首份线下刷脸支付自律公约出炉 三道防线 加固隐私保护
三道防线 加固隐私保护
1月21日,中国支付清算协会官网正式发布《人脸识别线下支付行业自律公约(试行)》(以下简称《公约》),对人脸识别线下支付进行了一系列自律管理。北京商报记者注意到,《公约》主要针对线下特约商户通过专用受理终端采用人脸识别技术为用户提供的支付服务,共分为六大章30条,在安全管理、终端管理、风险管理、用户保护权益等方面进行了详细规定。
用户信息保护一直是刷脸支付考虑的一大重点问题,此次《公约》便着重提到,从人脸信息采集、存储、使用三个方面加固用户隐私保护。《公约》在第二章“安全管理”中强调,会员单位应建立人脸信息全生命周期安全管理机制。在采集环节,要坚持“用户授权、最小够用”;在存储环节,将原始人脸信息加密存储,并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离;在使用环节,收单机构、商户等中间环节不得归集或截留原始人脸信息,实现端到端的个人隐私保护。《公约》还明确,用户进行刷脸支付时,会员单位应采用支付口令或其他可靠的技术手段(通过国家统一推行的金融科技产品认证)实现本人主动确权,保障用户的知情权、财产安全权等合法权益。
“刷脸支付的安全性问题更多的在于个人隐私泄露的风险,需要监管相关条例规范整个市场,针对不同的场景、商户,加强检查力度。而此次出台的《公约》,在个人隐私保护就是很关键的点,包括其中提到的不得截留人脸信息,对于重大缺失项要做到通知,刷脸支付需要技术口令等一系列的流程规范,都是比较完整的,也是刷脸支付行业的一大突破性进展。” 易观金融行业资深分析师王蓬博称。
互联互通 避免一柜多机
值得关注的是,除了用户隐私保护,此次《公约》提出的支持支付互联互通也引发业内热议。《公约》指出,会员单位布放和接入的刷脸支付受理终端应遵循金融行业管理及自律有关规定,支持刷脸支付业务互联互通,避免一柜多机,维护市场良好秩序,促进产业可持续发展。多位业内人士告诉北京商报记者,从这一条可以看出,继条码支付互联互通后,刷脸支付也将迎来互联互通,对行业是一大利好。
北京市网络法学研究会副秘书长车宁称,“互联互通可以从根本上促进市场良性竞争秩序的出现,一方面市场有了统一的标准,机构就可以在确定性和阳光下开展经营,避免机构间画地为牢,甚至出现头部机构滥用市场支配地位的情况;另一方面互联互通从经营行为和市场秩序入手,使企业放下包袱、轻装上阵,有利于形成更加和谐的市场氛围”。
王蓬博也指出,正如条码支付一样,刷脸支付此前也是各自为政,如果能互联互通,将对行业产生巨大影响。不过他进一步称,“如果必须遵循互联互通的话,势必会影响微信、支付宝等机构构建的生态闭环,这类机构后期是否还有那么大动力去布设机具是一个疑问,且技术也需要做出一定更改”。
“战局”火热 已有机构行动
自2018年以来,支付宝和微信支付相继推出刷脸设备“蜻蜓”与“青蛙”,瞄准线下支付场景,并在不断加大市场投入和补贴。步入2019年,银联刷脸支付业务战略布局也明显提速。目前,微信支付也有最新动作。此次《公约》下发之际,微信支付方面告诉北京商报记者,目前正与银行、银联携手打造符合金融行业标准的刷脸支付产品。
不过,中国社科院支付清算研究中心特约研究员赵鹞指出,无论是线下场景还是线上场景,相关支付服务提供商和技术服务提供商都难以保证人脸特征数据的绝对安全性。因而,亟须在个人隐私数据保护法律制度中授权有关公共部门统一技术与安全标准,建立安全存储中国人脸特征与其他生物特征识别数据库,进而在源头上规范人脸特征的采集、分析、加工与使用,为金融机构和支付机构在未来规范发展基于人脸特征的金融与支付业务提供公共基础设施。
此外,除了安全管理方面,用户接受度也将成为巨头们下一步要攻破的难点。王蓬博称:“刷脸支付需要动态人脸识别,而这一操作过程相较条码支付来说,用户使用提速并不明显,且大众的自我保护意识还是比较强的,因此用户的接受程度是一个难点,能否真正实现刷脸支付,还需要后续的市场去推动。”
关键词: