厂商自己的「安慰剂」。

根据目前测试结果，支付宝「刷脸支付」测试的准确率如此之低，连五年前承诺的90%准确率都远远不及。

在支付宝官网首页，「你是中心」，鲜明的标语用大字号书写着。当我们沟通多轮，才拿到支付宝技术人员的回应，「支付宝刷脸设有『注视识别』，可以有效防范闭眼状态下通过刷脸的情况」，回应和标语在此刻都显得尤为苍白无力。

04 支付宝为何如此激进？

在金融安全如此谨言慎行的业态里，支付宝大胆而激进的风格独树一帜。

「在支付格局上面，支付宝等互联网公司和人民银行等银行系机构实际上已经产生了非常大的冲突。」一位不愿具名的人工智能金融安全的从业人士说道。

一面是在符合监管要求层面的金融机构，比如各大银行APP在进行尝试创新时，都不敢步子迈得过大，做得过快。因为监管机构明确没有文件支持。但是另一方面，支付宝等基于互联网公司一贯的作风和基因，视流量和体验至上，对比而言更显冒进。

事实上，双方冲突和争夺的焦点还在于在金融支付全流程的标准化问题上。

一项完整的金融认证方案的标准，涉及从图像采集数据传输到算法攻防等的整个链条，从用户的终端一直到银行端，需要实现端到端的全程的安全可控。比如，交易设备需要通过相关权威的金融检测机构认证，确保达到金融安全级别，才能够进行交易。

但显然，对于目前用户通用的消费类设备，并没有专门的金融机构进行认证。

有算法公司表示，在针对多款手机设备摄像头进行适配时，发现目前手机内部集成的算法和方案，完全不能针对攻击和假体做到防范。

标准尚未定夺，此时得标准者，即得盟主位。而标准联盟的竞争才是支付宝、微信以及各大银行体系竞争的本质。

首先，力推和信任在手机终端实现全流程的身份认证流程是FIDO联盟。

该联盟认为，如果身份信息和认证等所有流程仅限于手机本地端完成全，那么就默认是安全的，用户验证均以本地验证为准，然后再向后端发起交易，此时的金融机构、银行等，将直接接受终端设备的身份认证结果。

FIDO联盟成立于2012年7月，其宗旨为满足市场需求和应付网上验证要求。目前，中国银行、民生银行、工商银行、交通银行、中信银行、联通沃支付、移动和包、兴业证券、国泰君安证券等泛金融应用背后均支持FIDO标准。

虽然支付宝早期也参与过FIDO联盟的认证业务，但很快意识到标准联盟的重要性之后，2015年，蚂蚁金服转身，与中国信通信研院等单位联合发起新的联盟，IFFA联盟，同样以解决身份认证问题为己任。

依托阿里系自身庞大的金融和电子商务业务，IFAA近年来的用户基础和客户群体成长迅速。到2017年，IFAA已经支持36个手机品牌的200款手机型号，覆盖7000万用户。在2018年的双十一中，支付宝生物支付占比超过60%，IFAA市场负责人姚青予将其归功于IFFA联盟的功劳。

而对于同样拥有海量用户的腾讯，当然不会甘心归于IFFA势力。2017年8月，腾讯宣布自立山头对外开源SOTER标准，该标准主要用于微信指纹支付、微信公众号/小程序指纹授权接口等场景。

得盟主位，即得行业。

综合来看，目前金融身份认证市场仍呈现出『三足鼎立』的格局。

国际身份的FIDO坚持中立视角。腾讯SOTER起步较晚，在开放性略有不足，尚不能称为联盟标准，IFFA这几年势头正猛。

巨头不愿将用户的关键安全认证信息拱手于人，并且行业对安全快速的身份认证的统一标准将是不断「扩建生态圈」、确立行业地位的最有力保障，建立并发展联盟势在必行。

金融安全从业人士谈到此现状时，表示出担忧，「过度信任终端和应用厂商，如果出现问题，手机厂商应该承担什么责任，银行承担什么责任，支付公司承担什么责任？现在都没有细则。」

「要知道，以往的在我们金融机构里，只要出现问题，第一个板子一定是打到后面的金融机构，银行或者是支付公司身上。」

所以，我们会看到银行业在面对不够成熟的新技术方案时，总是显得保守和克制。最常见的，不难发现银行类APP永远无法像微信或者支付宝那样「常驻」，而是每进入一次应用，都需要「验明正身」。

传统银行机构线上体验水平停滞不前，被视为其他金融支付应用的机会和潜力所在，所以微信和支付宝才要极力地推广和完善金融支付极致的用户体验，建立以自我为中心的行业标准，拉拢用户。

