刷臉支付自律公約出爐：要堅(jiān)持用戶授權(quán) 最小夠用

原標(biāo)題：首份刷臉支付行業(yè)自律公約出爐

記者1月21日從中國支付清算協(xié)會官網(wǎng)獲悉，為規(guī)范人臉識別線下支付（以下簡稱刷臉支付）應(yīng)用創(chuàng)新,，防范刷臉支付安全風(fēng)險(xiǎn),，中國支付清算協(xié)會組織制定了《人臉識別線下支付行業(yè)自律公約（試行）》（以下簡稱《自律公約》）。

刷臉支付在中國已經(jīng)越來越普遍,，多個(gè)支付巨頭也紛紛加快在線下刷臉支付領(lǐng)域的布局,。

去年10月，中國銀聯(lián)聯(lián)合多家銀行共同發(fā)布全新智能支付產(chǎn)品“刷臉付”,，正式宣布進(jìn)軍刷臉支付市場,。

與此同時(shí)，支付寶和微信支付也均在不遺余力地推廣各自的刷臉支付產(chǎn)品“蜻蜓”和“青蛙”,。

在各方商業(yè)力量的推動下,，刷臉支付熱度漸升，與此同時(shí),，其安全性以及信息泄露等風(fēng)險(xiǎn)問題也逐漸受到大眾的關(guān)注,。

業(yè)內(nèi)人士表示，在這樣的背景下,，支付清算協(xié)會《自律公約》的發(fā)布可謂正當(dāng)其時(shí),。

刷臉支付自律公約出爐：要堅(jiān)持用戶授權(quán) 最小夠用

《自律公約》要求，會員單位應(yīng)建立人臉信息全生命周期安全管理機(jī)制,。

在采集環(huán)節(jié),，要堅(jiān)持“用戶授權(quán)、最小夠用”,，明確告知用戶信息使用目的,、方式和范圍，并獲得用戶授權(quán),，避免與需求無關(guān)的特征采集,。

在存儲環(huán)節(jié)，將原始人臉信息加密存儲,，并與銀行賬號或支付賬號,、身份證號等用戶個(gè)人隱私進(jìn)行安全隔離,。

在使用環(huán)節(jié)，收單機(jī)構(gòu),、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息,，實(shí)現(xiàn)端到端的個(gè)人隱私保護(hù)。

值得注意的是,，此次《自律公約》主要適用于線下刷臉支付場景,。

對此，中國社科院支付清算研究中心特約研究員趙鷂表示,，相較于線下場景,，線上場景的風(fēng)險(xiǎn)特殊性在于開放的網(wǎng)絡(luò)環(huán)境與沒有得到硬件加固的普通終端，這會加劇信息泄露風(fēng)險(xiǎn),、假體攻擊風(fēng)險(xiǎn)與非授權(quán)支付風(fēng)險(xiǎn)（更加難以舉證用戶授權(quán)的主動性與真實(shí)性）,，或者形成多種風(fēng)險(xiǎn)的疊加效應(yīng)，因而,，在現(xiàn)階段線上場景不應(yīng)該被鼓勵(lì)發(fā)展,，至少要采用可信執(zhí)行環(huán)境（TEE）、安全單元（SE）等技術(shù)加強(qiáng)風(fēng)險(xiǎn)防控,，才能審慎開展線上場景的刷臉支付業(yè)務(wù),。

他建議,，在繼續(xù)凍結(jié)開展線上場景的刷臉支付業(yè)務(wù)的同時(shí),，相關(guān)金融技術(shù)監(jiān)管部門應(yīng)盡快發(fā)布線下場景的刷臉支付技術(shù)安全原則，明確安全紅線,。

建立用戶投訴處理流程

對于大家最關(guān)注的刷臉支付被“盜刷”,、“錯(cuò)刷”等問題的處理，自律公約要求,，會員單位應(yīng)建立用戶刷臉支付投訴處理流程,，明確投訴受理責(zé)任部門和責(zé)任人，向客戶告知客服電話,、在線客服等受理投訴的渠道,。

其中要求，會員單位應(yīng)及時(shí)處理客戶提出的差錯(cuò)爭議和投訴,，建立健全風(fēng)險(xiǎn)撥備資金,、保險(xiǎn)計(jì)劃、應(yīng)急處置等風(fēng)險(xiǎn)補(bǔ)償機(jī)制,，對不能有效證明因用戶原因?qū)е碌馁Y金損失及時(shí)先行賠付,。

實(shí)現(xiàn)端到端個(gè)人隱私保護(hù)

