最新数据监管政策如何影响刷脸支付?
慕楚移动支付网2021/12/1 18:33:49

人脸信息监管再出新政策。

11月14日,国家互联网信息办公室会同相关部门研究起草了《网络数据安全管理条例(征求意见稿)》(以下简称《意见稿》)。

《意见稿》指出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。

刷脸支付作为近几年支付创新的焦点,人脸信息的新监管政策会对其发展产生怎样的影响呢?

当下的人脸信息监管核心

关于人脸信息不能是唯一身份认证方式的要求,并不只有网信办的文件。

今年下半年,以最高法发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》为代表,就要求物业不得强制将人脸识别作为出入小区的唯一验证方式。

而11月1日生效的《个人信息保护法》要求处理包括人脸在内的生物识别信息,需要取得个人的单独同意。

2021年年中,移动支付网发布的《2021中国人脸支付产业发展报告》中,收集了自从2015年以来人脸识别相关政策,从中可以了解人脸信息的监管方向。

结合2021年下半年的政策导向,可以总结人脸信息的监管方向主要是:

1、将人脸信息定义为敏感信息;

2、不得将人脸识别作为唯一认证方式;

3、人脸信息需加密,原始数据原则上不得本地储存。

4、收集及处理人脸信息需要单独取得用户同意。

而对于刷脸支付,各种政策的落地是否会影响其发展呢?

刷脸支付中的账户与密码

刷脸支付自从流行以来就存在争议,即刷脸这一动作是识别账户,还是识别验证信息。通俗的说,脸是账号,还是密码?

目前主流的刷脸支付方案中,在不需要输入手机尾号,直接刷脸支付成功的情况下,对账号和密码的识别是合一的。

而监管更加鼓励的是,人脸是账户,手机尾号或支付口令是密码,以做到传统卡支付概念中的卡密分离,风险更加可控。

此前,中国人民银行科技司司长李伟就倡导,人脸识别支付需要体现用户资金的自主支配权,而“人脸识别+支付口令”是目前兼顾安全与便捷的实现方式。

目前的人脸信息监管中,人脸识别不能作为唯一认证方式,成为大家认为可能对刷脸支付影响较大的一个要求。未来刷脸支付终端可能不再具备刷脸即支付特性,而向“人脸识别+支付口令”的方式改变。

不过值得注意的是,大多数刷脸支付终端,除了支持刷脸支付还支持扫码支付,人脸识别并非唯一支付认证方式。

《非银行支付机构网络支付业务管理办法》第二十二条规定,支付机构可以组合选用下列三类要素,对客户使用支付账户余额付款的交易进行验证:[一]仅客户本人知悉的要素,如静态密码等;[二]仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;[三]客户本人生理特征要素,如指纹等。支付机构应当确保采用的要素相互独立,部分要素的损坏或者泄露不应导致其他要素损坏或者泄露。

也就是说,包括人脸在内的生物特征被允许作为要素之一进行支付验证。但并没有明确,将人脸识别作为账户与认证合一的支付方式。普通的指纹识别,载体大多是手机,手机App中存在账户概念,指纹是非常明确的验证方式,而无法成为账户。

当下的人脸信息监管,尚没有触及刷脸支付的核心产品逻辑。数据保护合规方面,支付巨头也已经做到了尽善尽美,支付的事情也许只有支付监管可以进行性质裁定。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消