人臉識別線下支付規(guī)則出爐 有何門檻？

　　近日，中國支付清算協(xié)會發(fā)布《人臉識別線下支付行業(yè)自律公約(試行)》(下稱“試行公約”)，明確信息采集要堅持“用戶授權(quán)、最小夠用”原則，收單機構(gòu)、商戶不能歸集和截留個人信息。對于“換臉軟件”可能對刷臉支付構(gòu)成的威脅，試行公約明確，會員單位應(yīng)采用支付口令或其他可靠的技術(shù)手段實現(xiàn)本人主動確權(quán)。此外，提出設(shè)置交易限額要求，保障交易和用戶資金安全。業(yè)內(nèi)人士分析稱，未來還應(yīng)加強專項的、具有針對性的監(jiān)管制度，并加強執(zhí)法力度，規(guī)范行業(yè)行為，保護個人信息。

　　焦點1　刷臉支付有何門檻？

　　“金融行業(yè)必須特許經(jīng)營”是業(yè)務(wù)開展的一大前提。新京報記者注意到，試行公約明確要求，會員單位開展刷臉支付業(yè)務(wù)涉及跨行交易的，應(yīng)當通過央行跨行清算系統(tǒng)或具備合法資質(zhì)的清算機構(gòu)處理。同時，從事刷臉支付收單服務(wù)的會員單位應(yīng)承擔收單環(huán)節(jié)支付敏感信息安全管理責任，不得將核心業(yè)務(wù)系統(tǒng)運營、受理終端密鑰管理、特約商戶資質(zhì)審核等工作交由外包服務(wù)機構(gòu)辦理。

　　“不僅針對刷臉支付，所有具有收單性質(zhì)的支付業(yè)務(wù)都是這樣要求的。”中國社科院金融所支付清算研究中心特邀研究員趙鷂表示。

　　當前，刷臉支付賽道已有不少競跑者。2018年以來，支付寶和微信支付推出刷臉設(shè)備“蜻蜓”與“青蛙”，瞄準線下支付場景。2019年10月，銀聯(lián)旗下云閃付APP也推出刷臉支付服務(wù)。受訪人士表示，目前已鋪設(shè)布放的設(shè)備大概率會沿用。趙鷂分析稱，監(jiān)管此前就明確提出，刷臉支付終端必須是專用設(shè)備，要具有如遠紅外、活臉監(jiān)測等技術(shù)和能力。部分刷臉支付可通過手機終端完成，但試行公約中沒有提及手機，主要規(guī)范人臉識別的線下支付領(lǐng)域，也是考慮非專用設(shè)備容易出技術(shù)方面的風(fēng)險。

　　焦點2　怎樣規(guī)避信息誤用？

　　近年來，監(jiān)管部門在認可刷臉支付價值的同時，也多次公開示警其存在的安全隱患。2019年9月，央行科技司司長李偉就曾明確，人臉屬于弱隱私生物特征，信息誤用風(fēng)險比較大。人臉識別數(shù)據(jù)采集應(yīng)提前告知信息使用方式，不得在用戶不知情、未授權(quán)的情況下擅自發(fā)起交易，不要簡單地將人臉特征作為唯一的交易驗證因素。

　　對此，試行公約指出，會員單位應(yīng)建立人臉信息全生命周期安全管理機制。在采集環(huán)節(jié)，要堅持“用戶授權(quán)、最小夠用”原則，明確告知用戶信息使用目的、方式和范圍，并獲得用戶授權(quán)，避免與需求無關(guān)的特征采集。

　　此外，在信息存儲環(huán)節(jié)，試行公約提出，會員單位應(yīng)將原始人臉信息加密存儲，并與銀行賬號或支付賬號、身份證號等用戶個人隱私進行安全隔離。信息使用上，收單機構(gòu)、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息，實現(xiàn)端到端的個人隱私保護。

　　北京師范大學(xué)法學(xué)院副教授吳沈括表示，圍繞面部特征等個人信息的收集、利用，各國法律大多是以用戶的“知情-同意”作為合法的基礎(chǔ)。在“知情-同意”的背后，是用戶對廠商的授權(quán)。

　　多名專家學(xué)者認為，《網(wǎng)絡(luò)安全法》中規(guī)定，網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當遵循合法、正當、必要的原則。但在實踐中，何為“正當、必要”存在一定模糊性。對此，“最小夠用”原則應(yīng)運而生。

　　“不能截留也是非常必要的，人臉信息比銀行卡密碼、定位數(shù)據(jù)或網(wǎng)上購物等行為數(shù)據(jù)要敏感得多，因為其具有不可再生性，失竊后就面臨要證明‘我是我’。除了國家授權(quán)的單位，其他單位都不能截留和使用人臉信息。”趙鷂稱。

