1. 问题的提出
随着人工智能、计算机视觉和生物识别技术的飞速发展,刷脸支付技术逐渐崭露头角,成为现代支付领域的一项重要创新。人脸识别技术的不断成熟,使得刷脸支付的准确性和稳定性得到了大幅提升。同时,活体检测等技术的引入,有效防止了伪造人脸等欺诈行为,进一步增强了刷脸支付的安全性。在快节奏的现代生活中,人们越来越追求支付的便捷性和高效性。刷脸支付无需携带任何物理介质,只需通过扫描人脸即可完成支付,极大地满足了这一市场需求。
刷脸支付技术自兴起以来,凭借其便捷、快速、安全等特点,迅速在各个领域得到了广泛应用。在零售、餐饮、交通和医疗等场景,刷脸支付已经成为一种常见的支付方式,支付者只需在结账时对准摄像头,即可完成支付,大大缩短了排队等待的时间。随着技术的不断进步和应用场景的不断拓展,刷脸支付技术将为人们的生活带来更多便利和舒适。然而,随着刷脸支付技术的深入应用,其潜在的风险也逐渐显现,对技术本身及用户隐私、支付安全、金融稳定等方面均构成了挑战。
刷脸支付技术涉及用户极为敏感的个人信息,特别是面部生物特征数据。这些数据的独特性和不可再生性,使得一旦泄露或被滥用,将对用户的隐私安全构成不可逆转的严重威胁。刷脸支付技术的广泛应用对支付安全和金融稳定提出了更为严格的要求。作为一种无接触式的支付方式,刷脸支付在提升支付便捷性的同时,也引入了新的风险敞口[1]。此外,加强刷脸支付技术风险防范,对于推动该技术的健康发展具有深远意义。随着刷脸支付技术的不断普及和应用,其市场潜力和商业价值日益显现。然而,若忽视风险防范工作,任由技术漏洞和安全隐患存在,将严重损害技术的公信力和市场竞争力,制约其长远发展。因此,推动刷脸支付技术的规范化和标准化发展,建立健全风险防范机制,是保障技术持续创新和健康发展的必要保障。
2. 刷脸支付技术的优势与相关法规
2.1. 刷脸支付技术的优势
刷脸支付技术能够提高支付效率与便捷性,优化交易秩序。刷脸支付技术是对既有支付方式的全新变革,它彻底颠覆了传统支付流程。用户无需携带现金或银行卡,也无需扫描二维码或牢记各类账号、密码,仅需通过摄像头进行面部识别即可完成支付。根据相关调查发现,刷脸支付仅需0.3秒就能完成支付,相比传统的指纹识别和密码支付,大大提高了交易效率。1在刷脸支付情景下,只要手机能够正常摄像就能够录入面部相关信息,大大降低了使用门槛。在数字化转型过程中,老年人、残障人士等弱势群体常被视为“科技弃民”,他们在使用电子设备方面存在诸多不便。刷脸支付技术明显比刷卡、扫码等支付方式更加友好,它突破了支付介质的限制,为弱势群体提供了更加便捷、无障碍的支付体验,促进了金融服务的普惠性。
刷脸支付技术能够减少支付欺诈风险。刷脸支付采用生物识别技术,通过面部特征进行身份验证,具有极高的准确性和安全性。这种技术难以被复制或伪造,有效防止了支付欺诈行为的发生。刷脸支付系统通常会配备完善的风险监控与预警机制,这些机制能够实时监测支付交易过程,识别出异常交易行为并及时进行预警。一旦发现可疑交易,系统会立即启动风险防控措施,如暂停交易、要求用户进行二次验证等,以防止欺诈行为的发生。
2.2. 刷脸支付技术法律法规研究
