蔣淑旭,胡 丹

(甘肅政法大學(xué) 法學(xué)院,甘肅 蘭州 730000)

中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)、中國(guó)人民銀行2019年9月29日發(fā)布的《2019年中國(guó)普惠金融發(fā)展報(bào)告》指出,我國(guó)使用電子支付的成年人比例達(dá)82.39%,可見(jiàn)高效便捷的電子支付已逐漸取代傳統(tǒng)的現(xiàn)金支付方式。繼掃碼支付后,刷臉時(shí)代已經(jīng)悄然而至。人們時(shí)常玩笑道:“現(xiàn)在是個(gè)看臉的時(shí)代”,當(dāng)人臉識(shí)別技術(shù)應(yīng)用于支付領(lǐng)域時(shí),刷臉支付不再是夢(mèng)想,玩笑已然成真。2019年11月初,國(guó)內(nèi)“人臉識(shí)別第一案”引發(fā)大家對(duì)該項(xiàng)技術(shù)安全與否的討論,民眾開(kāi)始冷靜、理智地看待人臉識(shí)別技術(shù),思考該項(xiàng)技術(shù)在應(yīng)用過(guò)程中所帶來(lái)的安全隱患,對(duì)此也產(chǎn)生了一系列疑問(wèn):“刷臉支付”靠得住嗎、[1]“刷臉支付”為何叫好不叫座[2]等。

一、刷臉支付概述

(一)刷臉支付的定義

根據(jù)北京互聯(lián)網(wǎng)法院2019年8月17日發(fā)布的《互聯(lián)網(wǎng)技術(shù)司法應(yīng)用白皮書》可知:人臉識(shí)別技術(shù),是通過(guò)圖像或視頻流中檢測(cè)和跟蹤人臉,再基于人的面部特征信息進(jìn)行身份識(shí)別的一種生物識(shí)別技術(shù)。刷臉支付是人臉識(shí)別技術(shù)在支付領(lǐng)域中的應(yīng)用,通過(guò)該項(xiàng)技術(shù)將提取的面部特征信息與政府機(jī)關(guān)授權(quán)所保存的人臉圖像進(jìn)行比對(duì)核驗(yàn),以個(gè)人面部信息替代原有的密碼或指紋,從而真正實(shí)現(xiàn)消費(fèi)者的快捷支付。

(二)刷臉支付的主要優(yōu)勢(shì)

1.具有新穎性,提升消費(fèi)者支付體驗(yàn)。移動(dòng)支付的方式包括:短信支付、二維碼支付、指紋支付以及刷臉支付四種。刷臉支付和指紋支付屬于生物識(shí)別,相較于其他支付而言,具有專屬性和唯一性。[3]刷臉支付的優(yōu)勢(shì)之一是非接觸性,當(dāng)使用其他三種方式支付時(shí)需要使用手機(jī),需要通過(guò)手機(jī)來(lái)驗(yàn)證“你就是你”,而刷臉支付只需要將個(gè)人面部對(duì)準(zhǔn)攝像頭,匹配成功之后點(diǎn)擊確認(rèn)即可完成支付,速度更快,且通過(guò)“你的臉就是密碼”這一理念,讓消費(fèi)者體驗(yàn)到“無(wú)感支付”的新穎便捷。根據(jù)最新數(shù)據(jù),我國(guó)的刷臉用戶數(shù)已破億,其中“90后”占據(jù)主流。[4]

2.提高運(yùn)營(yíng)效率,降低人工成本。采用刷臉支付,對(duì)于客戶和商家而言,是雙贏。在購(gòu)物、用餐付款時(shí)經(jīng)常會(huì)出現(xiàn)排長(zhǎng)隊(duì)情況，時(shí)有發(fā)生消費(fèi)者之間、消費(fèi)者和收銀員之間的沖突,而刷臉支付正好可以有效解決這一問(wèn)題。采用刷臉支付,可以極大地節(jié)省付款時(shí)間,有效緩解排隊(duì)支付現(xiàn)象。有報(bào)道指出,一臺(tái)刷臉機(jī)器相當(dāng)于1.5個(gè)收銀柜臺(tái),一天相當(dāng)于3個(gè)收銀員，這既節(jié)約了商家的人工成本,也增長(zhǎng)了運(yùn)營(yíng)效率。

