【摘 要】 金融科技的发展使得生物特征识别技术在金融科技系统中得到广泛应用，如何防范金融科技中这些生物特征识别技术的应用带来的风险越来越重要。文章首先分析了金融科技中生物特征识别系统的原理、代表性生物特征识别系统及其生物特征识别技术的应用;然后分析了金融科技中应用生物特征识别系统存在的主要风险;在此基础上，给出了金融科技生物特征识别系统风险审计的依据、步骤、内容以及方法;最后，以某商业银行手机银行支付系统为例，分析了如何实施金融科技生物特征识别系统风险审计。研究结果为今后开展金融科技生物特征识别系统风险审计，防范化解金融科技生物特征识别系统风险提供了理论基础与技术方法。

【关键词】 信息系统审计; 金融科技; 生物特征识别; 风险审计

【中图分类号】 F239.1;C931.6  【文献标识码】 A  【文章编号】 1004-5937（2022）12-0002-06

一、引言

党的十九大报告将“防范化解重大风险”列为我国三大攻坚战之首，2022年《国务院政府工作报告》也将其列为重点工作任务之一。打好防范化解重大风险攻坚战，重点是防控金融风险。随着互联网/移动互联网、大数据、人工智能等相关信息技术在金融行业的广泛发展，金融科技（Financial Technology，Fintech或FinTech）成为近年研究与应用的热点问题[1]。金融科技（Fintech）是指通过利用各类科技手段创新传统金融行业所提供的产品和服务，提升效率并有效降低运营成本。国际金融稳定理事会（Financial Stability Board，FSB）把金融科技定義为“技术带来的金融创新，它能够产生新的商业模式、应用、过程或产品，从而对金融市场、金融机构或金融服务的提供方式产生重大影响”。中国人民银行在《金融科技发展规划（2022—2025年）》[2]中指出，金融科技作为技术驱动的金融创新，是深化金融供给侧结构性改革、增强金融服务实体经济能力的重要引擎。金融科技为金融发展注入了新的活力，也给金融安全带来了新挑战。美国国家经济委员会2017年发布的《金融科技框架》[3]白皮书中指出“这些新兴的、未经测试的技术也可能伴有风险。如果这些风险得不到管理，它们可能会对更大范围内的金融系统造成损害。就像金融危机所展现的一样，系统性金融风险可能以我们始料未及的方式迅速扩散”。由于金融科技发展迅速，亟须提升监管科技水平，补齐监管短板，凝聚监管力量。防范化解金融科技风险是防范化解系统性金融风险的一项重要内容，是金融风险管理的前沿课题。研究如何防范化解金融科技风险具有重要的理论和应用价值。

金融科技的发展使得用户身份核实和认证需求快速增长，基于密码口令等传统的用户身份核实和认证模式已经不能很好地满足目前金融科技发展的需要。由于生物特征识别技术可以实现便捷、可靠的用户身份认证，目前已在金融机构的金融科技系统中得到了广泛的应用，防范金融科技生物特征识别系统风险越来越重要。随着2021年《中华人民共和国个人信息保护法》[4]的颁布和实施，防范金融科技生物特征识别系统的风险更为重要。对于相关审计机构，为了防范生物特征识别技术应用产生的风险，需要开展金融科技生物特征识别系统风险审计。

综上所述，研究金融科技生物特征识别系统风险审计问题具有重要的理论和应用价值。目前，一些文献针对信息系统审计研究了基于大数据技术的应用控制风险审计[5]和业务连续性管理风险审计[6]等问题，但直接针对金融科技中生物特征识别系统的风险审计问题尚缺少研究。本文结合金融科技与生物特征识别技术的研究与应用现状，研究金融科技生物特征识别系统风险审计问题。

二、生物特征识别系统原理及其在金融科技中的应用

（一）生物特征识别系统原理

生物特征识别系统是指根据一个或多个生理特征或者行为特征对个体进行自动识别的系统[7]。其中，生理特征是指个体身体的物理特性，例如人脸、指纹、掌纹、视网膜、虹膜、指静脉、掌静脉、DNA等;行为特征包括签名、语音、步态等。在原理上，生物特征识别系统一般包括采集功能、处理功能、存储功能、匹配功能4个主要功能模块。