在2019年7月,欧洲数据保护委员会发布了《关于通过视频设备处理个人数据的3/2019指引》,该指引详细阐述了GDPR在视频设备处理个人数据方面的具体应用,以确保GDPR的一致性和有效执行。同年11月,欧盟基本权利局又发布了《人脸识别技术执法中的基本权利考虑》文件,该文件在深入剖析人脸识别技术应用过程中所涉及的基本权利内涵的同时,也探讨了人脸识别技术在执法和边境管理领域的实际应用。美国伊利诺伊州通过的《生物识别信息隐私法》(以下简称BIPA)在第10条中对生物识别信息进行了详尽的列举式定义,其中明确指出,人脸的几何扫描图像是生物识别信息的一种具体类型。这一规定不仅体现了伊利诺伊州对生物识别信息保护的重视,也为其他州乃至联邦层面的立法提供了有益的参考和借鉴。
在人脸识别技术的应用态度上,我国与欧美国家存在显著差异,欧美国家往往采取严格管控甚至明令禁止的政策,而我国则展现出相对包容的姿态。我国尚未有专门针对刷脸支付技术的法律法规。虽然《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等相关法律法规对个人信息保护、网络安全等方面作出了规定,但针对刷脸支付这一具体技术的法律规制仍显不足[2]。“刷脸支付”技术将人脸识别系统引入支付领域,通过对用户个人面部信息的采集与分析来实现支付功能的一种创新应用。然而,必须正视的是,若缺乏必要的监管措施,“刷脸支付”技术存在被滥用的风险,可能为非法服务提供便利。因此,在将人脸识别作为身份验证手段时,应充分向用户提示相关风险,并考虑将“刷脸支付”技术的应用限定在合理的范围内,以确保其健康发展,而非因噎废食,完全剥夺其市场空间。
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》在针对“刷脸支付”这一特定技术应用领域的法律规制方面,尚缺乏具体化和特殊化的规则设计。尽管《数据安全法》与《个人信息保护法》均明确提出了对个人面部信息等生物识别信息的特别保护措施,但在“刷脸支付”技术应用的复杂利益格局中,如何妥善处理个人利益保护与公共利益维护之间的关系,如何在保障个人权益的同时促进数字经济的健康发展,这些多元诉求与价值平衡的问题,仍需通过实践来检验现有法律法规的有效性与适应性。
3. 刷脸支付技术带来的风险挑战
3.1. 刷脸支付技术相关法律不完善
刷脸支付技术,虽然依赖于人脸丰富的信息特征,在一定程度上具备较高的安全性,但仍然存在不可忽视的风险。面部信息属于敏感个人信息,具有唯一性、不可更改性等特点。一旦泄露,将使个人处于长期风险之中。在刷脸支付的过程中,为了验证用户的身份,系统必须采集用户的人脸图像信息。然而,这一环节却可能被部分商家或企业所滥用,他们可能会过度采集人脸信息,甚至将这些信息用于非支付相关的用途,如精准营销或商业杀熟等。这种滥用行为不仅侵犯了用户的隐私,更为不法分子提供了可乘之机。一旦人脸信息泄露,不法分子就可以利用这些信息进行身份盗用或诈骗活动,给用户带来了巨大的经济损失和安全风险[3]。
目前我国相关法律法规中,对于刷脸支付中面部信息收集、存储和使用的具体规范尚不完善,知情同意机制也存在缺陷,难以充分保障用户的隐私权利。目前我国尚未有专门针对刷脸支付的详细法律规定,现有的法律法规在规范刷脸支付行为方面存在一定的滞后性和空白。目前我国尚未出台专门针对刷脸支付的法律法规。虽然《电子商务法》《网络安全法》等法律对个人信息保护和电子支付有一定的规范,但这些法律并未针对刷脸支付的特殊性进行详细规定。例如,刷脸支付涉及的生物识别信息具有唯一性和不可更改性,但现行法律对这类信息的保护措施仍不够具体。
3.2. 刷脸支付技术法律责任界定困难