3.更加智能化,利于商家及時(shí)調(diào)整營(yíng)業(yè)策略。通過(guò)刷臉支付,商家可以采集到消費(fèi)者的個(gè)人支付信息。利用對(duì)支付信息的數(shù)據(jù)處理便可詳細(xì)分析消費(fèi)者的消費(fèi)趨勢(shì)、消費(fèi)習(xí)慣等，[5]商家可以有針對(duì)性地及時(shí)調(diào)整營(yíng)業(yè)策略,更好地迎合消費(fèi)者,滿足消費(fèi)者多樣的消費(fèi)需求。

二、刷臉支付對(duì)消費(fèi)者個(gè)人信息保護(hù)帶來(lái)的挑戰(zhàn)

在信息化的大數(shù)據(jù)時(shí)代,人們重視個(gè)人信息的安全和保護(hù),但人臉識(shí)別卻第一次在法律訴訟層面成為主角。浙江理工大學(xué)郭兵副教授以杭州野生動(dòng)物世界未經(jīng)其同意強(qiáng)制收集個(gè)人生物識(shí)別信息,嚴(yán)重違反《消費(fèi)者權(quán)益保護(hù)法》為由,起訴對(duì)方。[6]“人臉識(shí)別第一案”的出現(xiàn),讓人們重新認(rèn)識(shí)和冷靜思考該項(xiàng)技術(shù)的利弊。指紋信息和面部信息同屬于個(gè)人生物識(shí)別信息,為何指紋識(shí)別可以廣泛應(yīng)用推廣,卻對(duì)刷臉支付要保持謹(jǐn)慎態(tài)度?

(一)個(gè)人面部信息是行走的密碼

指紋支付,是通過(guò)提前在手機(jī)設(shè)置中錄入自己的指紋信息,在交易時(shí)驗(yàn)證是否同預(yù)留指紋一致即可,可操作性強(qiáng),不用擔(dān)心遺忘密碼或密碼被竊取等問(wèn)題。而人的面部自出生就暴露在公眾面前,容易忽略其生物特征隱私性較弱的特點(diǎn)。最新的人臉識(shí)別技術(shù)可以通過(guò)對(duì)人面部表情的深度識(shí)別,來(lái)識(shí)別性別、計(jì)算年齡和計(jì)算個(gè)體心理真實(shí)情感。當(dāng)隨處可見(jiàn)的攝像頭和人臉識(shí)別技術(shù)結(jié)合時(shí),我們的個(gè)人面部就成了行走的密碼。

(二)個(gè)人面部信息存在泄露的風(fēng)險(xiǎn)

中央財(cái)經(jīng)大學(xué)黃震教授在接受人民網(wǎng)記者采訪時(shí)指出,在消費(fèi)者使用刷臉支付的過(guò)程中存在個(gè)人信息被過(guò)度采集的情況,即只要使用刷臉便會(huì)與個(gè)人身份驗(yàn)證等信息發(fā)生關(guān)聯(lián),這就存在個(gè)人隱私被侵犯的風(fēng)險(xiǎn)。[7]而一旦面部信息被泄露后,消費(fèi)者唯一的身份數(shù)據(jù)就此消失,且永遠(yuǎn)沒(méi)有辦法更換和再生,將導(dǎo)致公民失去對(duì)個(gè)人面部信息的控制能力,造成個(gè)人信息擴(kuò)散范圍和用途的不可控,可能會(huì)給個(gè)人信息主體的人身和財(cái)產(chǎn)帶來(lái)巨大的安全隱患。近日,有媒體報(bào)道,某網(wǎng)絡(luò)商城有商家公開(kāi)兜售“人臉數(shù)據(jù)”,其數(shù)量高達(dá)17萬(wàn)條。[8]若刷臉支付后的個(gè)人面部數(shù)據(jù)為不法分子所用,將會(huì)嚴(yán)重危害消費(fèi)者的個(gè)人信息安全。