1.生物特征识别信息采集功能，用于完成用户生物特征识别信息的采集。

2.生物特征识别信息处理功能，用于把采集来的用户生物特征识别信息进行处理，形成数字或标签形式，便于生物特征识别信息的存储和匹配。

3.生物特征识别信息存储功能，用于存储采集来的用户生物特征识别信息。

4.生物特征识别信息匹配功能，用于通过比较待验证用户的生物特征识别信息与存储在金融科技生物特征识别系统中的信息是否一致，从而完成用户身份的验证。

（二）金融科技生物特征识别系统应用示例

金融科技的发展使得用户身份核实和认证需求快速增长，为了弥补传统身份核实和认证技术的不足，生物特征识别系统在金融科技中得到广泛应用。金融科技生物特征识别系统就是应用于金融科技中的生物特征识别系统，这些系统采用生物特征识别技术完成金融科技相关业务的用户身份核实和认证。金融科技中生物特征识别系统的应用模式可分为本地认证和远程认证两种模式，代表性生物特征识别系统及其生物特征识别技术应用如下：

1.自动取款身份识别

自动取款机（Automated Teller Machine，ATM）目前在金融机构得到广泛应用，它是一种计算机化的高度精密的机电一体化装置，可以代替银行柜面人员，帮助用户实现7×24小时的相关金融交易自助服务。自动取款机一般通过账户密码来识别用户身份。随着金融科技的发展，为了提高自动取款身份识别的安全性，防止账户密码被盗、账户密码被破解等而导致用户的经济损失，同时增加用户的使用体验，生物特征识别技术开始被应用到自动取款身份识别中。例如，波兰BPS SA银行2010年5月开始把指静脉识别技术应用在自动取款机上。这种自动取款机由德国的德利多富公司（Nixdorf）制造生产，应用了日本日立公司研发的“手指静脉”（Finger Vein）识别技术，它能通过扫描用户手指尖端的毛细血管系统来对用户生物特征进行识别，用户不需要银行卡就可以直接从自动取款机上取得现金。指静脉技术原应用于国防、军工等高精尖领域。指静脉识别技术的原理就是根据人手指中流动的血液可以吸收特定波长的光线，通过使用特定波长的光线对手指进行照射，从而可以得到手指静脉清晰的图像，在此基础上，通过对该手指静脉图像进行比对分析，从而可以进行个人身份识别。除了指静脉识别技术之外，更多的生物特征识别技术也被应用于自动取款身份识别。D0F23CC6-C940-415F-BDD7-509E68B5E11B

2.支付身份识别

支付已经成为当今社会生活的重要组成部分，随着金融科技的发展，支付模式也在不断发展变化，生物特征识别技术开始被应用到支付身份识别中。例如，2014年1月，美国支付公司Pulse Wallet将掌纹识别技术应用于无卡POS（Point of Sale）终端机支付方案中，用户可以通过掌纹识别技术实现银行卡的支付;2014年9月，蚂蚁金服将指纹识别技术应用于支付身份识别中，用户可以通过指纹识别技术实现银行卡的支付。

3.银行远程开户身份识别

传统的银行开户方式需要到银行网点办理，需要排队等候，耗费时间长，开户效率低。随着金融科技的发展，用户可以采用远程自助开户方式代替传统的银行开户方式，这种方式被称为银行远程开户。也就是说，客户不需要到现场，只需使用手机就能完成银行的各种开户业务，极大提高了开户效率，同时降低了营业成本。生物特征识别技术为银行远程开户身份识别提供了技术保障。例如，中国银行于2016年4月起在网上银行、手机银行、中银易商等电子渠道全面推出个人远程开户服务①;近年来，微众银行、网商银行等把人脸识别技术用于远程开户用户身份认证中，用户可以通过人脸识别技术实现远程开户。这使得用户可以避免去银行网点办理业务，节省了时间。

三、金融科技生物特征识别系统风险分析

随着生物特征识别技术在金融科技中的广泛应用，防范金融科技生物特征识别系统风险越来越重要。简单地讲，金融科技生物特征识别系统风险是指为了弥补传统身份核实和认证技术的不足，而应用生物特征识别系统来完成金融科技相关业务的用户身份核实和认证，进而可能产生相关风险。这些风险主要表现为：

（一）生物特征识别信息的数据管理安全风险

2020年修订后的《信息安全技术个人信息安全规范》（GB/T 35273-2020）将包括个人生物识别信息在内的个人敏感信息定义为“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。2019年2月，深圳某人脸识别企业发生数据泄露事件，680万条数据泄露，这些数据包括人脸识别图像、身份证信息等②。

随着生物特征识别技术在金融科技中的广泛应用，如果金融机构在生物特征识别信息采集、保管等环节中没有很好地对风险进行把控，就会给掌握相关信息的不法分子以可乘之机。例如，金融机构的生物特征识别信息数据一般会存储在服务器或云计算平台中，如果储存着大量个人生物特征识别信息的数据库被攻破，不但会导致用户身份信息和个人隐私泄露，还会存在把用户银行卡中的资金转走或用于其他犯罪的可能。

