核心提示 1月20日，中國支付清算協(xié)會(huì)發(fā)布《人臉識(shí)別線下支付行業(yè)自律公約（試行）》（以下簡稱“試行公約”），明確信息采集要堅(jiān)持“用戶授權(quán)、最小夠用”原則，收單機(jī)構(gòu)、商戶不能歸集和截留個(gè)人信息。對(duì)于“換臉軟件”可能對(duì)刷臉支付構(gòu)成的威脅，試行公約明確，會(huì)員單位應(yīng)采用支付口令或其他可靠的技術(shù)手段實(shí)現(xiàn)本人主動(dòng)確權(quán)。此外，提出設(shè)置交易限額要求，保障交易和用戶資金安全。業(yè)內(nèi)人士分析稱，未來還應(yīng)加強(qiáng)專項(xiàng)的、具有針對(duì)性的監(jiān)管制度，并加強(qiáng)執(zhí)法力度，規(guī)范行業(yè)行為，保護(hù)個(gè)人信息。

刷臉支付有何門檻？

“金融行業(yè)必須特許經(jīng)營”是業(yè)務(wù)開展的一大前提，試行公約明確要求，會(huì)員單位開展刷臉支付業(yè)務(wù)涉及跨行交易的，應(yīng)當(dāng)通過央行跨行清算系統(tǒng)或具備合法資質(zhì)的清算機(jī)構(gòu)處理。同時(shí)，從事刷臉支付收單服務(wù)的會(huì)員單位應(yīng)承擔(dān)收單環(huán)節(jié)支付敏感信息安全管理責(zé)任，不得將核心業(yè)務(wù)系統(tǒng)運(yùn)營、受理終端密鑰管理、特約商戶資質(zhì)審核等工作交由外包服務(wù)機(jī)構(gòu)辦理。

當(dāng)前，刷臉支付賽道已有不少競跑者。2018年以來，支付寶和微信支付推出刷臉設(shè)備“蜻蜓”與“青蛙”，瞄準(zhǔn)線下支付場景。2019年10月，銀聯(lián)旗下云閃付App也推出刷臉支付服務(wù)。受訪人士表示，目前已鋪設(shè)布放的設(shè)備大概率會(huì)沿用。監(jiān)管此前就明確提出，刷臉支付終端必須是專用設(shè)備，要具有如遠(yuǎn)紅外、活臉監(jiān)測等技術(shù)和能力。部分刷臉支付可通過手機(jī)終端完成，但試行公約中沒有提及手機(jī)，主要規(guī)范人臉識(shí)別的線下支付領(lǐng)域，也是考慮非專用設(shè)備容易出技術(shù)方面的風(fēng)險(xiǎn)。

怎樣規(guī)避信息誤用？

近年來，監(jiān)管部門在認(rèn)可刷臉支付價(jià)值的同時(shí)，也多次公開示警其存在的安全隱患。2019年9月，央行科技司司長李偉就曾明確，人臉屬于弱隱私生物特征，信息誤用風(fēng)險(xiǎn)比較大。人臉識(shí)別數(shù)據(jù)采集應(yīng)提前告知信息使用方式，不得在用戶不知情、未授權(quán)的情況下擅自發(fā)起交易，不要簡單地將人臉特征作為唯一的交易驗(yàn)證因素。

對(duì)此，試行公約指出，會(huì)員單位應(yīng)建立人臉信息全生命周期安全管理機(jī)制。在采集環(huán)節(jié)，要堅(jiān)持“用戶授權(quán)、最小夠用”原則，明確告知用戶信息使用目的、方式和范圍，并獲得用戶授權(quán)，避免與需求無關(guān)的特征采集。

此外，在信息存儲(chǔ)環(huán)節(jié)，試行公約提出，會(huì)員單位應(yīng)將原始人臉信息加密存儲(chǔ)，并與銀行賬號(hào)或支付賬號(hào)、身份證號(hào)等用戶個(gè)人隱私進(jìn)行安全隔離。信息使用上，收單機(jī)構(gòu)、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息，實(shí)現(xiàn)端到端的個(gè)人隱私保護(hù)。

北京師范大學(xué)法學(xué)院副教授吳沈括表示，圍繞面部特征等個(gè)人信息的收集、利用，各國法律大多是以用戶的“知情—同意”作為合法的基礎(chǔ)。在“知情—同意”的背后，是用戶對(duì)廠商的授權(quán)。

多名專家學(xué)者認(rèn)為，《中華人民共和國網(wǎng)絡(luò)安全法》中規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。但在實(shí)踐中，何為“正當(dāng)、必要”存在一定模糊性。對(duì)此，“最小夠用”原則應(yīng)運(yùn)而生。