刷臉支付自律公約出爐怎么回事？刷臉支付自律公約寫了什么內(nèi)容

記者1月21日從中國支付清算協(xié)會官網(wǎng)獲悉，為規(guī)范人臉識別線下支付（以下簡稱刷臉支付）應(yīng)用創(chuàng)新，防范刷臉支付安全風(fēng)險，中國支付清算協(xié)會組織制定了《人臉識別線下支付行業(yè)自律公約（試行）》（以下簡稱《自律公約》）。

刷臉支付在中國已經(jīng)越來越普遍，多個支付巨頭也紛紛加快在線下刷臉支付領(lǐng)域的布局。

去年10月，中國銀聯(lián)聯(lián)合多家銀行共同發(fā)布全新智能支付產(chǎn)品“刷臉付”，正式宣布進軍刷臉支付市場。

與此同時，支付寶和微信支付也均在不遺余力地推廣各自的刷臉支付產(chǎn)品“蜻蜓”和“青蛙”。

在各方商業(yè)力量的推動下，刷臉支付熱度漸升，與此同時，其安全性以及信息泄露等風(fēng)險問題也逐漸受到大眾的關(guān)注。

業(yè)內(nèi)人士表示，在這樣的背景下，支付清算協(xié)會《自律公約》的發(fā)布可謂正當(dāng)其時。

《自律公約》要求，會員單位應(yīng)建立人臉信息全生命周期安全管理機制。

在采集環(huán)節(jié)，要堅持“用戶授權(quán)、最小夠用”，明確告知用戶信息使用目的、方式和范圍，并獲得用戶授權(quán)，避免與需求無關(guān)的特征采集。

在存儲環(huán)節(jié)，將原始人臉信息加密存儲，并與銀行賬號或支付賬號、身份證號等用戶個人隱私進行安全隔離。

在使用環(huán)節(jié)，收單機構(gòu)、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息，實現(xiàn)端到端的個人隱私保護。

值得注意的是，此次《自律公約》主要適用于線下刷臉支付場景。

對此，中國社科院支付清算研究中心特約研究員趙鷂表示，相較于線下場景，線上場景的風(fēng)險特殊性在于開放的網(wǎng)絡(luò)環(huán)境與沒有得到硬件加固的普通終端，這會加劇信息泄露風(fēng)險、假體攻擊風(fēng)險與非授權(quán)支付風(fēng)險（更加難以舉證用戶授權(quán)的主動性與真實性），或者形成多種風(fēng)險的疊加效應(yīng)，因而，在現(xiàn)階段線上場景不應(yīng)該被鼓勵發(fā)展，至少要采用可信執(zhí)行環(huán)境（TEE）、安全單元（SE）等技術(shù)加強風(fēng)險防控，才能審慎開展線上場景的刷臉支付業(yè)務(wù)。

他建議，在繼續(xù)凍結(jié)開展線上場景的刷臉支付業(yè)務(wù)的同時，相關(guān)金融技術(shù)監(jiān)管部門應(yīng)盡快發(fā)布線下場景的刷臉支付技術(shù)安全原則，明確安全紅線。

建立用戶投訴處理流程

對于大家最關(guān)注的刷臉支付被“盜刷”、“錯刷”等問題的處理，自律公約要求，會員單位應(yīng)建立用戶刷臉支付投訴處理流程，明確投訴受理責(zé)任部門和責(zé)任人，向客戶告知客服電話、在線客服等受理投訴的渠道。

其中要求，會員單位應(yīng)及時處理客戶提出的差錯爭議和投訴，建立健全風(fēng)險撥備資金、保險計劃、應(yīng)急處置等風(fēng)險補償機制，對不能有效證明因用戶原因?qū)е碌馁Y金損失及時先行賠付。

實現(xiàn)端到端個人隱私保護

說到底，大眾最擔(dān)憂的是刷臉支付安全性問題，畢竟與密碼、指紋等安全支付方式相比，人的面部屬于開放性信息。

在安全管理方面，自律公約要求會員單位應(yīng)建立人臉信息全生命周期安全管理機制，包括采集、儲存和使用環(huán)節(jié)：

在采集環(huán)節(jié)，要堅持“用戶授權(quán)、最小夠用”，明確告知用戶信息使用目的、方式和范圍，并獲得用戶授權(quán)，避免與需求無關(guān)的特征采集。

在存儲環(huán)節(jié)，將原始人臉信息加密存儲，并與銀行賬號或支付賬號、身份證號等用戶個人隱私進行安全隔離。

在使用環(huán)節(jié)，收單機構(gòu)、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息，實現(xiàn)端到端的個人隱私保護。