記者1月21日從中國支付清算協會官網獲悉,為規范人臉識別線下支付(以下簡稱刷臉支付)應用創新,防范刷臉支付安全風險,中國支付清算協會組織制定了《人臉識別線下支付行業自律公約(試行)》(以下簡稱《自律公約》)。
刷臉支付在中國已經越來越普遍,多個支付巨頭也紛紛加快在線下刷臉支付領域的布局。
去年10月,中國銀聯聯合多家銀行共同發布全新智能支付產品“刷臉付”,正式宣布進軍刷臉支付市場。
與此同時,支付寶和微信支付也均在不遺余力地推廣各自的刷臉支付產品“蜻蜓”和“青蛙”。
在各方商業力量的推動下,刷臉支付熱度漸升,與此同時,其安全性以及信息泄露等風險問題也逐漸受到大眾的關注。
業內人士表示,在這樣的背景下,支付清算協會《自律公約》的發布可謂正當其時。
《自律公約》要求,會員單位應建立人臉信息全生命周期安全管理機制。
在采集環節,要堅持“用戶授權、最小夠用”,明確告知用戶信息使用目的、方式和范圍,并獲得用戶授權,避免與需求無關的特征采集。
在存儲環節,將原始人臉信息加密存儲,并與銀行賬號或支付賬號、身份證號等用戶個人隱私進行安全隔離。
在使用環節,收單機構、商戶等中間環節不得歸集或截留原始人臉信息,實現端到端的個人隱私保護。
值得注意的是,此次《自律公約》主要適用于線下刷臉支付場景。
對此,中國社科院支付清算研究中心特約研究員趙鷂表示,相較于線下場景,線上場景的風險特殊性在于開放的網絡環境與沒有得到硬件加固的普通終端,這會加劇信息泄露風險、假體攻擊風險與非授權支付風險(更加難以舉證用戶授權的主動性與真實性),或者形成多種風險的疊加效應,因而,在現階段線上場景不應該被鼓勵發展,至少要采用可信執行環境(TEE)、安全單元(SE)等技術加強風險防控,才能審慎開展線上場景的刷臉支付業務。
他建議,在繼續凍結開展線上場景的刷臉支付業務的同時,相關金融技術監管部門應盡快發布線下場景的刷臉支付技術安全原則,明確安全紅線。
建立用戶投訴處理流程
對于大家最關注的刷臉支付被“盜刷”、“錯刷”等問題的處理,自律公約要求,會員單位應建立用戶刷臉支付投訴處理流程,明確投訴受理責任部門和責任人,向客戶告知客服電話、在線客服等受理投訴的渠道。
其中要求,會員單位應及時處理客戶提出的差錯爭議和投訴,建立健全風險撥備資金、保險計劃、應急處置等風險補償機制,對不能有效證明因用戶原因導致的資金損失及時先行賠付。
實現端到端個人隱私保護
說到底,大眾最擔憂的是刷臉支付安全性問題,畢竟與密碼、指紋等安全支付方式相比,人的面部屬于開放性信息。
在安全管理方面,自律公約要求會員單位應建立人臉信息全生命周期安全管理機制,包括采集、儲存和使用環節:
在采集環節,要堅持“用戶授權、最小夠用”,明確告知用戶信息使用目的、方式和范圍,并獲得用戶授權,避免與需求無關的特征采集。
在存儲環節,將原始人臉信息加密存儲,并與銀行賬號或支付賬號、身份證號等用戶個人隱私進行安全隔離。
在使用環節,收單機構、商戶等中間環節不得歸集或截留原始人臉信息,實現端到端的個人隱私保護。
現狀:支付巨頭均入局
刷臉支付是移動支付的發展趨勢之一,盡管還沒有被廣泛接受,但支付巨頭在這一領域的戰爭已經開打。可以看到,2019年各巨頭發力線下刷臉支付,在零售、餐飲、醫療等場景“撒錢”跑馬圈地。
回首一年,螞蟻的“蜻蜓”、微信的“青蛙”兩大產品“糧草先行已久”。
據了解,支付寶早在2017年就開始刷臉支付的商業化嘗試,并在肯德基內進行了試點。2018年末,支付寶推出全新的刷臉支付產品——“蜻蜓”;次年4月,蜻蜓2.0版本上線,成本較之前下降30%,據稱上線僅兩天就賣出1萬臺。
支付寶宣布,未來3年將投入30億元,支持刷臉支付全面開放及商業合作,此后又對外表示補貼投入無上限。
另一巨頭微信支付于2019年8月也發布對標刷臉支付產品——“青蛙 Pro”,并對鋪設方進行獎勵。
當然,刷臉支付也少不了銀聯的參與。2019年12月,銀聯正式推出刷臉支付,銀聯持卡人可在北京、上海多家商超體驗刷臉支付服務。
至此,支付幾大巨頭均入局刷臉支付。目前看,無論是銀行、卡組織還是支付機構,都在布局線下刷臉支付。
未來:路還很長
巨頭布局,難以掩飾刷臉支付背后的問題——行業標準如何統一?安全性如何提高?上網隨手一搜,這樣的話題,比比皆是。
在監管層面,記者了解到,央行已對聲紋識別技術進行了規范,不過人臉識別技術規范尚未面世。
在去年8月央行印發《金融科技(FinTech)發展規劃(2019-2021)》,提到探索人臉識別線下支付安全應用。
目前看,行業巨頭們對這一問題也十分關注。支付寶刷臉技術專家陳繼東表示,支付寶刷臉技術采用了全球領先的生物識別方法,準確率達到99.99%,還可抵御打印照片、數字照片、軟件模擬3D臉等偽造攻擊。
銀聯方面此前介紹,人臉特征采集需明確獲得客戶授權,嚴控數據使用范圍,采用支付標記化、多方安全計算、分散存儲等技術,嚴防信息泄漏、篡改與濫用。
在資金安全方面,充分尊重客戶的主觀意愿,通過專用支付口令進行主動確權,建立安全保障機制,保障客戶的知情權、財產安全權等合法權益。
央行科技司司長李偉此前多次表態:線下刷臉支付技術已較為成熟,具備了試點應用的基本條件,但是在線上人臉識別仍存在諸多風險,暫不具備應用條件。
若要應用推廣需采用可信執行環境(TEE)、安全單元(SE)等技術加強風險防控。