而在这个过程中，支付宝相比微信显然更为激进和大胆。

05 原来，我们都是用安全换便利

如果支付宝平台所采用的技术方案存在安全隐患，那么如何才算得上是一套健全而有保障的「刷脸支付」技术方案？

我们对此采访了云从科技金融产品部负责人张兴旺。过去几年里，云从参与制定了由中国人民银行主导的刷脸支付应用标准的起草与制定，该方案预计在年内正式发布。作为起草与制定方之一，云从科技的观点和建议具有一定的参考意义。

张兴旺表示，以前述的典型案件场景为例，在进行用户身份认证环节时有两个明显缺漏。

第一，针对活体的检测，比如在银行业做刷脸取款，在正式刷脸前有一个重要的「自动活动检测」环节，判断当前相机前面是否是「真人」；

第二，判断交易者的主观意愿，即交易者是否愿意主动进行交易。

而在该案件以及我们针对支付宝的「刷脸支付」功能测试中，第一项明显不符合，既不是采用专用活体检测硬件方案，也没有针对用户进行「动作配合」检测。

我们不禁要问，仅仅建立在二维人脸验证的硬件方案基础上，为什么活体检测环节要被取消？

「这个问题在移动端技术方案中很常见，也就是说软件的易用性和安全性实际上是相互矛盾的。安全性是金融交易最基本的要求，满足安全性后才应考虑应用性。」张兴旺表示。

诚然，作为一般用户，大部分人都会认为如果还需要活体检测，那「刷脸解锁」环节未免太繁琐，太耽误验证时间。

目前，业内人士之所以将「刷脸解锁」称之为「非配合」验证方式，恰恰是因为现在的「刷脸解锁」因为追求极致体验，取消了用户配合的检测环节，「过度追求无感体验」。

此外，如果客户端识别到交易者眼睛闭合，那么可以判定用户不符合交易意愿要求，无论是后续的解锁还是支付都不应当继续下去。显然，在案件中手机解锁和支付宝「刷脸支付」案例中，更大可能性是因为闭眼识别的算法准确度上出了问题。

针对睁眼/闭眼状态识别，目前最简单的方式就是先提取面部中眼睛的关键点，通过它是呈现一条线还是一个椭圆形，能够做出基本判断是否睁眼/闭眼。

但是，这仅仅是最基本的一项判断方法。因为仅仅针对眼睛形状判断睁/闭眼状态，很有可能将「小眼睛」特征的人识别为闭眼。

「到底这个判断阈值应该做到什么程度，是需要平衡的。针对每个用户，还需要用大量数据来反复验证，到底是识别到什么样的开合程度才算合适。只有获得足够大和丰富的用户数据，才能帮助算法进一步迭代，提升准确性。」张兴旺谈道。

虽然支付宝很早就在推进人脸识别技术，但到目前为止，在手机应用端进行「刷脸」的消费习惯仍没有真正建立，数据量不足或许是制约算法准确度的原因之一。

但这也并不能成为支付宝「刷脸支付」功能存在极强安全隐患的说辞。如果算法和技术不到位，功能为什么要上线，还要开放如此大的权限全线推广？

一位不愿具名的金融安全从业人士评价道：

「这个事情，你要做到最基本的功能可用，比如90%人能用，可能花费一倍努力就够了，但是你要保证99.9%的人都不判断出错、都没有问题，那可能就要花费十倍甚至一百倍的精力。

但事实上，不管是互联网公司，还是算法公司好，都没有认真细致地去思考这个事情，结果就会导致有10%或者更多的人出现问题。」

经过我们测试，支付宝在「闭眼验证」这个环节准确率甚至连90%的及格线都没有达到。

在搜索和信息流领域，百度李彦宏认为，「中国用户可以用隐私换取便利」；在金融安全层面，似乎也有人在套用同样的逻辑，「中国用户可以用安全换取便利」。

「在我们的眼中看，如果说做金融安全级别是八分的门槛，那么他们可能就是三四分的水平。将偏向日常应用技术能力用来做金融场景，这是很难被接受的。」

该金融安全从业人士说道，「解决办法当然会比问题多得多，但对于应用厂商而言，未必会愿意用『安全保守』的方案来做。」

06 谁来为安全买单？

「我们认为最终最大的受害者仍然是消费者，这是完全不顾消费者的利益，不管公众的安全，直接就将具备明显安全隐患的功能上线是很可怕的。手机厂商也是如此，设计明显就是有漏洞的，但是仍然发布给了消费者。