（二）生物特征识别信息自身的安全风险

虽然生物特征信息具有唯一性的天然安全优势，但是特征信息数字化之后，可能会被复制、被再造利用，存在被破解的风险。例如，苹果公司等应用的指纹识别技术曾暴露出存在重大漏洞，黑客可以采用木胶做成的假指纹轻松地解锁iPhone 5s的指纹锁;2016年，美国密歇根州立大学（Michigan State University，MSU）利用特殊的墨水和纸张2D打印出假指纹，成功骗过了三星Galaxy S6和华为荣耀7的指纹识别系统。在此之后，又升级了这项实验，通过3D打印，制作出带有指纹的手模型，再次成功骗过了指纹扫描仪;2019年，在浙江乌镇举办的世界互联网大会上，一名工作人员乔装“黑客”，通过采用一张用户个人照片制作的3D脸模，就可以很容易地通过某人脸识别系统的检测;2020年8月举行的DEFCON（世界上最知名的“黑客大会”）虚拟安全会议上，君勒铂（DreamLab）技术公司的安全研究员介绍了如何仅用一台基于UV树脂的SLA 3D打印机和价值10美元的材料就能绕过指纹认证。

随着生物特征识别技术在金融科技中的广泛应用，金融机构在使用生物特征识别信息进行用户身份验证时，如果不能采取有效的控制措施来防范生物特征识别信息自身的安全风险，生物特征识别系统的应用将会对金融机构的金融科技系统带来潜在的安全风险。

四、金融科技生物特征识别系统風险审计

简单地讲，金融科技生物特征识别系统风险审计是指为了防范化解金融科技生物特征识别系统风险而开展的审计专项工作。其审计的依据、审计的基本步骤、审计的内容、审计的方法分析如下。

（一）审计的依据

目前，开展金融科技系统生物特征识别系统风险审计已经有了一些法律法规依据，如《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》、国家标准《信息安全技术 生物特征识别信息保护基本要求》（GB/T40660—2021）。例如，《中华人民共和国个人信息保护法》第六十条规定“国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。”因此，审计机关可以依照本法和有关法律、行政法规的规定，在职责范围内开展金融科技生物特征识别系统风险审计，负责审计金融机构生物特征识别信息保护和监督管理工作。同时，金融机构内审部门和风险管理部门也可以依据相关法律法规和内部规定，对其金融科技系统中的生物特征识别技术活动定期开展相关内部审计工作，或委托相关会计师事务所对其金融科技系统中的生物特征识别技术活动进行合规审计。

（二）审计的基本步骤

审计人员在开展金融科技系统生物特征识别系统风险审计时，可以依据上述相关法律和规定，检查被审计金融机构生物特征识别系统的应用是否符合国家、行业、单位内部等的相关法律和规定。

根据审计的基本流程以及被审计金融科技系统生物特征识别系统应用的现状与特点，金融科技系统生物特征识别系统风险审计的基本步骤如图1所示。D0F23CC6-C940-415F-BDD7-509E68B5E11B

主要步骤分析如下：

1.生物特征识别系统应用流程分析。根据被审计金融机构不同的金融科技系统，分析其生物特征识别系统应用情况及其应用流程。

2.生物特征识别系统风险识别。根据被审计金融机构不同的金融科技系统应用情况及应用流程，识别出其生物特征识别系统应用中可能存在的风险。

3.生物特征识别系统风险测试。对识别出的金融科技生物特征识别系统中可能存在相关风险进行测试，从而最终发现相关风险。

4.生物特征识别系统风险审计报告撰写。针对测试出的生物特征识别系统相关风险，撰写生物特征识别系统风险审计报告。

（三）审计的内容

根据相关法律和规定，如《中华人民共和国个人信息保护法》、国家标准《信息安全技术 生物特征识别信息保护基本要求》（GB/T 40660-2021）等，结合金融科技生物特征识别系统的处理流程及内容（包括生物特征识别信息的采集、存储、处理与使用、删除等），金融科技生物特征识别系统相关风险审计的主要内容如下：

1.生物特征识别信息采集风险审计

对于金融机构金融科技中应用的生物特征识别信息采集风险审计，可以从以下五个方面出发：

（1）检查金融机构的相关金融科技系统是否要求用户在使用时必须使用其生物特征识别系统（必须用户同意采集其生物特征识别信息），金融机构是否存在以用户不同意为由拒绝用户使用其相关金融科技系统。例如，对于安全级别不高的场所，金融机构应提供其他选项，不应该强制用户使用人脸识别技术等生物特征识别方式来登录使用其相关金融科技系统。