(三)侵犯消費(fèi)者個(gè)人信息安全

刷臉支付會(huì)通過(guò)人臉識(shí)別技術(shù)采集消費(fèi)者的個(gè)人信息,包括:支付信息和個(gè)人面部信息。對(duì)于所采集的消費(fèi)者支付信息,商家可以通過(guò)消費(fèi)者的支付時(shí)間、支付金額、購(gòu)買產(chǎn)品等相關(guān)信息,用大數(shù)據(jù)分析便可輕易、準(zhǔn)確了解消費(fèi)者的年齡層次、消費(fèi)趨勢(shì)以及購(gòu)物習(xí)慣等。的確,這有助于商家制定有針對(duì)性的銷售策略,但利用消費(fèi)者的個(gè)人信息進(jìn)行統(tǒng)計(jì)分析的行為是否合法呢?目前法律對(duì)此并沒(méi)有相關(guān)的規(guī)定。

消費(fèi)者的個(gè)人面部信息屬于個(gè)人生物識(shí)別信息,具有專屬性和不可更改性,可以通過(guò)面部信息精確對(duì)應(yīng)到消費(fèi)者本人,一旦被泄露,將無(wú)法彌補(bǔ)。2019年2月,國(guó)內(nèi)一家企業(yè)被曝發(fā)生大規(guī)模數(shù)據(jù)泄露事件,超過(guò)250萬(wàn)人的數(shù)據(jù)可被獲取,其中包括個(gè)人身份信息、人臉識(shí)別信息等。[9]信息泄露已在現(xiàn)實(shí)生活中發(fā)生,難道坐以待斃,任其侵犯我們的個(gè)人信息安全嗎?我國(guó)《消費(fèi)者權(quán)益保護(hù)法》是以“消費(fèi)者權(quán)利——經(jīng)營(yíng)者義務(wù)”作為立法結(jié)構(gòu)而展開(kāi),但沒(méi)有涉及由于支付方式侵犯消費(fèi)者個(gè)人信息安全所應(yīng)承擔(dān)的法律責(zé)任。

三、刷臉支付下消費(fèi)者個(gè)人信息保護(hù)的完善路徑

(一)完善國(guó)家立法

面部信息屬于個(gè)人生物識(shí)別信息,筆者在北大法律信息網(wǎng)上進(jìn)行檢索,發(fā)現(xiàn)我國(guó)并沒(méi)有專門針對(duì)“個(gè)人生物識(shí)別信息”的立法,僅是在相關(guān)的法律法規(guī)中有初步涉獵,沒(méi)有明確個(gè)人生物識(shí)別信息的內(nèi)涵。并且我國(guó)關(guān)于“個(gè)人生物識(shí)別信息”的相關(guān)法律多集中于反恐、安全和出入境管理領(lǐng)域,并沒(méi)有涉及到支付領(lǐng)域?qū)ι镒R(shí)別信息的采集、儲(chǔ)存、使用、保管、刪除等程序的規(guī)定,建議對(duì)個(gè)人生物識(shí)別信息保護(hù)進(jìn)行專門性立法,具體細(xì)化規(guī)定相關(guān)主體的權(quán)利義務(wù)和法律責(zé)任。[10]

