刷脸支付规则出炉,坚持“用户授权、最小够用”

近日,中国支付清算协会发布《人脸识别线下支付行业自律公约(试行)》,从安全管理、终端管理、风险管理、用户权益保护等角度提出技术要求和业务规范。该公约明确规定,信息收集必须遵循“用户授权和最低限度充分”的原则,收集机构和商家不得收集和拦截个人信息。目前,支付宝、微信支付、银联支付等机构都推出了刷面设备,并实现了离线支付。

为了避免信息的误用,试验公约指出成员组织应该为人脸信息建立一个生命周期安全管理机制。在收集过程中,应坚持“用户授权,最低限度足够”的原则,明确告知用户信息使用的目的、方法和范围,并获得用户授权,避免与需求无关的特征收集。在信息存储方面,试行公约建议成员组织应加密和存储原始人脸信息,并将其与用户的个人隐私(如银行账号、支付账号和身份证号)安全隔离。在使用信息时,接收机构和商家等中间环节不得收集或截取原始人脸信息,以实现端到端的个人隐私保护。

面对“换脸”等安全漏洞,试行公约建议用户在刷脸付款时,会员单位应采用支付密码或其他可靠的技术手段(通过国家统一实施的金融技术产品认证)来实现自己的主动和权利确认。在突破机构间壁垒方面,试行公约提出,会员单位分发和接入的刷款受理终端应遵循金融业管理和自律的相关规定,支持刷款业务互联互通,避免一柜多机,维护良好的市场秩序,促进产业可持续发展。

关于刷脸和付款的新规定,北京师范大学法学院副教授吴申国表示,在收集和使用诸如面部特征等个人信息方面,各国的大多数法律都以用户的“知情同意”为法律依据。“知情同意”背后是用户对制造商的授权。但据北京支林律师事务所副主任赵占领介绍,人脸的生物信息属于个人信息范畴,需要遵守《网络安全法》等相关法律法规。

[本文中的图片来自互联网]