刷脸支付自律公约 到底是什么状况？

刷脸支付自律公约发布:我们必须坚持最低足够的用户授权

1月21日，记者从中国支付清算协会官网获悉，为规范人脸识别线下支付应用创新，防范刷脸支付安全风险，中国支付清算协会组织制定了《人脸识别线下支付行业自律公约》。

刷脸支付在国内越来越流行，很多支付巨头也加快了网上刷脸支付领域的布局。

去年10月，中国银联联合发布全新智能支付产品“刷脸支付”，正式宣布进入刷脸支付市场。

与此同时，支付宝和微信支付也不遗余力地推广自己的刷脸支付产品“蜻蜓”和“青蛙”。

在各方商业力量的推动下，刷脸支付的普及率逐渐提高，同时其安全性和信息泄露等风险问题也逐渐引起公众的关注。

业内人士表示，在这种背景下，发布支付清算协会自律公约是适时的。

刷脸支付自律公约发布:我们必须坚持最低足够的用户授权

自律公约要求会员单位建立面部信息生命周期安全管理机制。

在采集过程中，要坚持“用户授权，最小足够”的原则，明确告知用户信息使用的目的、方式和范围，获取用户授权，避免与需求无关的特征采集。

存储阶段，对原始人脸信息进行加密存储，与银行账号、支付账号、身份证号等用户个人隐私安全隔离。

在使用中，收单行、商户等中间环节不得采集或截取原始人脸信息，实现端到端的个人隐私保护。

值得注意的是，自律公约主要适用于线下刷脸支付场景。

对此，中国社会科学院支付清算研究中心特约研究员赵伟表示，相比线下场景，线上场景的风险特殊性在于开放的网络环境和没有硬件加固的普通终端，会加剧信息泄露的风险。假体攻击风险和未授权支付风险，或者形成多重风险的叠加效应。因此，在现阶段，不应该鼓励开发在线场景，至少应该采用可信执行环境和安全单元等技术来加强风险防控，以谨慎开展在线场景。

他建议，在继续冻结网上刷脸支付业务的同时，相关金融技术监管部门应尽快发布网下刷脸支付的技术安全原则，明确安全红线。

建立用户投诉处理流程

对于大家最关心的刷脸支付“盗刷”、“错刷”等问题的处理，自律公约要求会员单位建立用户刷脸支付投诉处理流程，明确受理投诉的责任部门和人员，告知客户客服电话、在线客服等受理投诉的渠道。

要求成员单位及时处理客户提出的错误、争议和投诉，建立健全风险准备金、保险计划、应急响应等风险补偿机制，对因用户原因无法有效证明的资金损失提前赔付。

实现端到端的个人隐私保护

毕竟，公众最担心的是面子支付的安全性。毕竟相对于密码、指纹等安全支付方式，人的脸是公开的信息。

在安全管理方面，自律公约要求成员单位建立一个面部信息的生命周期安全管理机制，包括收集、存储和使用:

在采集过程中，要坚持“用户授权，最小足够”的原则，明确告知用户信息使用的目的、方式和范围，获取用户授权，避免与需求无关的特征采集。

存储阶段，对原始人脸信息进行加密存储，与银行账号、支付账号、身份证号等用户个人隐私安全隔离。

在使用中，收单行、商户等中间环节不得采集或截取原始人脸信息，实现端到端的个人隐私保护。

现状:支付巨头都在游戏里

刷脸支付是移动支付的发展趋势之一。虽然还没有被广泛接受，但是这个领域的支付巨头之战已经开始了。可以看出，2019年，巨头们在零售、餐饮、医疗等场景下，努力线下刷脸，“砸钱”。

回望这一年，蚂蚁的“蜻蜓”和微信的“青蛙”这两大产品，“食与草”早已遥遥领先。

据了解，支付宝早在2017年就开始尝试将人脸支付商业化，并在肯德基进行了试点。2018年底，支付宝推出全新的人脸支付产品——“嘿”；次年4月，蜻蜓2.0版上线，成本比上一版降低30%。据说短短两天就卖了一万台。

支付宝宣布未来三年投资30亿元支持全面开通刷面支付和商业合作，随后表示补贴投资没有上限。

2019年8月，另一巨头微信支付也发布了刷脸支付产品“青蛙Pro”，奖励铺路党。

当然，刷脸支付，银联的参与是必不可少的。2019年12月，银联正式推出刷脸支付，银联持卡人可以在北京、上海多家超市体验刷脸支付服务。

至此，已有几家支付巨头进入办公室刷脸支付。目前银行、卡组织、支付机构都是在布局线下刷脸支付。

刷脸支付自律公约发布:我们必须坚持最低足够的用户授权

未来:路还很长

巨布局，刷脸支付背后的问题很难隐藏——如何统一行业标准？如何提高安全性？网上搜索，这样的话题比比皆是。

在监管层面，记者了解到，央行已经规范了声纹识别技术，但人脸识别的技术规范尚未出台。

去年8月，央行发布了《金融科技发展规划》，其中提到探索人脸识别线下支付安全的应用。

目前，行业巨头也非常关注这个问题。支付宝刷脸技术专家陈继东表示，支付宝刷脸技术采用世界领先的生物识别方法，准确率达99.99%，还能抵御打印照片、数码照片、3D人脸软件模拟等伪造攻击。

根据银联的介绍，人脸特征采集需要客户明确授权，严格控制数据使用范围，采用支付标记、多方安全计算、分散存储等技术，防止信息泄露、篡改和滥用。

在资金保障方面，充分尊重客户的主观意愿，通过专门的支付密码积极确认权利，建立保障客户知情权、财产安全等合法权益的保障机制。

央行科技司司长李伟此前多次表示，线下刷脸支付技术已经成熟，具备试点应用的基本条件，但线上人脸识别仍存在诸多风险，暂无应用条件。

要应用和推广，应采用可信执行环境、安全单元等技术，加强风险防控。