記者1月21日從中國(guó)支付清算協(xié)會(huì)官網(wǎng)獲悉,為規(guī)范人臉識(shí)別線下支付(以下簡(jiǎn)稱刷臉支付)應(yīng)用創(chuàng)新,防范刷臉支付安全風(fēng)險(xiǎn),中國(guó)支付清算協(xié)會(huì)組織制定了《人臉識(shí)別線下支付行業(yè)自律公約(試行)》(以下簡(jiǎn)稱《自律公約》)。
刷臉支付在中國(guó)已經(jīng)越來(lái)越普遍,多個(gè)支付巨頭也紛紛加快在線下刷臉支付領(lǐng)域的布局。
去年10月,中國(guó)銀聯(lián)聯(lián)合多家銀行共同發(fā)布全新智能支付產(chǎn)品“刷臉付”,正式宣布進(jìn)軍刷臉支付市場(chǎng)。
與此同時(shí),支付寶和微信支付也均在不遺余力地推廣各自的刷臉支付產(chǎn)品“蜻蜓”和“青蛙”。
在各方商業(yè)力量的推動(dòng)下,刷臉支付熱度漸升,與此同時(shí),其安全性以及信息泄露等風(fēng)險(xiǎn)問(wèn)題也逐漸受到大眾的關(guān)注。
業(yè)內(nèi)人士表示,在這樣的背景下,支付清算協(xié)會(huì)《自律公約》的發(fā)布可謂正當(dāng)其時(shí)。
《自律公約》要求,會(huì)員單位應(yīng)建立人臉信息全生命周期安全管理機(jī)制。
在采集環(huán)節(jié),要堅(jiān)持“用戶授權(quán)、最小夠用”,明確告知用戶信息使用目的、方式和范圍,并獲得用戶授權(quán),避免與需求無(wú)關(guān)的特征采集。
在存儲(chǔ)環(huán)節(jié),將原始人臉信息加密存儲(chǔ),并與銀行賬號(hào)或支付賬號(hào)、身份證號(hào)等用戶個(gè)人隱私進(jìn)行安全隔離。
在使用環(huán)節(jié),收單機(jī)構(gòu)、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息,實(shí)現(xiàn)端到端的個(gè)人隱私保護(hù)。
值得注意的是,此次《自律公約》主要適用于線下刷臉支付場(chǎng)景。
對(duì)此,中國(guó)社科院支付清算研究中心特約研究員趙鷂表示,相較于線下場(chǎng)景,線上場(chǎng)景的風(fēng)險(xiǎn)特殊性在于開(kāi)放的網(wǎng)絡(luò)環(huán)境與沒(méi)有得到硬件加固的普通終端,這會(huì)加劇信息泄露風(fēng)險(xiǎn)、假體攻擊風(fēng)險(xiǎn)與非授權(quán)支付風(fēng)險(xiǎn)(更加難以舉證用戶授權(quán)的主動(dòng)性與真實(shí)性),或者形成多種風(fēng)險(xiǎn)的疊加效應(yīng),因而,在現(xiàn)階段線上場(chǎng)景不應(yīng)該被鼓勵(lì)發(fā)展,至少要采用可信執(zhí)行環(huán)境(TEE)、安全單元(SE)等技術(shù)加強(qiáng)風(fēng)險(xiǎn)防控,才能審慎開(kāi)展線上場(chǎng)景的刷臉支付業(yè)務(wù)。
他建議,在繼續(xù)凍結(jié)開(kāi)展線上場(chǎng)景的刷臉支付業(yè)務(wù)的同時(shí),相關(guān)金融技術(shù)監(jiān)管部門應(yīng)盡快發(fā)布線下場(chǎng)景的刷臉支付技術(shù)安全原則,明確安全紅線。
建立用戶投訴處理流程
對(duì)于大家最關(guān)注的刷臉支付被“盜刷”、“錯(cuò)刷”等問(wèn)題的處理,自律公約要求,會(huì)員單位應(yīng)建立用戶刷臉支付投訴處理流程,明確投訴受理責(zé)任部門和責(zé)任人,向客戶告知客服電話、在線客服等受理投訴的渠道。
其中要求,會(huì)員單位應(yīng)及時(shí)處理客戶提出的差錯(cuò)爭(zhēng)議和投訴,建立健全風(fēng)險(xiǎn)撥備資金、保險(xiǎn)計(jì)劃、應(yīng)急處置等風(fēng)險(xiǎn)補(bǔ)償機(jī)制,對(duì)不能有效證明因用戶原因?qū)е碌馁Y金損失及時(shí)先行賠付。
實(shí)現(xiàn)端到端個(gè)人隱私保護(hù)
說(shuō)到底,大眾最擔(dān)憂的是刷臉支付安全性問(wèn)題,畢竟與密碼、指紋等安全支付方式相比,人的面部屬于開(kāi)放性信息。
