來(lái)自中國(guó)支付清算協(xié)會(huì)官網(wǎng)顯示，為規(guī)范人臉識(shí)別線下支付(以下簡(jiǎn)稱(chēng)刷臉支付)應(yīng)用創(chuàng)新，防范刷臉支付安全風(fēng)險(xiǎn)，中國(guó)支付清算協(xié)會(huì)組織制定了《人臉識(shí)別線下支付行業(yè)自律公約(試行)》(以下簡(jiǎn)稱(chēng)《自律公約》)。

《自律公約》要求，會(huì)員單位應(yīng)建立人臉信息全生命周期安全管理機(jī)制。在采集環(huán)節(jié)，要堅(jiān)持“用戶(hù)授權(quán)、最小夠用”，明確告知用戶(hù)信息使用目的、方式和范圍，并獲得用戶(hù)授權(quán)，避免與需求無(wú)關(guān)的特征采集。在存儲(chǔ)環(huán)節(jié)，將原始人臉信息加密存儲(chǔ)，并與銀行賬號(hào)或支付賬號(hào)、身份證號(hào)等用戶(hù)個(gè)人隱私進(jìn)行安全隔離。在使用環(huán)節(jié)，收單機(jī)構(gòu)、商戶(hù)等中間環(huán)節(jié)不得歸集或截留原始人臉信息，實(shí)現(xiàn)端到端的個(gè)人隱私保護(hù)。

值得注意的是，此次《自律公約》主要適用于線下刷臉支付場(chǎng)景。對(duì)此，中國(guó)社科院支付清算研究中心特約研究員趙鷂表示，相較于線下場(chǎng)景，線上場(chǎng)景的風(fēng)險(xiǎn)特殊性在于開(kāi)放的網(wǎng)絡(luò)環(huán)境與沒(méi)有得到硬件加固的普通終端，這會(huì)加劇信息泄露風(fēng)險(xiǎn)、假體攻擊風(fēng)險(xiǎn)與非授權(quán)支付風(fēng)險(xiǎn)(更加難以舉證用戶(hù)授權(quán)的主動(dòng)性與真實(shí)性)，或者形成多種風(fēng)險(xiǎn)的疊加效應(yīng)，因而，在現(xiàn)階段線上場(chǎng)景不應(yīng)該被鼓勵(lì)發(fā)展，至少要采用可信執(zhí)行環(huán)境(TEE)、安全單元(SE)等技術(shù)加強(qiáng)風(fēng)險(xiǎn)防控，才能審慎開(kāi)展線上場(chǎng)景的刷臉支付業(yè)務(wù)。他建議，在繼續(xù)凍結(jié)開(kāi)展線上場(chǎng)景的刷臉支付業(yè)務(wù)的同時(shí)，相關(guān)金融技術(shù)監(jiān)管部門(mén)應(yīng)盡快發(fā)布線下場(chǎng)景的刷臉支付技術(shù)安全原則，明確安全紅線。

關(guān)鍵詞： 刷臉支付自律公約