說到底，大眾最擔(dān)憂的是刷臉支付安全性問題,，畢竟與密碼,、指紋等安全支付方式相比,，人的面部屬于開放性信息。

在安全管理方面,，自律公約要求會員單位應(yīng)建立人臉信息全生命周期安全管理機(jī)制,，包括采集、儲存和使用環(huán)節(jié)：

在采集環(huán)節(jié),，要堅(jiān)持“用戶授權(quán),、最小夠用”，明確告知用戶信息使用目的,、方式和范圍,，并獲得用戶授權(quán)，避免與需求無關(guān)的特征采集,。

在存儲環(huán)節(jié),，將原始人臉信息加密存儲，并與銀行賬號或支付賬號,、身份證號等用戶個(gè)人隱私進(jìn)行安全隔離,。

在使用環(huán)節(jié)，收單機(jī)構(gòu),、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息,，實(shí)現(xiàn)端到端的個(gè)人隱私保護(hù)。

現(xiàn)狀：支付巨頭均入局

刷臉支付是移動支付的發(fā)展趨勢之一,，盡管還沒有被廣泛接受,，但支付巨頭在這一領(lǐng)域的戰(zhàn)爭已經(jīng)開打?？梢钥吹?，2019年各巨頭發(fā)力線下刷臉支付，在零售,、餐飲,、醫(yī)療等場景“撒錢”跑馬圈地。

回首一年,，螞蟻的“蜻蜓”,、微信的“青蛙”兩大產(chǎn)品“糧草先行已久”。

據(jù)了解,，支付寶早在2017年就開始刷臉支付的商業(yè)化嘗試,，并在肯德基內(nèi)進(jìn)行了試點(diǎn)。2018年末,，支付寶推出全新的刷臉支付產(chǎn)品——“蜻蜓”,；次年4月，蜻蜓2.0版本上線，成本較之前下降30%,，據(jù)稱上線僅兩天就賣出1萬臺,。

支付寶宣布，未來3年將投入30億元,，支持刷臉支付全面開放及商業(yè)合作,，此后又對外表示補(bǔ)貼投入無上限。

另一巨頭微信支付于2019年8月也發(fā)布對標(biāo)刷臉支付產(chǎn)品——“青蛙 Pro”,，并對鋪設(shè)方進(jìn)行獎(jiǎng)勵(lì),。

當(dāng)然，刷臉支付也少不了銀聯(lián)的參與,。2019年12月,，銀聯(lián)正式推出刷臉支付，銀聯(lián)持卡人可在北京,、上海多家商超體驗(yàn)刷臉支付服務(wù),。

至此，支付幾大巨頭均入局刷臉支付,。目前看,，無論是銀行、卡組織還是支付機(jī)構(gòu),，都在布局線下刷臉支付,。

刷臉支付自律公約出爐：要堅(jiān)持用戶授權(quán) 最小夠用

未來：路還很長

巨頭布局，難以掩飾刷臉支付背后的問題——行業(yè)標(biāo)準(zhǔn)如何統(tǒng)一,？安全性如何提高,？上網(wǎng)隨手一搜，這樣的話題,，比比皆是,。

在監(jiān)管層面,，記者了解到,，央行已對聲紋識別技術(shù)進(jìn)行了規(guī)范，不過人臉識別技術(shù)規(guī)范尚未面世,。

在去年8月央行印發(fā)《金融科技（FinTech）發(fā)展規(guī)劃（2019-2021）》,，提到探索人臉識別線下支付安全應(yīng)用。

目前看,，行業(yè)巨頭們對這一問題也十分關(guān)注,。支付寶刷臉技術(shù)專家陳繼東表示，支付寶刷臉技術(shù)采用了全球領(lǐng)先的生物識別方法,，準(zhǔn)確率達(dá)到99.99%,，還可抵御打印照片、數(shù)字照片、軟件模擬3D臉等偽造攻擊,。

銀聯(lián)方面此前介紹,，人臉特征采集需明確獲得客戶授權(quán)，嚴(yán)控?cái)?shù)據(jù)使用范圍,，采用支付標(biāo)記化,、多方安全計(jì)算、分散存儲等技術(shù),，嚴(yán)防信息泄漏,、篡改與濫用。

在資金安全方面,，充分尊重客戶的主觀意愿,，通過專用支付口令進(jìn)行主動確權(quán)，建立安全保障機(jī)制,，保障客戶的知情權(quán),、財(cái)產(chǎn)安全權(quán)等合法權(quán)益。

央行科技司司長李偉此前多次表態(tài)：線下刷臉支付技術(shù)已較為成熟,，具備了試點(diǎn)應(yīng)用的基本條件,，但是在線上人臉識別仍存在諸多風(fēng)險(xiǎn)，暫不具備應(yīng)用條件,。

若要應(yīng)用推廣需采用可信執(zhí)行環(huán)境（TEE）,、安全單元（SE）等技術(shù)加強(qiáng)風(fēng)險(xiǎn)防控。