1月20日,中国支付清算协会发布《人脸识别线下支付行业自律公约(试行)》(以下简称《试行公约》),明确信息采集必须遵循“用户授权,最低限度够用”,收集机构和商家不能收集或保留个人信息。 针对“换脸软件”可能对刷脸支付构成的威胁,试点公约明确会员单位应使用支付密码或其他可靠的技术手段主动确权。 此外,还提出设置交易限额要求,以保证交易和用户资金的安全。 业内人士分析,未来应强化专项性、针对性的监管制度,加大执法力度,规范行业行为,保护个人信息。
焦点1
刷脸支付的门槛是多少?
“金融业必须特许经营”是业务发展的一大前提。 新京报记者注意到,试点公约明确要求,任何会员单位涉及银行间交易的刷脸支付业务均应通过央行银行间清算系统或具有合法资质的清算机构办理。 同时,从事刷脸支付收单业务的会员单位应当负责收单过程中敏感支付信息的安全管理,不得遗漏核心业务系统操作、受理终端密钥管理、特约商户资质审核等。外包服务机构的其他任务。
“这不仅是刷脸支付所需要的,也是所有具有收单性质的支付业务所需要的。” 中国社会科学院金融研究所支付结算研究中心特约研究员赵耀表示。
目前,刷脸支付赛道上已经有不少跑者。 2018年以来,支付宝、微信支付相继推出刷脸设备“蜻蜓”、“青蛙”,瞄准线下支付场景。 2019年10月,银联旗下银联云闪付APP也推出了人脸识别支付服务。 受访者表示,已经布局的设备大概率会继续使用。 赵耀分析,监管此前已明确规定,刷脸支付终端必须是特种设备,必须具备远红外、人脸实时监控等技术和能力。 部分刷脸支付可以通过手机终端完成,但试点公约中并未提及手机。 主要规范人脸识别线下支付领域,同时也考虑非专用设备的技术风险。
焦点2
如何避免信息被滥用?
近年来,监管部门在认识到人脸识别支付价值的同时,也公开警告其潜在的安全隐患。 2019年9月,央行科技司司长李伟明确表示,人脸属于生物识别特征,隐私性较弱,信息被滥用的风险较高。 面部识别数据收集应提前告知信息将如何使用。 在用户不知情或未经授权的情况下不得发起交易。 不要简单地将面部特征作为唯一的交易验证因素。
对此,《试行公约》指出,会员单位应建立人脸信息全生命周期安全管理机制。 在收集过程中,必须坚持“用户授权,最少够用”的原则,明确告知用户信息使用的目的、方式和范围,并获得用户授权,避免收集与需求无关的特征。
此外,在信息存储环节,试行公约提出,会员单位应对原始人脸信息进行加密存储,并与银行账号或支付账号、身份证号码等用户个人隐私安全隔离。信息使用过程中,收单机构、商户等中间环节不得采集或截取原始人脸信息,实现端到端的个人隐私保护。
北京师范大学法学院副教授吴申阔表示,围绕面部特征等个人信息的收集和使用,各国法律大多依靠用户的“知情同意”作为法律依据。 “知情同意”的背后是用户对制造商的授权。
不少专家学者认为,《网络安全法》规定网络运营者收集、使用个人信息应当遵循合法、正当、必要的原则。 但在实践中,对于什么是“合法且必要”存在一定的模糊性。 对此,“最少够用”原则应运而生。
“不能被拦截也是非常有必要的。人脸信息比银行卡密码、位置数据或者网购等行为数据敏感得多,因为它是不可再生的。被盗之后,你要证明: “我就是我”,除国家授权单位外,其他单位都不能拦截和使用人脸信息。”赵耀说道。
北京互联网法研究会副秘书长车宁建议,国家应加强专项、针对性立法,并在此基础上加大执法力度。 同时,行业应加强自律,使信息采集走上更加清晰、规范的轨道。 跑步。 企业应该更加注重合规性。
焦点3
如何防范“变脸”风险?
鉴于黑产业从业者聚焦人脸识别这块“新蛋糕”,包括利用照片“刷脸”、“代脸”等服务,试点公约提出,用户在使用人脸识别进行支付时、会员单位应利用支付密码或其他可靠的技术手段(通过国家统一推广的金融科技产品认证)主动确认用户的权益。
新京报记者注意到,配额管理是本次试行公约提出的一项重大规范要求。 试点公约提出,会员单位应根据用户信用状况、风险等级等因素,限制用户可开通刷脸支付的交易种类,通过协议约定交易限额,并采取有效的风控措施,确保安全。交易和用户资金。
车宁表示,刷脸支付风险主要有三个方面:一是支付渠道本身的操作风险,主要影响资金安全; 二是刷脸获取的客户信息被非法收集、存储、使用,主要影响信息安全。 三是一些机构可能获取、强化甚至滥用市场支配地位,影响市场正常秩序和健康发展。
“限额等措施主要是防范第一类操作风险。在这个领域,除了验证人是否在交易之外,还需要验证人的交易意愿。刷脸是‘被动’、‘不敏感’” ',并且需要密码等方法。” 其他方式可以让客户主动操作、验证自己的意愿,从而更好地保障账户资金安全。”车宁表示。
安恒信息安全研究院院长吴卓群表示,现在存在一些通过对抗性网络、破解人脸识别机制的攻击,但这并不是不可避免的。 “例如,破解照片中的人脸识别问题可以通过改进传感器来解决。 ,使用两个摄像头,一个摄像头识别是否是真人脸,第二个摄像头判断是否是被验证人的脸部。
赵耀还认为,目前利用红外、热感、活体面部光线变化检测等技术,再加上人工智能算法进行模式识别,可以避免绝大多数欺骗行为。 但金融行业对安全的要求非常高,所以需要投入。 密码交叉验证等手段是非常有必要的。
焦点4
打破机构之间的壁垒?
刷脸支付可能会打破机构之间的壁垒。 此次试点公约提出,会员单位部署接入的刷脸支付受理终端应符合金融行业管理和自律相关规定,支持刷脸支付业务互联互通,避免一柜多机,维护良好的市场秩序,促进行业可持续发展。
目前手机APP与商户条码标识无法相互识别扫描,用户需要切换手机APP,影响消费者支付体验。 近日,财付通与银联启动了条码支付互联相关试点合作项目。 业界认为,全面互联将是未来大势所趋。
“互联互通可以从根本上促进市场出现健康的竞争秩序。一方面,如果市场有统一的标准,机构就可以在确定性、阳光下运作,避免机构之间建立壁垒,甚至导致机构滥用职权。”市场主导地位;另一方面,互联互通也体现了行为治理的理念,不专门针对某个机构,而是从企业行为和市场秩序出发,让企业放下包袱,轻装上阵,这有利于形成更加和谐的市场氛围。”车宁说。
赵耀认为,阿里巴巴、百度、腾讯等公司的人脸识别算法可能有所不同。 技术的特点使得市场细分越来越突出。 政策部门鼓励全网采用互联互通的方式,提高消费者福利和体验。 随着改进,商户还可以节省成本,因为刷脸支付终端的成本明显高于条码支付。 此外,互联互通也会促进市场竞争,就像移动运营商的携号转网一样,促使机构提高服务水平或降低服务价格。
新京报记者 罗一丹 程伟淼
” >