不要指望手机厂商和应用厂商会因为你的利益损害而得到赔偿。这在法律和情面上都不可能得到保障。」

假设用户因为采用应用厂商的「刷脸支付」被盗取了钱财，手机厂商和应用厂商需要担责吗？

一位不便具名的科技法专家进行了解答，她表示在上述案件中涉及到三重法律关系。

一是刑事部分，从目前有限的信息来看，成立的可能性较大，有主观故意、非法占有等表现。

二是民事部分，主要是手机厂商是否涉及到产品对消费者侵权。

根据《消费者权益》第七条：消费者在购买、使用商品和接受服务时享有人身、财产安全不受损害的权利。消费者有权要求经营者提供的商品和服务，符合保障人身、财产安全的要求。

第十八条：经营者应当保证其提供的商品或者服务符合保障人身、财产安全的要求。对可能危及人身、财产安全的商品和服务，应当向消费者作出真实的说明和明确的警示，并说明和标明正确使用商品或者接受服务的方法以及防止危害发生的方法。宾馆、商场、餐馆、银行、机场、车站、港口、影剧院等经营场所的经营者，应当对消费者尽到安全保障义务。

人脸识别标准目前已有国家标准出台。手机厂商的人脸识别技术需达到标准，否则给消费者造成的损失应予赔偿。同样地，应用厂商也需要遵守这项人脸识别国家标准。

但遗憾的是，针对上述提到的标准，《公共安全人脸识别应用图像技术要求》（GBT35678-2017），我们发现它适用于公共安全领域人脸识别应用中人脸图像的采集、检测与存储；并且，仅在图像注册环节说明闭眼、眼镜未正视前方不允许，在识别图像时未提及眼部特征的要求。

换句话说，目前能够承担手机「刷脸支付」背后隐患与安全的，不过是消费者本身而已。而那些所谓大力推广「便捷」与「易用」的生物支付技术背后，不过是支付宝和微信等应用厂商为了称盟圈地的手段。

如何签出合法有效的电子合同？看这篇就够了

最近被「诺亚财富34亿踩雷」的新闻刷屏了，报案、否认、甩锅，一波三折，如今演绎成了罗生门。承兴造假，京东否认，诺亚报案。如何通过技术方案的设计在风险发生时为业务提供强有力的举证支持是我最近一直在思考的事情，其中电子合同的有效性是我们一直在讨论的重点问题。

随着互联网金融/金融科技的发展，合同通过电子化签署逐渐被大家接受。但是受限制于国内《电子签名法》采用了技术折中的立法模式，法律法规仅从功能性和效果上的角度上提出了要求。

如何界定电子签名、数据电文及电子合同的有效性涉及较为复杂的技术知识，司法实践中对于技术路径审查的相关经验并不多，存在着对“电子签名制作数据”、“电子签名”、“数字签名”、“用户密码”等专业概念的认知偏差，对如何签出一份合法有效的电子合同则比较模糊。

针对于此，我也与很多的法务同学、电子合同服务商进行过交流，整理了下我在交流中的感受，分享出来抛砖引玉，欢迎砸我。

一、电子合同是被法律认可的合同形式

首先我们得确认电子合同是合法有效的，这是这篇文章的基础。

对于这一点，在《合同法》以及《电子签名法》中都有明确规定：

《中华人民共和国合同法》

第十条：当事人订立合同，有书面形式、口头形式和其他形式；

第十一条：书面形式是指合同书、信件和数据电文（包括电报、电传、传真、电子数据交换和电子邮件）等可以有形地表现所载内容的形式。

简而言之：电子合同属于合同的一种。

《中华人民共和国电子签名法》

第十三条 电子签名同时符合下列条件的，视为可靠的电子签名：

电子签名制作数据用于电子签名时，属于电子签名人专有；签署时电子签名制作数据仅由电子签名人控制；签署后对电子签名的任何改动能够被发现；签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠的条件的电子签名；

第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力

简而言之：《电子签名法》规定了可靠的电子签名的有效性以及可靠的电子签名的要素：专有、专控、不可篡改。

（当然，《电子签名法》中也规定了一些不适用电子签名的情况：涉及婚姻、收养、继承等人身关系的；涉及停止供水、供电、供气等公用事业服务的；法律、行政法规规定的不适用电子文书的其他情形。这些不在我们本次讨论范围之内。）