刷脸支付涉及多个主体,包括用户、支付平台、技术开发者、数据存储方等,各主体之间的责任关系复杂。在出现侵权或纠纷时,很难确定具体的责任承担者。我国对于刷脸支付等互联网金融新兴产品的监管尚处于探索阶段,尚未出台统一的认证标准和业务规范。另一方面,由于缺乏明确的法律规范和监管标准,企业和机构在推广刷脸支付技术时可能面临较大的不确定性和风险,从而抑制了技术创新的积极性。
刷脸支付技术本身可能存在被破解、伪造等技术风险,这些风险与法律风险相互交织,增加了责任界定的复杂性。例如,技术漏洞导致的盗刷行为,可能涉及支付平台的技术安全责任,也可能涉及技术开发者的设计缺陷责任[4]。用户在刷脸支付过程中可能因自身疏忽(如未妥善保管人脸信息)导致信息泄露,但平台也可能因技术不足或管理不善导致信息被滥用。在未经授权的刷脸支付纠纷中,用户往往需要证明支付平台或技术开发者存在过错,但技术的复杂性和信息的不对称性使得用户举证难度较大。
3.3. 行业自律机制不健全
不同企业和机构在推广刷脸支付技术时,可能存在技术标准不一致、业务操作不规范等问题,从而增加了支付风险,刷脸支付技术行业尚未形成统一的技术标准和安全规范。不同企业和平台在刷脸支付技术的实现方式和安全措施上存在差异,这导致用户在不同场景下的刷脸支付体验和安全保障水平参差不齐。虽然存在相关的行业自律组织,但它们在刷脸支付行业自律方面的作用有限。一方面,加入行业协会并严格遵循协会制定安全标准的企业占比较少,行业标准不存在法律强制力,在行业企业之间难以得到贯彻落实;另一方面,行业自律组织在制定规范时可能受到核心企业利益的影响,难以保证规范的公正性和全面性。
由于技术发展的迅猛与法律法规、行业标准制定的相对滞后,这一现状导致行业自律机制在构建过程中缺乏明确的法律支撑和规范指引,犹如航行于茫茫大海中的船只,缺少了指路的灯塔。而行业自律组织,由于缺乏法律强制力,往往难以对这些企业的行为进行有效约束,如同无牙的老虎,难以发挥应有的威力。刷脸支付技术的高复杂度也增加了自律的难度,这项技术融合了人工智能、机器视觉、3D传感、大数据等多个领域的前沿科技,其技术体系庞大且复杂。行业自律组织在制定规范时,必须充分考虑技术发展的多样性和复杂性,这无疑增加了自律机制建立和实施的难度,就如同在密林中寻找一条前行的道路,需要披荆斩棘,克服重重困难。
4. 刷脸支付技术的风险防范策略
4.1. 完善和加强专业立法
在当前刷脸支付技术快速发展的背景下,脸部信息的采集内容、方式和标准亟需统一和规范。在收集各方意见的基础上,应组织专家学者进行深入研究,结合国际先进经验和国内实际情况,制定出台统一的生物信息采集规范和细则。这一规范应明确脸部信息采集的具体内容、采集方式、存储要求以及使用范围等,确保采集活动的合法性和合规性。同时,规范还应强调信息采集过程中的透明度,要求相关机构在采集脸部信息前,必须充分告知信息主体采集的目的、方式和范围,并取得其明确同意。
建议以立法的形式将个人生物信息保护纳入《中华人民共和国个人信息保护法》之中,在立法过程中,应充分考虑刷脸支付等新技术带来的挑战,明确个人生物信息的法律地位、保护原则、权利义务以及法律责任等。或者进一步制定专门的刷脸支付安全管理条例或生物识别信息保护法,明确刷脸支付中各方的权利、义务和责任,细化数据采集、处理、存储的法律标准。同时,还应建立健全个人生物信息的监管机制,加强对相关机构和个人的监督和管理,确保法律的有效实施[5]。当前《人脸识别技术应用安全管理规定(试行)》正在广泛征集意见稿,虽然仍有许多专业问题等待解决,相信在不远的将来就即将面世。
4.2. 明确法律边界和加强执法
