人臉識別線下支付規(guī)則出爐 有何門檻？

　　近日，中國支付清算協(xié)會發(fā)布《人臉識別線下支付行業(yè)自律公約(試行)》(下稱“試行公約”)，明確信息采集要堅持“用戶授權、最小夠用”原則，收單機構、商戶不能歸集和截留個人信息。對于“換臉軟件”可能對刷臉支付構成的威脅，試行公約明確，會員單位應采用支付口令或其他可靠的技術手段實現(xiàn)本人主動確權。此外，提出設置交易限額要求，保障交易和用戶資金安全。業(yè)內人士分析稱，未來還應加強專項的、具有針對性的監(jiān)管制度，并加強執(zhí)法力度，規(guī)范行業(yè)行為，保護個人信息。

　　焦點1　刷臉支付有何門檻？

　　“金融行業(yè)必須特許經營”是業(yè)務開展的一大前提。新京報記者注意到，試行公約明確要求，會員單位開展刷臉支付業(yè)務涉及跨行交易的，應當通過央行跨行清算系統(tǒng)或具備合法資質的清算機構處理。同時，從事刷臉支付收單服務的會員單位應承擔收單環(huán)節(jié)支付敏感信息安全管理責任，不得將核心業(yè)務系統(tǒng)運營、受理終端密鑰管理、特約商戶資質審核等工作交由外包服務機構辦理。

　　“不僅針對刷臉支付，所有具有收單性質的支付業(yè)務都是這樣要求的。”中國社科院金融所支付清算研究中心特邀研究員趙鷂表示。

　　當前，刷臉支付賽道已有不少競跑者。2018年以來，支付寶和微信支付推出刷臉設備“蜻蜓”與“青蛙”，瞄準線下支付場景。2019年10月，銀聯(lián)旗下云閃付APP也推出刷臉支付服務。受訪人士表示，目前已鋪設布放的設備大概率會沿用。趙鷂分析稱，監(jiān)管此前就明確提出，刷臉支付終端必須是專用設備，要具有如遠紅外、活臉監(jiān)測等技術和能力。部分刷臉支付可通過手機終端完成，但試行公約中沒有提及手機，主要規(guī)范人臉識別的線下支付領域，也是考慮非專用設備容易出技術方面的風險。

　　焦點2　怎樣規(guī)避信息誤用？

　　近年來，監(jiān)管部門在認可刷臉支付價值的同時，也多次公開示警其存在的安全隱患。2019年9月，央行科技司司長李偉就曾明確，人臉屬于弱隱私生物特征，信息誤用風險比較大。人臉識別數(shù)據(jù)采集應提前告知信息使用方式，不得在用戶不知情、未授權的情況下擅自發(fā)起交易，不要簡單地將人臉特征作為唯一的交易驗證因素。

　　對此，試行公約指出，會員單位應建立人臉信息全生命周期安全管理機制。在采集環(huán)節(jié)，要堅持“用戶授權、最小夠用”原則，明確告知用戶信息使用目的、方式和范圍，并獲得用戶授權，避免與需求無關的特征采集。

　　此外，在信息存儲環(huán)節(jié)，試行公約提出，會員單位應將原始人臉信息加密存儲，并與銀行賬號或支付賬號、身份證號等用戶個人隱私進行安全隔離。信息使用上，收單機構、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息，實現(xiàn)端到端的個人隱私保護。

　　北京師范大學法學院副教授吳沈括表示，圍繞面部特征等個人信息的收集、利用，各國法律大多是以用戶的“知情-同意”作為合法的基礎。在“知情-同意”的背后，是用戶對廠商的授權。

　　多名專家學者認為，《網絡安全法》中規(guī)定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則。但在實踐中，何為“正當、必要”存在一定模糊性。對此，“最小夠用”原則應運而生。

　　“不能截留也是非常必要的，人臉信息比銀行卡密碼、定位數(shù)據(jù)或網上購物等行為數(shù)據(jù)要敏感得多，因為其具有不可再生性，失竊后就面臨要證明‘我是我’。除了國家授權的單位，其他單位都不能截留和使用人臉信息。”趙鷂稱。

　　北京市網絡法學研究會副秘書長車寧建議，國家應加強專項的、具有針對性的立法，并在此基礎上加強執(zhí)法力度，同時行業(yè)應加強自律，使信息采集在更加明確的規(guī)范化軌道上運行。而企業(yè)應更加注重合規(guī)性。

