2019年10月20日,在浙江乌镇举行的第六届世界互联网大会上,中国银联携手工商银行、农业银行、中国银行等60余家机构联合发布全新智能支付产品“刷脸付”。作为“国家队”的银联入场,加上更早入场的支付宝、微信支付,我国支付市场的三大主流机构都在力推刷脸支付类产品,刷脸支付已然进入三国时代。
稍早的时候,刷脸支付就已经获得中国人民银行的推广,在2019年8月底中国人民银行印发《金融科技(FinTech)发展规划(2019-2021年)》(以下简称《规划》),其中明确提出“探索人脸识别线下支付安全应用,借助密码识别、隐私计算、数据标签、模式识别等技术,利用专用口令、‘无感’活体检测等实现交易验证,突破1:N人脸辨识支付应用性能瓶颈,由持牌金融机构构建以人脸特征为路由标识的转接清算模式,实现支付工具安全与便捷的统一。”《规划》提出未来三年金融科技工作的指导思想、基本原则、发展目标、重点任务和保障措施,明确了刷脸支付的发展方向,认可了其“科技赋能支付服务”的能力。新技术的应用也给法律带来了挑战,在现有法律制度中如何安置这种新科技:技术需要如何遵守法律,法律应该如何修改来适配技术,成为了一个急需解决的问题。
刷脸支付的特殊性
刷脸支付与已经普及使用多年的指纹支付都属于生物特征支付,具有一定的相似性。一方面,刷脸支付与指纹支付都摆脱了卡基的限制,实现了账户基支付方式,即使是银联的“刷脸付”也是基于“云闪付”账号而非任何一张银联卡。另一方面,在账户的验证中都将生物特征作为一种支付的验证手段,验证指令的发出人是账户所有人,通过验证之后才能进行资金的移转。
刷脸支付与指纹支付除了使用的生物特征的类型不同,在支付影响力方面也存在较大的差异。如果说指纹支付只是替代了传统账基支付中密码的角色,那么刷脸支付则重塑了整个支付场景。
第一个差异在于支付介质的不同。指纹支付需要以手机作为支付账户的介质,脱离手机就无法使用;而刷脸支付无需介质,通过支付机具刷脸确定账户之后就可以进行支付,全程无需使用手机。
第二个差异在于生物特征在支付中发挥作用的环节不同。指纹支付第一步需要登录支付账户,这通常不涉及指纹信息,第二步支付验证环节才需要使用指纹特征。刷脸支付则不然,第一步是通过支付机具刷脸登陆支付账户,面部特征首先展现的是账户识别和登陆验证的功能,然后第二步输入其他辅助验证手段实现支付。
第三个差异在于支付两个环节的验证强度存在不同。指纹支付的登陆验证往往是设置强口令的验证,要求使用数字、字母乃至符号的混合型密码,支付验证则是较为隐秘的生物特征指纹验证。而刷脸支付则不然,登陆验证是较为公开的生物特征面部特征验证,支付验证则是弱口令的方式,其中微信、支付宝采用较为公开的手机号,银联采用6位数字的支付密码。
刷脸支付主打便捷,其特殊性也系于此,无需支付介质奠定了其便捷性的基础,为了便捷地登陆支付账户,便采用了刷脸作为登陆验证手段,为了便捷支付采用了弱口令作为支付验证的手段。支付便捷与支付安全之间的冲突是刷脸支付法律问题的核心。
刷脸支付的流程法律问题
业界人士认为,刷脸支付采用“人脸识别 支付口令”是兼顾安全与便捷的实现方式,在支付体系中,人脸识别显然是主要的验证手段。按照2015年12月发布的《非银行支付机构网络支付业务管理办法》(以下简称《办法》)第二十二条规定“支付机构可以组合选用下列三类要素,对客户使用支付账户余额付款的交易进行验证:一是仅客户本人知悉的要素,如静态密码等;二是仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、电子签名,以及通过安全渠道生成和传输的一次性密码等;三是客户本人生理特征要素,如指纹等。”
在《办法》的第二十四条又对验证方式与支付限额进行了规定,唯一不设法定限额的是“采用包括数字证书或电子签名在内的两类(含)以上有效要素进行验证的交易”,《办法》从侧面承认了这种验证方式具有最高的安全性。目前“云闪付”、微信、支付宝等账基支付采用数字证书 静态密码的方式进行验证,同时这些机构的生物特征支付则使用“数字证书 生物特征”的方式进行验证。这两种方式都是最为安全的双重验证。而按照《办法》,似乎也可以推论出在监管者眼中,生物特征信息与静态密码具有相似的法律效果,都是基于数字证书、电子签名的辅助性验证手段。可以说从《办法》而言,给刷脸支付等支付方式留出了足够的空间,甚至从验证流程来说都无需使用支付口令就能实现最大限额支付。