雖然我國(guó)《消費(fèi)者權(quán)益保護(hù)法》第十四條規(guī)定了消費(fèi)者個(gè)人信息保護(hù)權(quán)，第二十九條規(guī)定了經(jīng)營(yíng)者采集、使用消費(fèi)者個(gè)人信息的原則，第五十條、第五十六條規(guī)定了當(dāng)經(jīng)營(yíng)者侵害消費(fèi)者個(gè)人信息應(yīng)承擔(dān)的法律責(zé)任,但《消費(fèi)者權(quán)益保護(hù)法》對(duì)于消費(fèi)者個(gè)人信息權(quán)的保護(hù)仍缺乏全面詳盡的規(guī)定,尤其是對(duì)于新型刷臉支付方式的法律規(guī)制是遠(yuǎn)遠(yuǎn)不夠的。對(duì)此,在建立健全我國(guó)生物識(shí)別信息的法律規(guī)制上,可以借鑒歐盟及美國(guó)等通行的個(gè)人信息保護(hù)原則,如:公開(kāi)性原則、限制性原則、數(shù)據(jù)與質(zhì)量原則、責(zé)任與安全原則、個(gè)人信息權(quán)利保護(hù)原則以及集體訴訟制度等。[11]同時(shí)可以建立在線解決糾紛機(jī)制和互聯(lián)網(wǎng)糾紛集中審理模式,由信息控制者承擔(dān)舉證責(zé)任等方式來(lái)解決消費(fèi)者取證難中的相關(guān)技術(shù)問(wèn)題。

(二)落實(shí)政府監(jiān)管

目前，我國(guó)有工業(yè)和信息化部門(簡(jiǎn)稱工信部),但是工信部目前的職能主要是規(guī)劃保障通信、負(fù)責(zé)通信網(wǎng)絡(luò)安全及相關(guān)信息安全管理等,而對(duì)于刷臉支付帶來(lái)的個(gè)人信息安全沒(méi)有起到主要監(jiān)管作用。政府缺少專門機(jī)構(gòu)來(lái)規(guī)制行業(yè)行為、保護(hù)消費(fèi)者個(gè)人信息安全。政府的事前、事中、事后監(jiān)管組織銜接程序欠缺,需要建立及完善事前的風(fēng)險(xiǎn)防范措施、事中的監(jiān)管機(jī)制以及事后的懲戒機(jī)制。

1.建立市場(chǎng)準(zhǔn)入制度。對(duì)于采用刷臉支付相關(guān)企業(yè)應(yīng)要求其報(bào)備如下內(nèi)容:人臉信息的使用邊界、目的、保管方式、使用時(shí)限、刪除方式、應(yīng)急處理能力等,并要求企業(yè)全面記載其信息處理活動(dòng),對(duì)所有信息處理活動(dòng)有據(jù)可查。這不僅是對(duì)企業(yè)的信息安全管理提出要求,同時(shí)也為監(jiān)管機(jī)構(gòu)提供了監(jiān)管執(zhí)法的依據(jù)。[12]

2.建立平時(shí)巡視審查制度。使用刷臉支付的過(guò)程中,監(jiān)管部門應(yīng)對(duì)企業(yè)采集、處理消費(fèi)者的人臉信息是否符合法律規(guī)范進(jìn)行定期審查、評(píng)估及監(jiān)督,及時(shí)發(fā)現(xiàn)企業(yè)的不規(guī)范行為,并責(zé)令其糾正,避免造成無(wú)法挽回的信息泄露事件。根據(jù)日常審查記錄,對(duì)人臉識(shí)別應(yīng)用過(guò)程中存在的潛在風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè),以積極引導(dǎo)并制定相應(yīng)的應(yīng)急處理措施。[13]

3.建立完善追責(zé)懲戒機(jī)制。當(dāng)個(gè)人面部信息不慎泄露而損害消費(fèi)者權(quán)利時(shí),要求控制人臉信息的企業(yè)及時(shí)向相關(guān)監(jiān)管部門報(bào)告信息泄露事故的性質(zhì)、涉及的信息主體和人數(shù)范圍、信息數(shù)量、相關(guān)聯(lián)系人的聯(lián)系方式、可能導(dǎo)致的后果以及已經(jīng)采取和準(zhǔn)備采取的措施。[14]監(jiān)管部門根據(jù)信息泄露行為追溯源頭并進(jìn)行治理,防止類似行為再度出現(xiàn)。對(duì)于嚴(yán)重違反信息保護(hù)相關(guān)法律法規(guī)的企業(yè),根據(jù)事故性質(zhì)、情節(jié)、造成危害等情形對(duì)其進(jìn)行懲戒。

