近日,中国支付清算协会发布《人脸识别线下支付行业自律公约(试行)》,从安全管理、终端管理、风险管理和用户权益保护等角度提出技术要求和业务规范。该公约明确规定,信息采集要坚持“用户授权、最小够用”原则,收单机构、商户不能归集和截留个人信息。目前,支付宝、微信支付、银联支付等机构均推出了刷脸设备,并落地线下支付。
在规避信息误用方面,试行公约指出,会员单位应建立人脸信息全生命周期安全管理机制。在采集环节,要坚持“用户授权、最小够用”,明确告知用户信息使用目的、方式和范围,并获得用户授权,避免与需求无关的特征采集;在信息存储环节,试行公约提出,会员单位应将原始人脸信息加密存储,并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离;信息使用上,收单机构、商户等中间环节不得归集或截留原始人脸信息,实现端到端的个人隐私保护。
面对“换脸”等安全漏洞,试行公约提出,用户进行刷脸支付时,会员单位应采用支付口令或其他可靠的技术手段(通过国家统一推行的金融科技产品认证)实现本人主动确权。而在打通机构间壁垒方面,本次试行公约提出,会员单位布放和接入的刷脸支付受理终端应遵循金融行业管理及自律有关规定,支持刷脸支付业务互联互通,避免一柜多机,维护市场良好秩序,促进产业可持续发展。
对于刷脸支付新规则,北京师范大学法学院副教授吴沈括表示,围绕面部特征等个人信息的收集、利用,各国法律大多是以用户的“知情-同意”作为合法的基础。在“知情-同意”的背后,是用户对厂商的授权。而在北京志霖律师事务所副主任赵占领看来,人脸这种生物信息属于个人信息的范围,需要遵守《网络安全法》等相关法律法规的规定。
【本文图片来自网络】