2021年7月,最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,明确违反合法、正当、必要原则处理人脸信息的其他情形,应当认定属于侵害自然人人格权益的行为。司法解释明确了在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析的,属于侵权行为。企业应确保刷脸支付技术的使用符合法律法规要求,保障用户个人信息的安全。对于违法违规收集、使用人脸信息的行为,企业应依法承担相应的法律责任。
随着“深度伪造”技术的发展,刷脸支付的安全性面临新的挑战。执法部门应指导企业积极应对,开发或采用先进的图像真实性验证技术,提高刷脸支付对伪造面部的识别能力。执法部门应加强对刷脸支付设备供应商的监管,对违法违规收集、使用人脸信息的行为进行查处,并要求全面整改。定期对涉及刷脸支付的场所和设备进行检查,确保企业遵守相关法律法规,保障个人信息安全。行政机关要着手建立风险补偿机制会员单位应建立健全风险拨备资金、保险计划、应急处置等风险补偿机制。对于因刷脸支付导致的资金损失,应及时先行赔付,保障用户的合法权益[6]。
4.3. 加强行业自律与监管
截至目前,刷脸支付终端设备在设计标准上呈现出多样化的特点,且人脸数据的采集方式也存在显著差异。尽管《刷脸公约》《个人金融信息保护技术规范》等相关文件为刷脸支付领域提供了一定的指导,但尚不足以全面形成刷脸支付的行业统一标准。因此,当前亟需建立一套涵盖全流程的风险控制机制,以有效应对刷脸支付过程中可能存在的各种风险挑战。
刷脸支付技术领域流派纷呈,各技术流派在信息采集与处理方式上存在显著差异。鉴于此,金融行业的领军企业应当携手合作,共同牵头制定一套全行业共识并适用的技术规范。这一规范旨在打造刷脸支付的“通用标准”,实现人脸信息编码、技术参数、数据格式等方面的统一化,确保刷脸支付底层算法能够通过“反事实测试”进行验证。同时,该规范还需明确信息更新与维护的责任主体,确保人脸识别标准的实用性和可操作性,并促进全行业的积极响应与跟进。
监管部门应定期对刷脸支付技术进行安全评估,包括技术漏洞、数据保护能力、用户隐私保护等方面,及时发现和解决问题。对刷脸支付终端设备、算法、系统等实施认证制度,只有通过认证的产品和服务才能进入市场,确保技术的合规性和安全性。加强对刷脸支付市场准入的管理,严格审核相关企业的资质、技术实力和数据保护能力,防止低质量、不安全的产品和服务进入市场。
5. 结语
科技的日新月异无疑推动了社会的巨大进步,但其快速发展亦伴随着一系列潜在风险。法律的制定与完善,作为规范科技应用、保障社会秩序的重要手段,正面临着前所未有的挑战。个人面部信息,作为生物识别信息中极具敏感性和不可更改性的特殊类别,其法律保护问题尤为突出。鉴于刷脸支付技术的广泛应用及其对个人面部信息的高度依赖,构建一个既全面又细致的法律规制体系显得尤为重要。
在构建刷脸支付技术的法律规制体系时,我们应充分发挥基本原则的统筹规划作用。需要不断更新和完善相关法律法规,确保其能够与时俱进,紧跟技术发展的步伐。此外,还应通过多种举措,如加强技术研发、推进行业自律与监管等,共同营造一个良好的刷脸支付环境。科学合理的制度安排,将推动刷脸支付技术的健康发展,进而以良好的科技力量促进经济社会的可持续发展。
NOTES
1刷脸支付安全吗(理论–中工网)。https://www.workercn.cn/c/2023-10-01/7999833.shtml。