1月20日,中国支付清算协会发布《人脸识别线下支付行业自律公约(试行)》(下称“试行公约”),从安全管理、终端管理、风险管理和用户权益保护等角度提出技术方面的要求和业务规范。与此同时,明确信息采集要坚持“用户授权、最小够用”原则,收单机构、商户不能归集和截留个人隐私信息。
实际上,目前多个支付巨头已入局试水刷脸支付,但由于其相较银行卡支付、扫码支付更为无感,便捷与安全之间的博弈始终为绕不开的话题。此次,对于“换脸软件”可能对刷脸支付构成的威胁,试行公约明确,会员单位应采用支付口令或其他可靠的技术手段实现本人主动确权,此外,提出设置交易限额要求,采取有效风控措施保障交易和用户资金安全。
业内人士分析称,此次试行公约属于“软法”,未来还应加强专项的、具有针对性的监管制度,并加强执法力度,以此来规范行业行为,保护个人隐私信息。
焦点一:有何门槛?
具备合法资质,核心业务系统运营等不得外包
“金融行业必须特许经营”是业务开展的一大前提。新京报记者注意到,试行公约明确要求,会员单位开展刷脸支付业务涉及跨行交易的,应当通过央行跨行清算系统或具备合法资质的清算机构处理。同时,从事刷脸支付收单服务的会员单位应承担收单环节支付敏感信息安全管理责任,不得将核心业务系统运营、受理终端密钥管理、特约商户资质审核等工作交由外包服务机构办理。“不仅针对刷脸支付,所有具有收单性质的支付业务都是这样要求的。”中国社科院金融所支付清算研究中心特邀研究员赵鹞对记者表示。
当前,刷脸支付赛道已有不少竟跑者。2018年以来,支付宝和微信支付相继推出刷脸设备“蜻蜓”与“青蛙”,瞄准线下支付场景。2019年10月,“国家队成员”银联旗下云闪付APP也推出刷脸支付服务。受访人士表示,目前已铺设布放的设备大概率会沿用。赵鹞分析称,监管此前就明确提出,刷脸支付终端必须是专用设备,要具有如远红外、活脸监测等技术和能力。部分刷脸支付可通过手机终端完成,但试行公约中没有提及手机,主要规范人脸识别的线下支付领域,也是考虑非专用设备容易出技术方面的风险。
焦点二:
怎样规避信息误用?
采集人脸信息坚持“用户授权、最小够用”收单机构和商户等不得归集或截留原始人脸信息
近年来,监管部门在认可刷脸支付价值的同时,也多次公开示警其存在的安全风险隐患。2019年9月,央行科技司司长李伟就曾明确,人脸属于弱隐私生物特征,信息误用风险比较大。人脸识别数据采集应提前告知信息使用方式,不得在用户不知情、未授权的情况下擅自发起交易,不要简单地将人脸特征作为唯一的交易验证因素。
对此,试行公约指出,会员单位应建立人脸信息全生命周期安全管理机制。在采集环节,要坚持“用户授权、最小够用”,明确告知用户个人信息使用目的、方式和范围,并获得用户授权,避免与需求无关的特征采集。
此外,在信息存储环节,试行公约提出,会员单位应将原始人脸信息加密存储,并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离。信息使用上,收单机构、商户等中间环节不得归集或截留原始人脸信息,实现端到端的个人隐私保护。
北京师范大学法学院副教授吴沈括对新京报记者表示,围绕面部特征等个人隐私信息的收集、利用,各国法律大多是以用户的“知情-同意”作为合法的基础。在“知情-同意”的背后,是用户对厂商的授权。而在北京志霖律师事务所副主任赵占领看来,人脸这种生物信息属于个人隐私信息的范围,需要遵守《网络安全法》等相关法律和法规的规定。
多名专家学者认为,《网络安全法》对于个人隐私信息收集的规定较为原则,如第四十一条规定,网络运营者收集、使用个人隐私信息,应当遵循合法、正当、必要的原则。但在实践中,何为“正当、必要”存在一定模糊性。对此,最小够用原则应运而生。
“不能截留也是非常必要的,人脸信息比银行卡密码、定位数据或网上购物等行为数据要敏感得多,因为其具有不可再生性,失窃后就面临要证明’我是我’,进入社会伦理的悖论。除了国家授权的单位,其他单位都不能截留和使用人脸信息,否则社会秩序就乱了。”赵鹞称。
北京市网络法学研究会副秘书长车宁进一步建议,国家应加强专项的、具有针对性的立法,并在此基础上加强执法力度,同时行业应加强自律,使信息采集在更加明确的规范化轨道上运行。而企业应逐渐摆脱粗放利用数据的原始模式,更加注重合规性,同时在数据工作中引入更多加密技术,多管齐下避免个人隐私信息被违规收集。
焦点三:“换脸”风险如何防范?