合同的成立在传统合同书中一般通过签字或者盖章的方式来体现，在电子合同中签字盖章的行为被可靠的电子签名所代替《电子签名法》第十四条[1]。

二、先从技术层面来说

本质上电子合同的成立生效没有跳出传统合同的要件要求，这些要求我们不在此做讨论。

既然是「可靠的电子签名」与手写签名或者盖章具有同等的法律效力，那么我们只需要能在业务中能够证明符合相关要素即可。市面上的一些第三方电子合同服务商都有符合相关规定（至少是能经得起推敲）的产品方案（毕竟人家赚的就是这份钱）。

但第三方服务商的标准产品开发需要最大程度的降低其自身的风险，一般情况下会将签署合同的整个过程至于其可控范围内，其产品流程并不一定适合我们的业务系统交互需求甚至可能与业务系统相冲突。

因此部分过程需要业务系统自己完成，业务系统在风险发生时需要承担一定举证责任（不得不说，某些服务商的方案对于业务系统侵入性太大，很难接受啊）。

我们先对电子合同签署的生命流程进行拆解：

实名认证步骤，一般分为个人实名和企业实名。（不讨论线下核验的方式）

个人实名的方案很多：生物识别、银行卡验证、手机号实名认证……一般目前最保险的是扫脸认证活体检测，最好将活体的视频保存下来，以便举证。

企业实名，目前用的最多的营业执照、银行账户小额打款、法人身份证来验证。

这里顺便我说一句，我只看到一家供应商可以提供法人姓名+身份证号的认证信息，不知道市面上还有没有其他的服务商可以有此类服务提供（不是根据法人身份证对信息做二要素验证，而是根据工商注册信息对提供的法人姓名和身份证号做验证）。

意愿认证上，方式有很多。目前大部分第三方电子合同服务商都采用云托管数字证书模式，在意愿认证上针对个人一般采用短信验证码、人脸识别等来作为签署人意愿表达的行为；针对企业一般通过向企业授权人发送短信验证码、识别授权人人脸等方式或者采用 Ukey 来作为意愿表达。

这里多说一句：如果你采用 ukey 来做鉴权，需要考虑一点就是签署时使用的数字证书是否为 ukey 里存储的数字证书。如果不是（极大概率不是）一定要注意证据链完整的问题，因为本质上还是云托管数字证书来完成签署。

至于合同生成和司法举证，去找第三方服务商吧，如果这些事情都要自己做，那你就是自己在做一个电子合同平台了。

三、举证能力的一些思考

其实技术上没有难点，主要在举证问题上有一些思考：

1. 如何证明已经进行完善的实名信息

一般来说，我们做实名都是调用第三方数据接口，我们需要尽量保证调用记录的完整性及可查性。在出现电子合同有效性问题时可以提供我方已经进行应尽的实名义务，并在力所能及的范围内做到了对用户的实名认证。

针对企业实名，要至少核验包括包括企业名称、统一社会信用代码，最好对法人姓名及身份证号进行核验，同时应对经办人进行个人实名核验，以及企业核心隐私数据的核验，例如对公银行打款、开具指定金额等核验方式；

也可通过电子认证服务机构颁发的数字证书进行实名核验（这一点某 CA 的一个服务可以实现通过全国大部分（小）银行发放的 ukey进行实名认证，不过大行很少）。

这里需要注意的一点是我们在选择第三方数据服务商的时候一定要主要选择政府权威部门的数据库或者取得政府权威部门授权或认可的电子数据库（比如国政通……国政通麻烦广告费结下）

2. 在意愿认证上尽可能多的收集签署时的信息。

在合法合规的前提下，除通过短信验证码、人脸识别或 ukey 认证等方式完成用户意愿认证外，管理系统还应该尽可能的收集用户在签署时的IP 地址、操作设备 MAC 地址、操作系统信息等可以佐证是用户自身操作的信息。

3. 自动签署（或者说代签署）是否有效。

目前大部分系统对接第三方电子合同服务商的时候为了不让电子合同系统侵入业务系统都采用了各家服务商提供的「自动签署」方案（这一点我要吐槽下拉，各家差不多都有这样的接口，但是在使用上并没有很好的给用户说明。）

首先，我们要说的是《电子签名法》第十三条里提到的「签署时电子签名制作数据仅由电子签名人控制」这一项规定是对电子签名过程中电子签名制作数据归谁控制的要求。这里所规定的控制是指一种实质上的控制，即基于电子签名人的自由意志而对电子签名制作数据的控制。

在电子签名人实施电子签名行为的过程中，无论是电子签名人自己实施签名行为，还是委托他人代为实施签名行为，只要电子签名人拥有实质上的控制权，则其所实施的签名行为，满足本法此项规定的要求。（这段话不是我说的，是全国人大关于《电子签名法》的释法[2]）