(三)增強(qiáng)企業(yè)行業(yè)自律

1.制定行業(yè)自律公約。面對(duì)刷臉時(shí)代的挑戰(zhàn),美國(guó)從保證信息安全和自由流動(dòng)角度出發(fā),既有國(guó)家層面法律法規(guī)的引導(dǎo)規(guī)制,又有社會(huì)企業(yè)層面的行業(yè)自律規(guī)范的管理制約。鑒于美國(guó)行業(yè)自律的優(yōu)勢(shì),我國(guó)清算協(xié)會(huì)官網(wǎng)于2020年1月21日發(fā)布消息,為規(guī)制人臉識(shí)別技術(shù)在支付領(lǐng)域的應(yīng)用、防范刷臉支付的風(fēng)險(xiǎn)等,中國(guó)支付清算協(xié)會(huì)組織制定了《人臉識(shí)別線下支付行業(yè)自律公約(試行)》。該試行公約雖然短短三十條,但公約中規(guī)定的建立消費(fèi)者刷臉支付投訴處理程序、刷臉支付突發(fā)事件應(yīng)急處理機(jī)制、對(duì)無(wú)法有效證明資金損失責(zé)任及時(shí)先行賠付等條款,在一定程度上能夠規(guī)范企業(yè)行為,降低個(gè)人信息泄露風(fēng)險(xiǎn)。

2.尊重消費(fèi)者知情權(quán)、選擇權(quán)。企業(yè)商戶在消費(fèi)者使用刷臉支付時(shí),獲得法律授權(quán)是前提,需以消費(fèi)者可獲悉的方式告知風(fēng)險(xiǎn),征得本人同意。這是從知情權(quán)角度出發(fā),針對(duì)消費(fèi)者個(gè)人信息保護(hù)應(yīng)該采用“消費(fèi)者參與模式”。以目前普遍使用的支付寶為例,在消費(fèi)者選擇開(kāi)通刷臉支付時(shí),系統(tǒng)會(huì)提示消費(fèi)者閱讀《生物識(shí)別服務(wù)通用規(guī)則》,但存在提示不醒目、規(guī)定較籠統(tǒng)等問(wèn)題。

3.自主報(bào)備及妥善保管、處理。首先,刷臉支付涉及到消費(fèi)者個(gè)人面部信息的保護(hù),任何使用該項(xiàng)技術(shù)的企業(yè)商戶都必須主動(dòng)接受政府監(jiān)管。因此,對(duì)于提供刷臉支付的服務(wù)方,包括在刷臉支付中提供賬戶信息管理、信息儲(chǔ)存、清算收單等服務(wù)的商戶,在使用刷臉支付之前都應(yīng)向相關(guān)監(jiān)管部門進(jìn)行報(bào)備,便于政府監(jiān)管。其次,在對(duì)消費(fèi)者個(gè)人面部信息進(jìn)行保管上,采集面部信息的企業(yè)必須做到妥善保管,其保管和使用面部信息的范圍應(yīng)當(dāng)以采集面部信息時(shí)的目的為界限,不得基于非法目的采集使用消費(fèi)者的個(gè)人面部信息,不得將面部信息數(shù)據(jù)販賣給他人以牟取私利。[15]最后,采用刷臉支付的企業(yè),對(duì)于面部信息的妥善保管固然重要,但不能忽視,明確使用時(shí)限、采用安全的銷毀方式也是避免信息泄露的關(guān)鍵環(huán)節(jié)。對(duì)于面部信息的采集、存儲(chǔ)、使用、傳輸、保管、披露、銷毀等各個(gè)環(huán)節(jié)都應(yīng)當(dāng)依法合規(guī)。[16]

