刷脸支付自律公约出炉：要坚持用户授权 最小够用

原标题：首份刷脸支付行业自律公约出炉

记者1月21日从中国支付清算协会官网获悉，为规范人脸识别线下支付（以下简称刷脸支付）应用创新，防范刷脸支付安全风险，中国支付清算协会组织制定了《人脸识别线下支付行业自律公约（试行）》（以下简称《自律公约》）。

刷脸支付在中国已经越来越普遍，多个支付巨头也纷纷加快在线下刷脸支付领域的布局。

去年10月，中国银联联合多家银行共同发布全新智能支付产品“刷脸付”，正式宣布进军刷脸支付市场。

与此同时，支付宝和微信支付也均在不遗余力地推广各自的刷脸支付产品“蜻蜓”和“青蛙”。

在各方商业力量的推动下，刷脸支付热度渐升，与此同时，其安全性以及信息泄露等风险问题也逐渐受到大众的关注。

业内人士表示，在这样的背景下，支付清算协会《自律公约》的发布可谓正当其时。

刷脸支付自律公约出炉：要坚持用户授权 最小够用

《自律公约》要求，会员单位应建立人脸信息全生命周期安全管理机制。

在采集环节，要坚持“用户授权、最小够用”，明确告知用户信息使用目的、方式和范围，并获得用户授权，避免与需求无关的特征采集。

在存储环节，将原始人脸信息加密存储，并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离。

在使用环节，收单机构、商户等中间环节不得归集或截留原始人脸信息，实现端到端的个人隐私保护。

值得注意的是，此次《自律公约》主要适用于线下刷脸支付场景。

对此，中国社科院支付清算研究中心特约研究员赵鹞表示，相较于线下场景，线上场景的风险特殊性在于开放的网络环境与没有得到硬件加固的普通终端，这会加剧信息泄露风险、假体攻击风险与非授权支付风险（更加难以举证用户授权的主动性与真实性），或者形成多种风险的叠加效应，因而，在现阶段线上场景不应该被鼓励发展，至少要采用可信执行环境（TEE）、安全单元（SE）等技术加强风险防控，才能审慎开展线上场景的刷脸支付业务。

他建议，在继续冻结开展线上场景的刷脸支付业务的同时，相关金融技术监管部门应尽快发布线下场景的刷脸支付技术安全原则，明确安全红线。

建立用户投诉处理流程

对于大家最关注的刷脸支付被“盗刷”、“错刷”等问题的处理，自律公约要求，会员单位应建立用户刷脸支付投诉处理流程，明确投诉受理责任部门和责任人，向客户告知客服电话、在线客服等受理投诉的渠道。

其中要求，会员单位应及时处理客户提出的差错争议和投诉，建立健全风险拨备资金、保险计划、应急处置等风险补偿机制，对不能有效证明因用户原因导致的资金损失及时先行赔付。

实现端到端个人隐私保护

说到底，大众最担忧的是刷脸支付安全性问题，毕竟与密码、指纹等安全支付方式相比，人的面部属于开放性信息。

在安全管理方面，自律公约要求会员单位应建立人脸信息全生命周期安全管理机制，包括采集、储存和使用环节：

在采集环节，要坚持“用户授权、最小够用”，明确告知用户信息使用目的、方式和范围，并获得用户授权，避免与需求无关的特征采集。

在存储环节，将原始人脸信息加密存储，并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离。

在使用环节，收单机构、商户等中间环节不得归集或截留原始人脸信息，实现端到端的个人隐私保护。

现状：支付巨头均入局

刷脸支付是移动支付的发展趋势之一，尽管还没有被广泛接受，但支付巨头在这一领域的战争已经开打。可以看到，2019年各巨头发力线下刷脸支付，在零售、餐饮、医疗等场景“撒钱”跑马圈地。

回首一年，蚂蚁的“蜻蜓”、微信的“青蛙”两大产品“粮草先行已久”。

据了解，支付宝早在2017年就开始刷脸支付的商业化尝试，并在肯德基内进行了试点。2018年末，支付宝推出全新的刷脸支付产品——“蜻蜓”；次年4月，蜻蜓2.0版本上线，成本较之前下降30%，据称上线仅两天就卖出1万台。

支付宝宣布，未来3年将投入30亿元，支持刷脸支付全面开放及商业合作，此后又对外表示补贴投入无上限。

另一巨头微信支付于2019年8月也发布对标刷脸支付产品——“青蛙 Pro”，并对铺设方进行奖励。

当然，刷脸支付也少不了银联的参与。2019年12月，银联正式推出刷脸支付，银联持卡人可在北京、上海多家商超体验刷脸支付服务。

至此，支付几大巨头均入局刷脸支付。目前看，无论是银行、卡组织还是支付机构，都在布局线下刷脸支付。

刷脸支付自律公约出炉：要坚持用户授权 最小够用

未来：路还很长

巨头布局，难以掩饰刷脸支付背后的问题——行业标准如何统一？安全性如何提高？上网随手一搜，这样的话题，比比皆是。

在监管层面，记者了解到，央行已对声纹识别技术进行了规范，不过人脸识别技术规范尚未面世。

在去年8月央行印发《金融科技（FinTech）发展规划（2019-2021）》，提到探索人脸识别线下支付安全应用。

目前看，行业巨头们对这一问题也十分关注。支付宝刷脸技术专家陈继东表示，支付宝刷脸技术采用了全球领先的生物识别方法，准确率达到99.99%，还可抵御打印照片、数字照片、软件模拟3D脸等伪造攻击。

银联方面此前介绍，人脸特征采集需明确获得客户授权，严控数据使用范围，采用支付标记化、多方安全计算、分散存储等技术，严防信息泄漏、篡改与滥用。

在资金安全方面，充分尊重客户的主观意愿，通过专用支付口令进行主动确权，建立安全保障机制，保障客户的知情权、财产安全权等合法权益。

央行科技司司长李伟此前多次表态：线下刷脸支付技术已较为成熟，具备了试点应用的基本条件，但是在线上人脸识别仍存在诸多风险，暂不具备应用条件。

若要应用推广需采用可信执行环境（TEE）、安全单元（SE）等技术加强风险防控。