我國首份刷臉支付自律公約出爐

核心提示 1月20日，中國支付清算協會發布《人臉識別線下支付行業自律公約（試行）》（以下簡稱“試行公約”），明確信息采集要堅持“用戶授權、最小夠用”原則，收單機構、商戶不能歸集和截留個人信息。對于“換臉軟件”可能對刷臉支付構成的威脅，試行公約明確，會員單位應采用支付口令或其他可靠的技術手段實現本人主動確權。此外，提出設置交易限額要求，保障交易和用戶資金安全。業內人士分析稱，未來還應加強專項的、具有針對性的監管制度，并加強執法力度，規范行業行為，保護個人信息。

刷臉支付有何門檻？

“金融行業必須特許經營”是業務開展的一大前提，試行公約明確要求，會員單位開展刷臉支付業務涉及跨行交易的，應當通過央行跨行清算系統或具備合法資質的清算機構處理。同時，從事刷臉支付收單服務的會員單位應承擔收單環節支付敏感信息安全管理責任，不得將核心業務系統運營、受理終端密鑰管理、特約商戶資質審核等工作交由外包服務機構辦理。

當前，刷臉支付賽道已有不少競跑者。2018年以來，支付寶和微信支付推出刷臉設備“蜻蜓”與“青蛙”，瞄準線下支付場景。2019年10月，銀聯旗下云閃付App也推出刷臉支付服務。受訪人士表示，目前已鋪設布放的設備大概率會沿用。監管此前就明確提出，刷臉支付終端必須是專用設備，要具有如遠紅外、活臉監測等技術和能力。部分刷臉支付可通過手機終端完成，但試行公約中沒有提及手機，主要規范人臉識別的線下支付領域，也是考慮非專用設備容易出技術方面的風險。

怎樣規避信息誤用？

近年來，監管部門在認可刷臉支付價值的同時，也多次公開示警其存在的安全隱患。2019年9月，央行科技司司長李偉就曾明確，人臉屬于弱隱私生物特征，信息誤用風險比較大。人臉識別數據采集應提前告知信息使用方式，不得在用戶不知情、未授權的情況下擅自發起交易，不要簡單地將人臉特征作為唯一的交易驗證因素。

對此，試行公約指出，會員單位應建立人臉信息全生命周期安全管理機制。在采集環節，要堅持“用戶授權、最小夠用”原則，明確告知用戶信息使用目的、方式和范圍，并獲得用戶授權，避免與需求無關的特征采集。

此外，在信息存儲環節，試行公約提出，會員單位應將原始人臉信息加密存儲，并與銀行賬號或支付賬號、身份證號等用戶個人隱私進行安全隔離。信息使用上，收單機構、商戶等中間環節不得歸集或截留原始人臉信息，實現端到端的個人隱私保護。

北京師范大學法學院副教授吳沈括表示，圍繞面部特征等個人信息的收集、利用，各國法律大多是以用戶的“知情—同意”作為合法的基礎。在“知情—同意”的背后，是用戶對廠商的授權。

多名專家學者認為，《中華人民共和國網絡安全法》中規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則。但在實踐中，何為“正當、必要”存在一定模糊性。對此，“最小夠用”原則應運而生。