(四)消費(fèi)者個(gè)人風(fēng)險(xiǎn)防范及救濟(jì)方法

1.理性對(duì)待刷臉支付,避免盲目跟風(fēng)。消費(fèi)者無(wú)論是授權(quán)APP進(jìn)行刷臉支付還是到店使用“銀聯(lián)刷臉支付”之前,有必要充分了解刷臉支付這一新型支付模式。雖然刷臉支付可以提高用戶體驗(yàn)感,但應(yīng)當(dāng)知曉具有唯一性的面部信息被泄露的損害后果是不可逆的。即使如支付寶承諾“你敢付我敢賠”,其賠付的也僅是財(cái)產(chǎn)損失。較于財(cái)產(chǎn)損失而言,影響更為嚴(yán)重的是消費(fèi)者的個(gè)人信息安全、人身安全,甚至造成社會(huì)不穩(wěn)定等。

2.樹(shù)立安全意識(shí),及時(shí)行使“刪除權(quán)”。授權(quán)使用刷臉支付的消費(fèi)者,即個(gè)人面部信息的權(quán)利主體,在一定情況下享有對(duì)自己信息進(jìn)行刪除的權(quán)利,即要求信息控制者刪除與自己相關(guān)的所有信息,并停止進(jìn)一步傳播。對(duì)于信息主體的刪除權(quán),我國(guó)工信部頒布的《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》中規(guī)定了與之相類似的信息主體的禁止權(quán),即該指南的刪除階段規(guī)定了信息主體行使刪除權(quán)的四種情形:有正當(dāng)理由的;達(dá)到信息使用目的;超出授權(quán)使用期限的;信息管理企業(yè)終止的。而依據(jù)歐盟《一般數(shù)據(jù)保護(hù)條例》規(guī)定,賦予信息主體可以根據(jù)自身情況隨時(shí)撤回同意的權(quán)利,即信息主體有權(quán)隨時(shí)反對(duì)數(shù)據(jù)控制者基于其授權(quán)處理個(gè)人信息。信息主體撤回授權(quán)或信息控制者無(wú)權(quán)繼續(xù)控制、處理信息時(shí),信息主體除了有權(quán)要求信息控制者刪除信息,還可以要求其對(duì)公開(kāi)傳播的信息進(jìn)行刪除、進(jìn)而通知第三方停止利用并刪除。[18]

基于以上國(guó)內(nèi)外法律法規(guī)文件對(duì)信息主體賦予的刪除權(quán),消費(fèi)者在授權(quán)企業(yè)采集處理其面部信息時(shí),不僅要詳細(xì)了解被授權(quán)主體制定的規(guī)則,更要知悉自己作為權(quán)利主體,在被采集信息后如何保護(hù)自己的個(gè)人信息不被非法處理、利用。

3.完善消費(fèi)者權(quán)利的救濟(jì)途徑。即使消費(fèi)者享有知情權(quán)、刪除權(quán),但由于個(gè)人生物識(shí)別信息具有極高的商業(yè)性價(jià)值,被盜用的可能性較大。因此,需要對(duì)泄露消費(fèi)者個(gè)人面部信息的救濟(jì)途徑進(jìn)行完善。

首先,消費(fèi)者可以向監(jiān)管機(jī)構(gòu)提出申訴,或者是向消費(fèi)者保護(hù)協(xié)會(huì)進(jìn)行投訴,若是監(jiān)管者、消協(xié)未予處理或未在規(guī)定時(shí)間內(nèi)處理抑或是對(duì)其處理意見(jiàn)不滿,則可以對(duì)其提起行政訴訟。

其次,信息泄露導(dǎo)致消費(fèi)者人身權(quán)、財(cái)產(chǎn)權(quán)等權(quán)利遭受損失時(shí),消費(fèi)者可以提起民事訴訟,要求泄露信息的企業(yè)承擔(dān)責(zé)任,并可以起訴相關(guān)責(zé)任人,如:監(jiān)管者、信息控制處理者,要求其承擔(dān)相應(yīng)的責(zé)任。

最后,信息泄露事件往往伴隨著大批消費(fèi)者主體的信息集體被泄露,此時(shí),消費(fèi)者可以提起集體訴訟,或者是向有關(guān)部門反映,從而啟動(dòng)公益訴訟,來(lái)維護(hù)自己的權(quán)利。