近日,据媒体报道,为防范刷脸支付安全风险,中国支付清算协会于近日出台《人脸识别线下支付行业自律公约(试行)》(下称《自律公约》)。《自律公约》要求会员单位应建立人脸信息全生命周期安全管理机制。其中,在采集环节,要坚持“用户授权、最小够用”;在存储环节,将原始人脸信息加密存储,并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离;在使用环节,收单机构、商户等中间环节不得归集或截留原始人脸信息,实现端到端的个人隐私保护。
需要明确的是,此次《自律公约》主要适用于线下刷脸支付场景。在支付宝、微信,以及银联都在推广线下刷脸支付之际,出台这样一份行业自律文件,是对布局刷脸支付业务企业的一种提醒和告诫,同时具有一定的纠偏作用。
但行业内的“软约束”能否真正有约束效力,还需要市场的检验。这样的一份行业自律文件更像“守则”,行业单位是否会遵守、是否有措施进行监管、违反会有何种惩处措施等,还没有更为详细的规定。在利益面前不乏会有人突破红线,一些企业过度使用、采集、共享,甚至不规范地存储个人信息。那么,有必要对诚信经营不良或者违法较多的单位进行限制使用或重点监管。
去年11月,据艾媒咨询发布的研究报告称,我国刷脸支付用户已经达到1.18亿。面对这样一个庞大的用户群,不可控风险因素太大。由于人脸特征的唯一性,不法分子可通过远程技术批量获取信息,实施违法行为。有报道称,现有的技术可以在3公里之外识别并盗取人脸信息。此外,还有假体攻击和算法漏洞等风险存在。
技术这把双刃剑,不断更迭的支付技术加速了生活节奏,但没有安全防控的裸奔技术,越先进可能风险就越大,不容忽视。
央行相关负责人曾多次表示,人脸是非常敏感的个人信息,不宜将人脸作为支付的唯一交易验证因素,输入支付口令的交易习惯不应因此而改变。虽然单一交易验证因素能够加速交易,但风险因素太多,而如果多元素验证信息,“刷脸支付”与一般的扫码支付相比,又有多大的优势?我们并不拒绝技术进步,但是技术与监管手段不能平衡时,不妨等一等。
毕竟,传统支付方式的安全问题涉及电话号码、身份证号码、个人住址等物理信息,但刷脸支付所泄露的有可能是人脸、角膜、指纹等生物信息。其最大特点在于,它能远距离发生作用,而无需直接接触。这样一来,风险系数就可能成倍增加。
从比“剪刀手”泄露指纹信息到“AI换脸”,人们对新技术从好奇到恐慌,逐渐变得更理性。行业监管和地方立法都应该尽快跟上,不妨设置事前评估环节,明确使用单位使用信息级别。一旦违规获取,立马发出警报,以提醒使用单位注意违规行为。