（2）检查金融机构是否依法依规采集用户的生物特征识别信息。例如，金融机构在采集用户生物特征识别信息之前，是否已取得用户同意的授权协议;授权协议重要事项发生变更时是否重新取得用户同意;用户是否有权撤回已同意的授权协议，金融机构是否给用户提供便捷方式以方便用户撤回已同意的授权协议。

（3）检查金融机构采集用户生物特征识别信息的用户授权协议条款是否规范。例如，是否以明显的方式、清晰易懂的语言准确、真实、完整地告知用户关于金融机构用户生物特征识别信息处理者的姓名（或者名称）和联系方式、用户生物特征识别信息的处理方式、处理目的等关键信息。

（4）检查金融机构在采集用户生物特征识别信息时是否仅限于实现处理目的的最小范围，是否遵循“必要、够用、最小范围、公开处理规则、采取安全保护措施”的原则，是否存在过度收集个人信息的情况。

（5）检查金融机构在采集用户生物特征识别信息时保存期限的设置是否合理，设置的保存期限是否是实现处理目的所需要的最短时间。

2.生物特征识别信息存储风险审计

（1）检查金融机构在存储采集来的生物特征识别信息的过程中，是否采取适当的保护措施，以确保生物特征识别信息的保密性。

（2）检查金融机构是否将在中国境内采集和产生的相关用户生物特征识别信息存储在中国境内;对于确需向境外提供的生物特征识别信息，检查金融机构是否依照相关法规进行了安全评估。

（3）检查金融机构在备份采集来的生物特征识别信息的过程中，是否采取适当的保护措施，以确保生物特征识别信息的保密性。如果备份数据没有进行充分的保护，同样会对生物特征识别信息安全生成风险。

3.生物特征识别信息处理与使用风险审计

（1）检查金融机构相关金融科技系统在使用采集来的生物特征识别信息时，使用范围是否取得相关用户的同意。

（2）检查金融机构是否合理设置本单位员工对用户生物特征识别信息处理的范围和操作权限。

（3）检查金融机构在向其他单位提供其采集来的生物特征识别信息时，是否取得用户的单独同意，是否向相关用户告知接收方的姓名（或名称）、联系方式、生物特征识别信息的种类、处理目的和处理方式等;检查接收方是否在约定的范围内处理金融机构提供的用户生物特征识别信息;检查接收方变更原先的处理方式、处理目的时，是否依照相关规定重新取得用户的同意。

（4）检查金融机构金融科技系统中生物特征识别技术的应用范围是否合理，防止金融机构金融科技系统中生物特征识别技术滥用的风险。例如，生物特征识别技术可用于支付等安全要求较高的金融科技业务，对于账户查询、业务预约等一般业务应予限制。

（5）对于金融机构的一些重要金融科技应用，审计人员可以评估该业务的重要等级和所采用的生物特征识别技术安全级别是否匹配。例如，对于一些重要金融科技系统的支付安全应用方面，检查金融机构是否采用了安全级别更高的生物特征识别技术及具体标准，是否在采用生物特征识别技术的同时，还采用了其他并用性辅助识别技术，如数字密码、短信验证、人工监控、安全风控策略等其他安全手段，通过这些多重技术手段的方式填补生物特征识别技术的漏洞。这样的案例如，对于金额超过1万元的支付，在指纹识别后，用户还需要输入与账号绑定的手机号进行短信验证，从而进一步提高其安全性;在使用刷脸支付功能时，需要用户先开通该功能之后才能使用，用户不使用時，也可以随时关闭。通过这些安全风险控制策略，可以进一步确保用户账户的安全。

4.生物特征识别信息删除风险审计

检查金融机构对于不再使用的金融科技生物特征识别信息，是否采取安全的处理措施进行删除处理。需要删除生物特征识别信息的情况如：（1）用户（生物特征识别信息的主体）撤回对金融机构相关金融科技系统生物特征识别信息采集的同意权，或者金融机构相关金融科技系统的生物特征识别信息使用目的改变，但是用户（生物特征识别信息的主体）不同意新的使用目的。（2）金融机构的相关金融科技系统已不再需要使用这些采集来的生物特征识别信息。（3）金融机构的相关金融科技生物特征识别系统已停止提供产品或者服务。（4）金融机构与用户（生物特征识别信息的主体）约定的使用期限已到期。D0F23CC6-C940-415F-BDD7-509E68B5E11B