在安全管理方面,自律公約要求會(huì)員單位應(yīng)建立人臉信息全生命周期安全管理機(jī)制,包括采集、儲(chǔ)存和使用環(huán)節(jié):
在采集環(huán)節(jié),要堅(jiān)持“用戶授權(quán)、最小夠用”,明確告知用戶信息使用目的、方式和范圍,并獲得用戶授權(quán),避免與需求無(wú)關(guān)的特征采集。
在存儲(chǔ)環(huán)節(jié),將原始人臉信息加密存儲(chǔ),并與銀行賬號(hào)或支付賬號(hào)、身份證號(hào)等用戶個(gè)人隱私進(jìn)行安全隔離。
在使用環(huán)節(jié),收單機(jī)構(gòu)、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息,實(shí)現(xiàn)端到端的個(gè)人隱私保護(hù)。
現(xiàn)狀:支付巨頭均入局
刷臉支付是移動(dòng)支付的發(fā)展趨勢(shì)之一,盡管還沒(méi)有被廣泛接受,但支付巨頭在這一領(lǐng)域的戰(zhàn)爭(zhēng)已經(jīng)開(kāi)打??梢钥吹?,2019年各巨頭發(fā)力線下刷臉支付,在零售、餐飲、醫(yī)療等場(chǎng)景“撒錢”跑馬圈地。
回首一年,螞蟻的“蜻蜓”、微信的“青蛙”兩大產(chǎn)品“糧草先行已久”。
據(jù)了解,支付寶早在2017年就開(kāi)始刷臉支付的商業(yè)化嘗試,并在肯德基內(nèi)進(jìn)行了試點(diǎn)。2018年末,支付寶推出全新的刷臉支付產(chǎn)品——“蜻蜓”;次年4月,蜻蜓2.0版本上線,成本較之前下降30%,據(jù)稱上線僅兩天就賣出1萬(wàn)臺(tái)。
支付寶宣布,未來(lái)3年將投入30億元,支持刷臉支付全面開(kāi)放及商業(yè)合作,此后又對(duì)外表示補(bǔ)貼投入無(wú)上限。
另一巨頭微信支付于2019年8月也發(fā)布對(duì)標(biāo)刷臉支付產(chǎn)品——“青蛙 Pro”,并對(duì)鋪設(shè)方進(jìn)行獎(jiǎng)勵(lì)。
當(dāng)然,刷臉支付也少不了銀聯(lián)的參與。2019年12月,銀聯(lián)正式推出刷臉支付,銀聯(lián)持卡人可在北京、上海多家商超體驗(yàn)刷臉支付服務(wù)。
至此,支付幾大巨頭均入局刷臉支付。目前看,無(wú)論是銀行、卡組織還是支付機(jī)構(gòu),都在布局線下刷臉支付。
未來(lái):路還很長(zhǎng)
巨頭布局,難以掩飾刷臉支付背后的問(wèn)題——行業(yè)標(biāo)準(zhǔn)如何統(tǒng)一?安全性如何提高?上網(wǎng)隨手一搜,這樣的話題,比比皆是。
在監(jiān)管層面,記者了解到,央行已對(duì)聲紋識(shí)別技術(shù)進(jìn)行了規(guī)范,不過(guò)人臉識(shí)別技術(shù)規(guī)范尚未面世。
在去年8月央行印發(fā)《金融科技(FinTech)發(fā)展規(guī)劃(2019-2021)》,提到探索人臉識(shí)別線下支付安全應(yīng)用。
目前看,行業(yè)巨頭們對(duì)這一問(wèn)題也十分關(guān)注。支付寶刷臉技術(shù)專家陳繼東表示,支付寶刷臉技術(shù)采用了全球領(lǐng)先的生物識(shí)別方法,準(zhǔn)確率達(dá)到99.99%,還可抵御打印照片、數(shù)字照片、軟件模擬3D臉等偽造攻擊。
銀聯(lián)方面此前介紹,人臉特征采集需明確獲得客戶授權(quán),嚴(yán)控?cái)?shù)據(jù)使用范圍,采用支付標(biāo)記化、多方安全計(jì)算、分散存儲(chǔ)等技術(shù),嚴(yán)防信息泄漏、篡改與濫用。
在資金安全方面,充分尊重客戶的主觀意愿,通過(guò)專用支付口令進(jìn)行主動(dòng)確權(quán),建立安全保障機(jī)制,保障客戶的知情權(quán)、財(cái)產(chǎn)安全權(quán)等合法權(quán)益。
央行科技司司長(zhǎng)李偉此前多次表態(tài):線下刷臉支付技術(shù)已較為成熟,具備了試點(diǎn)應(yīng)用的基本條件,但是在線上人臉識(shí)別仍存在諸多風(fēng)險(xiǎn),暫不具備應(yīng)用條件。
若要應(yīng)用推廣需采用可信執(zhí)行環(huán)境(TEE)、安全單元(SE)等技術(shù)加強(qiáng)風(fēng)險(xiǎn)防控。