　　焦點3　“換臉”風險如何防范？

　　針對黑產從業(yè)者已經盯上人臉識別這塊“新蛋糕”，包括使用照片“刷臉”以及“代過人臉”服務等，試行公約提出，用戶進行刷臉支付時，會員單位應采用支付口令或其他可靠的技術手段(通過國家統(tǒng)一推行的金融科技產品認證)實現(xiàn)本人主動確權。

　　新京報記者注意到，限額管理為此次試行公約提出的一大規(guī)范要求。試行公約提出，會員單位應結合用戶信用狀況、風險程度等因素，對用戶刷臉支付可開通的交易類型進行限制，通過協(xié)議約定交易限額，并采取有效風控措施保障交易和用戶資金安全。

　　在車寧看來，刷臉支付風險主要存在三個方面：一是支付渠道本身的操作風險，主要影響資金安全；二是違規(guī)收集、儲存、使用刷臉中獲取的客戶信息，主要影響信息安全；三是可能出現(xiàn)的部分機構獲取、加強乃至濫用市場支配地位，影響市場正常秩序和健康發(fā)展。

　　“限額等措施防范的主要是第一類操作風險，在這一領域除需要驗證是否本人交易外，還需驗證本人交易意愿，而刷臉由于‘被動’和‘無感’，需要采取諸如密碼等方式使客戶主動操作進行意愿驗證，這樣才能更好地保護賬戶資金安全。”車寧稱。

　　安恒信息安全研究院院長吳卓群表示，現(xiàn)在有一些通過對抗網絡進行攻擊以及破解人臉識別機制的現(xiàn)象存在，但這并非不可預防，“如對于照片破解人臉識別的問題，可以通過改進傳感器解決，采用兩個攝像頭，一個攝像頭識別是否為真正的人臉，第二個攝像頭再去判斷是不是被驗證人的臉。”

　　趙鷂也認為，當前通過紅外、熱感、活體面部光線變化探測等技術，加上人工智能算法進行模式識別，可避免絕大比例的蒙騙行為，但金融行業(yè)安全性要求非常高，所以需要輸入密碼等交叉驗證等手段是非常必要的。

　　焦點4　打通機構間壁壘？

　　刷臉支付或將打通機構間壁壘。本次試行公約提出，會員單位布放和接入的刷臉支付受理終端應遵循金融行業(yè)管理及自律有關規(guī)定，支持刷臉支付業(yè)務互聯(lián)互通，避免一柜多機，維護市場良好秩序，促進產業(yè)可持續(xù)發(fā)展。

　　目前，手機APP和商戶條碼標識無法互認互掃，用戶需要進行手機APP切換，影響了消費者支付體驗。近期，財付通與銀聯(lián)開展條碼支付互聯(lián)互通相關合作試點，業(yè)內認為未來全面互聯(lián)互通將是大勢所趨。

　　“互聯(lián)互通可以從根本上促進市場良性競爭秩序的出現(xiàn)，一方面市場有了統(tǒng)一的標準，機構就可以在確定性和陽光下開展經營，避免機構間畫地為牢，甚至出現(xiàn)頭部機構濫用市場支配地位的情況；另一方面互聯(lián)互通也體現(xiàn)了行為治理的思路，不是專門指向某個機構，而是從經營行為和市場秩序入手，使企業(yè)放下包袱、輕裝上陣，有利于形成更加和諧的市場氛圍。”車寧表示。

　　趙鷂認為，阿里、百度、騰訊等公司的人臉識別算法可能各不相同，技術的特征使得市場分割越來越突出，政策部門通過互聯(lián)互通方法鼓勵全網通用，消費者福利和體驗感能得到提高，商戶也能節(jié)省成本，因為刷臉支付終端成本明顯高于條碼支付。此外，互聯(lián)互通也將促進市場競爭，和移動運營商攜號轉網一樣，促使機構提高服務水平或降低服務價格。

　　轉自：新京報

　　【版權及免責聲明】凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業(yè)經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業(yè)宣傳資訊，僅代表作者個人觀點，不代表本網觀點和立場。版權事宜請聯(lián)系：010-65363056。

延伸閱讀