　　北京市網(wǎng)絡(luò)法學(xué)研究會副秘書長車寧建議，國家應(yīng)加強專項的、具有針對性的立法，并在此基礎(chǔ)上加強執(zhí)法力度，同時行業(yè)應(yīng)加強自律，使信息采集在更加明確的規(guī)范化軌道上運行。而企業(yè)應(yīng)更加注重合規(guī)性。

　　焦點3　“換臉”風(fēng)險如何防范？

　　針對黑產(chǎn)從業(yè)者已經(jīng)盯上人臉識別這塊“新蛋糕”，包括使用照片“刷臉”以及“代過人臉”服務(wù)等，試行公約提出，用戶進行刷臉支付時，會員單位應(yīng)采用支付口令或其他可靠的技術(shù)手段(通過國家統(tǒng)一推行的金融科技產(chǎn)品認證)實現(xiàn)本人主動確權(quán)。

　　新京報記者注意到，限額管理為此次試行公約提出的一大規(guī)范要求。試行公約提出，會員單位應(yīng)結(jié)合用戶信用狀況、風(fēng)險程度等因素，對用戶刷臉支付可開通的交易類型進行限制，通過協(xié)議約定交易限額，并采取有效風(fēng)控措施保障交易和用戶資金安全。

　　在車寧看來，刷臉支付風(fēng)險主要存在三個方面：一是支付渠道本身的操作風(fēng)險，主要影響資金安全；二是違規(guī)收集、儲存、使用刷臉中獲取的客戶信息，主要影響信息安全；三是可能出現(xiàn)的部分機構(gòu)獲取、加強乃至濫用市場支配地位，影響市場正常秩序和健康發(fā)展。

　　“限額等措施防范的主要是第一類操作風(fēng)險，在這一領(lǐng)域除需要驗證是否本人交易外，還需驗證本人交易意愿，而刷臉由于‘被動’和‘無感’，需要采取諸如密碼等方式使客戶主動操作進行意愿驗證，這樣才能更好地保護賬戶資金安全。”車寧稱。

　　安恒信息安全研究院院長吳卓群表示，現(xiàn)在有一些通過對抗網(wǎng)絡(luò)進行攻擊以及破解人臉識別機制的現(xiàn)象存在，但這并非不可預(yù)防，“如對于照片破解人臉識別的問題，可以通過改進傳感器解決，采用兩個攝像頭，一個攝像頭識別是否為真正的人臉，第二個攝像頭再去判斷是不是被驗證人的臉。”

　　趙鷂也認為，當前通過紅外、熱感、活體面部光線變化探測等技術(shù)，加上人工智能算法進行模式識別，可避免絕大比例的蒙騙行為，但金融行業(yè)安全性要求非常高，所以需要輸入密碼等交叉驗證等手段是非常必要的。

　　焦點4　打通機構(gòu)間壁壘？

　　刷臉支付或?qū)⒋蛲C構(gòu)間壁壘。本次試行公約提出，會員單位布放和接入的刷臉支付受理終端應(yīng)遵循金融行業(yè)管理及自律有關(guān)規(guī)定，支持刷臉支付業(yè)務(wù)互聯(lián)互通，避免一柜多機，維護市場良好秩序，促進產(chǎn)業(yè)可持續(xù)發(fā)展。

　　目前，手機APP和商戶條碼標識無法互認互掃，用戶需要進行手機APP切換，影響了消費者支付體驗。近期，財付通與銀聯(lián)開展條碼支付互聯(lián)互通相關(guān)合作試點，業(yè)內(nèi)認為未來全面互聯(lián)互通將是大勢所趨。

　　“互聯(lián)互通可以從根本上促進市場良性競爭秩序的出現(xiàn)，一方面市場有了統(tǒng)一的標準，機構(gòu)就可以在確定性和陽光下開展經(jīng)營，避免機構(gòu)間畫地為牢，甚至出現(xiàn)頭部機構(gòu)濫用市場支配地位的情況；另一方面互聯(lián)互通也體現(xiàn)了行為治理的思路，不是專門指向某個機構(gòu)，而是從經(jīng)營行為和市場秩序入手，使企業(yè)放下包袱、輕裝上陣，有利于形成更加和諧的市場氛圍。”車寧表示。

　　趙鷂認為，阿里、百度、騰訊等公司的人臉識別算法可能各不相同，技術(shù)的特征使得市場分割越來越突出，政策部門通過互聯(lián)互通方法鼓勵全網(wǎng)通用，消費者福利和體驗感能得到提高，商戶也能節(jié)省成本，因為刷臉支付終端成本明顯高于條碼支付。此外，互聯(lián)互通也將促進市場競爭，和移動運營商攜號轉(zhuǎn)網(wǎng)一樣，促使機構(gòu)提高服務(wù)水平或降低服務(wù)價格。

　　轉(zhuǎn)自：新京報

　　【版權(quán)及免責聲明】凡本網(wǎng)所屬版權(quán)作品，轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”，違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊，僅代表作者個人觀點，不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系：010-65363056。

延伸閱讀