5.生物特征识别信息管理风险审计

对于金融机构金融科技中应用的生物特征识别信息管理风险审计，可以从以下六个方面出发：（1）检查金融机构是否制定关于生物特征识别信息的内部管理制度和操作程序，是否根据相关要求指定用户生物特征识别信息保护责任人，负责对生物特征识别信息处理活动以及对生物特征识别信息所采取的保护措施等进行监督。（2）检查金融机构是否定期对其相关人员进行生物特征识别信息管理安全教育和培训。（3）检查金融机构是否对用户生物特征识别信息实行分类、分级管理，是否采取了相应的加密保护等安全技术措施。（4）检查金融机构是否制定关于生物特征识别信息的安全事件应急预案并定期进行演练。（5）检查金融机构是否依法依规遵循生物特征识别技术的伦理边界，是否存在非法采集、修改或售卖用户个人生物特征识别信息的行为。（6）检查金融机构是否定期委托专业机构对其金融科技系统中的生物特征识别技术活动进行合规审计。

（四）审计的方法

根据常用的审计方法以及金融科技生物特征识别系统的特点，审计人员在开展金融机构金融科技生物特征识别系统风险审计时，可以采用以下审计方法：（1）询问金融机构有关当事人，调查与其金融科技系统生物特征识别系统应用活动有关的情况。（2）采集常用审计技术和大数据审计技术分析用户与金融科技系统生物特征识别系统应用活动有关的合同、授权协议、记录、日志以及其他有关资料，包括电子数据资料。（3）开展现场检查，对涉嫌违规违法的金融科技系统生物特征识别应用活动进行现场调查。（4）检查与用户个人生物特征识别信息处理活动有关的系统和设备，查找用于违法进行用户个人生物特征识别信息处理活动的系统和设备。

五、金融科技生物特征识别系统风险审计案例：某商业银行手机银行支付系统风险审计

以某商业银行手机银行支付系统为例，现对其进行金融科技生物特征识别系统风险审计。审计人员采用前文分析的审计内容和审计方法开展审计，主要审计结果如下：

1.通过测试该商业银行手机银行支付系统的使用流程，最终发现：该商业银行手机银行的支付系统要求用户必须同意采用刷脸支付的用户授权协议，才可以进行下一步操作，否则会自动退出手机银行的支付系统，违反了《中华人民共和国个人信息保护法》第十六条的规定“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外”。

2.通过采集与分析该商业银行手机银行支付系统的用户授权协议，最终发现：（1）该商业银行手机银行的支付系统没有向用户告知生物特征識别信息处理者的名称或者姓名和联系方式;（2）该商业银行手机银行的支付系统没有向用户告知采集来的生物特征识别信息的保存期限。以上行为违反了《中华人民共和国个人信息保护法》第十七条第一款和第二款的规定“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式。（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限。”

3.通过访谈该商业银行相关人员，并采集与分析相关材料，最终发现：该商业银行没有定期委托专业机构对其手机银行支付系统生物特征识别信息处理活动进行合规审计，违反了《中华人民共和国个人信息保护法》第五十四条规定“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”

六、结论

金融科技在金融行业得到广泛应用，如何防范化解金融科技风险具有重要的理论和应用价值。金融科技的发展使得生物特征识别技术在金融科技中得到了广泛的应用，这同时也带来了新风险。如何审计生物特征识别应用产生的这类风险成为一个新的研究问题。本文根据这一需要，研究了面向金融科技生物特征识别系统的风险审计相关理论与方法。今后，随着金融科技生物特征识别系统风险审计业务的广泛需要，审计人员可以在审计过程中运用大数据审计技术和智能审计技术，进一步提高审计效率，为金融行业的健康发展保驾护航。

【参考文献】

[1] 陈伟.金融科技风险审计：现状及发展[J].中国注册会计师，2020（9）：72-74.

[2] 中国人民银行.金融科技发展规划（2022—2025年）[R].2021.

[3] National Economic Council.A framework for FinTech [R].2017.

[4] 全国人大常委会.中华人民共和国个人信息保护法[EB/OL].http：//flk.npc.gov.cn，2021-08-20.

[5] 陈伟，詹明惠.基于大数据可视化技术的信息系统AC审计[J].会计之友，2021（1）：120-125.

[6] 陈伟.基于大数据技术的BCM审计方法研究[J].会计之友，2019（11）：113-116.

[7] 国家市场监督管理总局，国家标准化管理委员会.信息安全技术 生物特征识别信息保护基本要求（GB/T40660-2021）[M].北京：中国标准出版社，2021.D0F23CC6-C940-415F-BDD7-509E68B5E11B