近日,據(jù)媒體報道,為防范刷臉支付安全風(fēng)險,中國支付清算協(xié)會于近日出臺《人臉識別線下支付行業(yè)自律公約(試行)》(下稱《自律公約》)。《自律公約》要求會員單位應(yīng)建立人臉信息全生命周期安全管理機制。其中,在采集環(huán)節(jié),要堅持“用戶授權(quán)、最小夠用”;在存儲環(huán)節(jié),將原始人臉信息加密存儲,并與銀行賬號或支付賬號、身份證號等用戶個人隱私進(jìn)行安全隔離;在使用環(huán)節(jié),收單機構(gòu)、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息,實現(xiàn)端到端的個人隱私保護(hù)。
需要明確的是,此次《自律公約》主要適用于線下刷臉支付場景。在支付寶、微信,以及銀聯(lián)都在推廣線下刷臉支付之際,出臺這樣一份行業(yè)自律文件,是對布局刷臉支付業(yè)務(wù)企業(yè)的一種提醒和告誡,同時具有一定的糾偏作用。
但行業(yè)內(nèi)的“軟約束”能否真正有約束效力,還需要市場的檢驗。這樣的一份行業(yè)自律文件更像“守則”,行業(yè)單位是否會遵守、是否有措施進(jìn)行監(jiān)管、違反會有何種懲處措施等,還沒有更為詳細(xì)的規(guī)定。在利益面前不乏會有人突破紅線,一些企業(yè)過度使用、采集、共享,甚至不規(guī)范地存儲個人信息。那么,有必要對誠信經(jīng)營不良或者違法較多的單位進(jìn)行限制使用或重點監(jiān)管。
去年11月,據(jù)艾媒咨詢發(fā)布的研究報告稱,我國刷臉支付用戶已經(jīng)達(dá)到1.18億。面對這樣一個龐大的用戶群,不可控風(fēng)險因素太大。由于人臉特征的唯一性,不法分子可通過遠(yuǎn)程技術(shù)批量獲取信息,實施違法行為。有報道稱,現(xiàn)有的技術(shù)可以在3公里之外識別并盜取人臉信息。此外,還有假體攻擊和算法漏洞等風(fēng)險存在。
技術(shù)這把雙刃劍,不斷更迭的支付技術(shù)加速了生活節(jié)奏,但沒有安全防控的裸奔技術(shù),越先進(jìn)可能風(fēng)險就越大,不容忽視。
央行相關(guān)負(fù)責(zé)人曾多次表示,人臉是非常敏感的個人信息,不宜將人臉作為支付的唯一交易驗證因素,輸入支付口令的交易習(xí)慣不應(yīng)因此而改變。雖然單一交易驗證因素能夠加速交易,但風(fēng)險因素太多,而如果多元素驗證信息,“刷臉支付”與一般的掃碼支付相比,又有多大的優(yōu)勢?我們并不拒絕技術(shù)進(jìn)步,但是技術(shù)與監(jiān)管手段不能平衡時,不妨等一等。
畢竟,傳統(tǒng)支付方式的安全問題涉及電話號碼、身份證號碼、個人住址等物理信息,但刷臉支付所泄露的有可能是人臉、角膜、指紋等生物信息。其最大特點在于,它能遠(yuǎn)距離發(fā)生作用,而無需直接接觸。這樣一來,風(fēng)險系數(shù)就可能成倍增加。
從比“剪刀手”泄露指紋信息到“AI換臉”,人們對新技術(shù)從好奇到恐慌,逐漸變得更理性。行業(yè)監(jiān)管和地方立法都應(yīng)該盡快跟上,不妨設(shè)置事前評估環(huán)節(jié),明確使用單位使用信息級別。一旦違規(guī)獲取,立馬發(fā)出警報,以提醒使用單位注意違規(guī)行為。
需要明確的是,此次《自律公約》主要適用于線下刷臉支付場景。在支付寶、微信,以及銀聯(lián)都在推廣線下刷臉支付之際,出臺這樣一份行業(yè)自律文件,是對布局刷臉支付業(yè)務(wù)企業(yè)的一種提醒和告誡,同時具有一定的糾偏作用。
但行業(yè)內(nèi)的“軟約束”能否真正有約束效力,還需要市場的檢驗。這樣的一份行業(yè)自律文件更像“守則”,行業(yè)單位是否會遵守、是否有措施進(jìn)行監(jiān)管、違反會有何種懲處措施等,還沒有更為詳細(xì)的規(guī)定。在利益面前不乏會有人突破紅線,一些企業(yè)過度使用、采集、共享,甚至不規(guī)范地存儲個人信息。那么,有必要對誠信經(jīng)營不良或者違法較多的單位進(jìn)行限制使用或重點監(jiān)管。
去年11月,據(jù)艾媒咨詢發(fā)布的研究報告稱,我國刷臉支付用戶已經(jīng)達(dá)到1.18億。面對這樣一個龐大的用戶群,不可控風(fēng)險因素太大。由于人臉特征的唯一性,不法分子可通過遠(yuǎn)程技術(shù)批量獲取信息,實施違法行為。有報道稱,現(xiàn)有的技術(shù)可以在3公里之外識別并盜取人臉信息。此外,還有假體攻擊和算法漏洞等風(fēng)險存在。
技術(shù)這把雙刃劍,不斷更迭的支付技術(shù)加速了生活節(jié)奏,但沒有安全防控的裸奔技術(shù),越先進(jìn)可能風(fēng)險就越大,不容忽視。
央行相關(guān)負(fù)責(zé)人曾多次表示,人臉是非常敏感的個人信息,不宜將人臉作為支付的唯一交易驗證因素,輸入支付口令的交易習(xí)慣不應(yīng)因此而改變。雖然單一交易驗證因素能夠加速交易,但風(fēng)險因素太多,而如果多元素驗證信息,“刷臉支付”與一般的掃碼支付相比,又有多大的優(yōu)勢?我們并不拒絕技術(shù)進(jìn)步,但是技術(shù)與監(jiān)管手段不能平衡時,不妨等一等。
畢竟,傳統(tǒng)支付方式的安全問題涉及電話號碼、身份證號碼、個人住址等物理信息,但刷臉支付所泄露的有可能是人臉、角膜、指紋等生物信息。其最大特點在于,它能遠(yuǎn)距離發(fā)生作用,而無需直接接觸。這樣一來,風(fēng)險系數(shù)就可能成倍增加。
從比“剪刀手”泄露指紋信息到“AI換臉”,人們對新技術(shù)從好奇到恐慌,逐漸變得更理性。行業(yè)監(jiān)管和地方立法都應(yīng)該盡快跟上,不妨設(shè)置事前評估環(huán)節(jié),明確使用單位使用信息級別。一旦違規(guī)獲取,立馬發(fā)出警報,以提醒使用單位注意違規(guī)行為。