刷臉支付自律公約出爐，能否守住安全紅線

  近日，據(jù)媒體報(bào)道，為防范刷臉支付安全風(fēng)險(xiǎn)，中國支付清算協(xié)會于近日出臺《人臉識別線下支付行業(yè)自律公約（試行）》（下稱《自律公約》）?！蹲月晒s》要求會員單位應(yīng)建立人臉信息全生命周期安全管理機(jī)制。其中，在采集環(huán)節(jié)，要堅(jiān)持“用戶授權(quán)、最小夠用”；在存儲環(huán)節(jié)，將原始人臉信息加密存儲，并與銀行賬號或支付賬號、身份證號等用戶個(gè)人隱私進(jìn)行安全隔離；在使用環(huán)節(jié)，收單機(jī)構(gòu)、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息，實(shí)現(xiàn)端到端的個(gè)人隱私保護(hù)。

需要明確的是，此次《自律公約》主要適用于線下刷臉支付場景。在支付寶、微信，以及銀聯(lián)都在推廣線下刷臉支付之際，出臺這樣一份行業(yè)自律文件，是對布局刷臉支付業(yè)務(wù)企業(yè)的一種提醒和告誡，同時(shí)具有一定的糾偏作用。

但行業(yè)內(nèi)的“軟約束”能否真正有約束效力，還需要市場的檢驗(yàn)。這樣的一份行業(yè)自律文件更像“守則”，行業(yè)單位是否會遵守、是否有措施進(jìn)行監(jiān)管、違反會有何種懲處措施等，還沒有更為詳細(xì)的規(guī)定。在利益面前不乏會有人突破紅線，一些企業(yè)過度使用、采集、共享，甚至不規(guī)范地存儲個(gè)人信息。那么，有必要對誠信經(jīng)營不良或者違法較多的單位進(jìn)行限制使用或重點(diǎn)監(jiān)管。

去年11月，據(jù)艾媒咨詢發(fā)布的研究報(bào)告稱，我國刷臉支付用戶已經(jīng)達(dá)到1.18億。面對這樣一個(gè)龐大的用戶群，不可控風(fēng)險(xiǎn)因素太大。由于人臉特征的唯一性，不法分子可通過遠(yuǎn)程技術(shù)批量獲取信息，實(shí)施違法行為。有報(bào)道稱，現(xiàn)有的技術(shù)可以在3公里之外識別并盜取人臉信息。此外，還有假體攻擊和算法漏洞等風(fēng)險(xiǎn)存在。

技術(shù)這把雙刃劍，不斷更迭的支付技術(shù)加速了生活節(jié)奏，但沒有安全防控的裸奔技術(shù)，越先進(jìn)可能風(fēng)險(xiǎn)就越大，不容忽視。

央行相關(guān)負(fù)責(zé)人曾多次表示，人臉是非常敏感的個(gè)人信息，不宜將人臉作為支付的唯一交易驗(yàn)證因素，輸入支付口令的交易習(xí)慣不應(yīng)因此而改變。雖然單一交易驗(yàn)證因素能夠加速交易，但風(fēng)險(xiǎn)因素太多，而如果多元素驗(yàn)證信息，“刷臉支付”與一般的掃碼支付相比，又有多大的優(yōu)勢？我們并不拒絕技術(shù)進(jìn)步，但是技術(shù)與監(jiān)管手段不能平衡時(shí)，不妨等一等。

畢竟，傳統(tǒng)支付方式的安全問題涉及電話號碼、身份證號碼、個(gè)人住址等物理信息，但刷臉支付所泄露的有可能是人臉、角膜、指紋等生物信息。其最大特點(diǎn)在于，它能遠(yuǎn)距離發(fā)生作用，而無需直接接觸。這樣一來，風(fēng)險(xiǎn)系數(shù)就可能成倍增加。

從比“剪刀手”泄露指紋信息到“AI換臉”，人們對新技術(shù)從好奇到恐慌，逐漸變得更理性。行業(yè)監(jiān)管和地方立法都應(yīng)該盡快跟上，不妨設(shè)置事前評估環(huán)節(jié)，明確使用單位使用信息級別。一旦違規(guī)獲取，立馬發(fā)出警報(bào)，以提醒使用單位注意違規(guī)行為。