在中国互联网金融协会《互联网金融个体网络借贷电子合同安全规范（征求意见稿）》第 8 司法举证要求（d）中也提到「电子签名人委托他人代为实施签名行为时，从业机构或第三方电子合同订立系统服务商提供电子签名制作数据由电子签名人控制的证据，包括调用电子签名制作数据的时间和方式、电子签名人位置、IP地址、授权及认证方式、授权及认证记录等；」

所以，自动签署的方案大家还是可以放心用，只需要你能通过其他方式来证明电子签名人拥有实质上的控制权即可。

4. 关于举证责任

关于电子签名，有一个举证的坑。

《电子签名法》第二十八条：电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。

也就是说，关于电子签名，举证责任倒置。即对方提出的侵权事实，电子认证提供者如果予以否认，则应负举证责任，证明自己没有过错。

在司法实践上，《袁斌与合肥梦川玖贸易有限公司等小额借款合同纠纷二审案件》【案号：北京市第三中级人民法院（2018）京03民终4903号】[3]中，法院也是这样认定的。

当然，只要电子认证服务提供者能够证明自己对于电子签名人或者电子签名依赖方所遭受的损失没有过错，就不承担责任。而对于电子认证服务提供者来讲，只要能够证明其所提供的服务完全是严格按照本法和符合国家规定并向国务院信息产业主管部门备案的电子认证业务规则实施的，则应能够证明没有过错。（《电子签名法释义 法律责任》[4]）

5. 电子签名无效的法律后果

电子签名无效仅仅表示该电子签名并非当事人真实意愿的表达，并不必然影响当事人之间的部分关系（比如债权债务关系、劳动关系）的成立。

如果能够从其他方面来证明当事人之间存在相关关系，法院大概率上会要求侵权方承担民事责任。但一些合同上具体规定可能无法予以认定。

比如上边提到的《袁斌与合肥梦川玖贸易有限公司等小额借款合同纠纷二审案件》中，法院虽然认定电子签名无效，但是从实名认证信息、操作记录等方面认定借款合同有效。

6. 一定要用数字签名么？

其实这一点上，《最高人民法院关于互联网法院审理案件若干问题的规定》第十一条[5]已经明确指出：「当事人提交的电子数据，通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证，能够证明其真实性的，互联网法院应当确认。」

最后多说一句，如果有钱花一点钱找服务商做个证据保全系统或者直接和司法鉴定中心、公证处之类的合作，毕竟法官不是开发小哥，你跟他讲技术远不如公证处或者司法鉴定中心的一个章子管用。

四、我为了写这篇东西，翻了多少材料《电子签名法》：这个就不用说了，自己百度就好了；详细的研究了各家服务商的材料（至少 Top3 的PPT 和接口文档我都比对了好几遍，其他一些的 PPT 我也都又翻了一遍）《GB∕T36298-2018 电子合同订立流程规范》：商务部18 年新搞的推荐标准，至少目前各家服务商的 PPT 中我还没看到把这个拿出来写。有想要 PDF 的可以找我，不过也是图片扫描版的。《互联网金融 个体网络借贷电子合同安全规范（征求意见稿）》：这个不说了，都是当年的存货。（我不说当年我收集了中互金以及各地区的P2P 的规定、措施等等材料，毕竟当年也算家大业大。）《JR/T 0118-2015 金融电子认证规范》：这个简单学习了下。法律实践，说白了就是判例。一个在做法务的小伙伴跟我说，你问我不如去看判例……这里安利下「无讼」这个平台比文书网好用多了。

#References#

[1]《电子签名法》第十四条:可靠的电子签名与手写签名或者盖章具有同等的法律效力。

[2]全国人大关于《电子签名法》的释法:http://t/AiYEl4bm

[3]《袁斌与合肥梦川玖贸易有限公司等小额借款合同纠纷二审案件》【案号：北京市第三中级人民法院（2018）京03民终4903号】:http://t/AiYEOrYd

[4]《电子签名法释义 法律责任》:http://t/AiYElv5w

[5]《最高人民法院关于互联网法院审理案件若干问题的规定》第十一条:http://wwwurt.gov/zixun-xiangqing-116981.html

#相关阅读#

互金业务中经常提到的电子合同，到底是个啥？

#专栏作家#

张小璋，公众号：张小璋的碎碎念（ID：SylvainZhang），人人都是产品经理专栏作家。野蛮生长的产品经理，专注于互联网金融领域。

本文原创发布于人人都是产品经理。未经许可，禁止转载。

题图来自 Unsplash，基于 CC0 协议