采用支付口令或其他可靠的技术手段实现本人主动确权,协议约定交易限额有必要注意一下的是,针对黑产从业者已经盯上人脸识别这块“新蛋糕”,包括使用照片“刷脸”以及“代过人脸”服务等,试行公约提出,用户进行刷脸支付时,会员单位应采用支付口令或其他可靠的技术手段(通过国家统一推行的金融科技产品认证)实现本人主动确权。
新京报记者注意到,限额管理为此次试行公约提出的一大规范要求。试行公约提出,会员单位应结合用户信用状况、风险程度等因素,对用户刷脸支付可开通的交易类型进行限制,通过协议约定交易限额,并采取有效风控措施保障交易和用户资金安全。
在车宁看来,刷脸支付风险主要存在三个方面:一是支付渠道本身的操作风险,主要影响资金安全;二是违规收集、储存、使用刷脸中获取的客户信息,主要影响信息安全;三是也许会出现的部分机构获取、加强乃至滥用市场支配地位,影响市场正常秩序和健康发展。
“限额等措施防范的主要是第一类操作风险,在这一领域除需要验证是否本人交易外,还需验证本人交易意愿,而刷脸由于‘被动’和‘无感’,在意愿验证上存在一定劣势,需要采取诸如密码等方式使客户主动操作进行意愿验证,这样才可以更好保护账户资金安全。”车宁称。安恒信息安全研究院院长吴卓群对新京报记者表示,现在有一些通过对抗网络进行攻击以及破解人脸识别机制的现象存在,但这并非不可预防。“如对于照片破解人脸识别的问题,能够最终靠改进传感器解决,采用两个摄像头,一个摄像头识别是否为真正的人脸,如根据人脸皮肤反光、立体凹凸情况、动态行为等判断脸的真假,第二个摄像头再去判断是不是被验证人的脸。”
赵鹞也认为,当前通过红外、热感、活体面部光线变化探测等技术,加上人工智能算法进行模式识别,可避免绝大比例的蒙骗行为,但金融行业安全性要求非常高,还要有安全冗余,所以需要输入密码等交叉验证等手段是非常必需的。
焦点四:打通机构间壁垒?
支持支付业务互联互通,避免一柜多机可以预见,刷脸支付或将打通机构间壁垒。本次试行公约提出,会员单位布放和接入的刷脸支付受理终端应遵循金融行业管理及自律有关法律法规,支持刷脸支付业务互联互通,避免一柜多机,维护市场良好秩序,促进产业可持续发展。目前,手机APP和商户条码标识无法互认互扫,用户有必要进行手机APP切换,影响了消费者支付体验。近期,财付通与银联开展条码支付互联互通相关合作试点,业内认为未来全面互联互通将是大势所趋。
“互联互通可以从根本上促进市场良性竞争秩序的出现,一方面市场有了统一的标准,机构就可以在确定性和阳光下开展经营,避免机构间画地为牢,甚至出现头部机构滥用市场支配地位的情况;另一方面互联互通也体现了”行为治理“的思路,不是专门指向某个机构,而是从经营行为和市场秩序入手,使企业放下包袱、轻装上阵,有利于形成更加和谐的市场氛围。”车宁表示。
赵鹞认为,条码包括人脸支付都依赖于终端,阿里、百度、腾讯等公司的人脸识别算法可能各不相同,技术的特征使得市场分割越来越突出,政策部门通过互联互通方法鼓励全网通用,消费者福利和体验感能得到提高,商户也能节省成本,因为刷脸支付终端成本明显高于条码支付。此外,互联互通也将促进市场之间的竞争,和移动运营商携号转网一样,促使机构提高服务水平或降低服务价格。
试行公约的推行,某种程度上是金融科技自律管理的另一类“监管沙盒”,聚焦于创新业务支付业务安全和保护消费者的权益,属于支付清算行业治理方式的创新,通过先行先试,为下一步的监管积累经验和提供助力。
新京报记者罗亦丹程维妙编辑王进雨孙勇校对柳宝庆