刷臉支付自律公約試行：堅持“用戶授權、最小夠用”

來自中國支付清算協會官網顯示，為規范人臉識別線下支付(以下簡稱刷臉支付)應用創新，防范刷臉支付安全風險，中國支付清算協會組織制定了《人臉識別線下支付行業自律公約(試行)》(以下簡稱《自律公約》)。

《自律公約》要求，會員單位應建立人臉信息全生命周期安全管理機制。在采集環節，要堅持“用戶授權、最小夠用”，明確告知用戶信息使用目的、方式和范圍，并獲得用戶授權，避免與需求無關的特征采集。在存儲環節，將原始人臉信息加密存儲，并與銀行賬號或支付賬號、身份證號等用戶個人隱私進行安全隔離。在使用環節，收單機構、商戶等中間環節不得歸集或截留原始人臉信息，實現端到端的個人隱私保護。

值得注意的是，此次《自律公約》主要適用于線下刷臉支付場景。對此，中國社科院支付清算研究中心特約研究員趙鷂表示，相較于線下場景，線上場景的風險特殊性在于開放的網絡環境與沒有得到硬件加固的普通終端，這會加劇信息泄露風險、假體攻擊風險與非授權支付風險(更加難以舉證用戶授權的主動性與真實性)，或者形成多種風險的疊加效應，因而，在現階段線上場景不應該被鼓勵發展，至少要采用可信執行環境(TEE)、安全單元(SE)等技術加強風險防控，才能審慎開展線上場景的刷臉支付業務。他建議，在繼續凍結開展線上場景的刷臉支付業務的同時，相關金融技術監管部門應盡快發布線下場景的刷臉支付技術安全原則，明確安全紅線。

關鍵詞： 刷臉支付自律公約