常见的账基支付中,口令的地位一直为便捷性让步而持续被削弱:经历了支付密码从强密码到弱密码的变化。在刷脸支付时,支付宝和微信已经采用手机号作为支付口令了,在特定场景下还可以免输入。但是,显然从安全性而言,公开的手机号作为验证口令已经不能算作《办法》第二十二条下的“仅客户本人知悉的要素”,故而不算法定的验证手段,手机号作为验证口令背后是支付口令的功能转移,从支付验证转向支付意愿确定。这也是回应法律的要求,《办法》第十六条规定“对于客户的网络支付业务操作行为,支付机构应当在确认客户身份及真实意愿后及时办理”。毕竟脸部特征的公开性较强,面部特征作为“行走的密码”,如何解决包括1:N在内的特殊支付场景中支付意愿的识别,这是公开但个人化的支付口令的价值。
就支付口令而言,银联与微信支付宝并不相同,银联保留了私密性的“云闪付”密码作为支付口令,三家机构之间不同的处理思路也表明对于支付口令地位的认识分歧,如果将支付口令作为验证手段,那么对于支付的实体环境提出了安全保护的设备要求,如果将支付口令作为支付意愿的确定手段,那么对人脸识别作为唯一的验证手段的准确性提出了更高的要求。
刷脸支付的硬件法律问题
刷脸这一验证方式一直以来存在争议。2017年,当出现第一次刷脸风潮时,央视“315晚会”就提示了人脸识别技术的安全漏洞问题,2019年刷脸验证翻红之后也不时爆出丰巢快递柜、智能门锁无法识别真人与照片的新闻,刷脸支付的安全性成为公众关注刷脸支付的核心关切。经过技术的发展,成熟厂商的刷脸支付错误率已经降到十万甚至百万分之一的级别,在面对双胞胎等场景也能正确识别,基本解决账户误识的问题。现在的核心争议是如何处理假体攻击。
如今,刷脸支付的线下应用是得到《规划》认可的,《规划》提出“利用专用口令、‘无感’活体检测等实现交易验证”。目前的刷脸支付机构都在技术方面有诸多储备,各家厂商在宣传中都主打活体检测,一方面在软件层面,通过大量的训练和实践让深度学习算法具有极强的检测能力,另一方面在硬件层面,通过红外等各种技术辅助验证。饶是如此,但是在2019年12月,美国公司Kneron表示通过高清3D面具和照片欺诈了多个人脸识别系统,包括支付宝和微信。虽然该消息真实性并未得证,但依旧提示了目前刷脸支付硬件本身的潜在风险。
目前,刷脸支付的线上应用是不受监管机构认可的。一方面是软件原因,中国人民银行科技司司长李伟认为,人脸识别线上应用仍存在诸多风险,若要应用推广需采用可信执行环境(TEE)、安全单元(SE)等技术加强风险防控。另一方面是硬件原因,受制于智能手机的摄像头水平,并非所有都具备主动进行活体检测的能力,诸多在智能手机上进行人脸识别认证的操作都需要配合“张嘴、眨眼、摇头”等动作来进行,无法做到无感检测,而通过视频等手段绕过手机上的活体检测的相关新闻也提示了刷脸线上应用的风险性。另外,采用指纹支付的三星S10系列的失灵事件也为刷脸支付的线上应用提供了一个技术硬件上的镜鉴。
推广一个本身颇具风险的支付方式,其成败维系于硬件设备与软件算法,对于技术的信赖是脆弱的,为维系这种信赖就有必要通过标准的方式来强化保证其性能的可靠性。虽然目前线下应用的机具都是支付机构的关联企业生产制造的,能够确保符合支付机构的要求,但未来为了更广泛地推广,必然需要降低机具的成本,允许通过特许等方式进行机具生产。为此有需要制定刷脸支付的相关技术标准,通过标准的认定,让硬件机具能够符合法律的安全性要求。这种需求在线上刷脸应用更加强烈,支付机构对于手机的生产控制力较线下机具更差,更加需要具有法律效力的国家标准的指引和认证。
刷脸支付的责任法律问题
因为脸部特征的公开性较强,刷脸支付的安全性备受质疑,法律责任作为支付安全的后端规制与补偿机制成为不可回避的问题,明确责任问题也有助于从业者和公众对于刷脸支付有更明确的预期。
从支付的责任法律而言,并无专门针对刷脸支付的条款,甚至生物特征支付的相关责任规则也并无特殊化的法条,可以说刷脸支付的责任规则还是参照一般电子支付的责任规则。而就一般电子支付而言,现行法的责任规则已经有一个较为完备的框架。这部分规则主要在《电子商务法》中,虽然该法是针对电子商务场景下的支付责任而言,但是至少说明一个法律的方向,并且存在被广泛准用的可能性。
刷脸机具误识付款人的场景可以适用《电子商务法》第五十五条规定“支付指令发生错误的,电子支付服务提供者应当及时查找原因,并采取相关措施予以纠正。造成用户损失的,电子支付服务提供者应当承担赔偿责任,但能够证明支付错误非自身原因造成的除外。”举例而言,甲付款人被机具识别为乙,并从乙的账号中扣款造成了乙的损失,此时乙有权向支付机构求偿。支付机构如要免责,则需要自查原因并证明自身并无过错,这种损失、调查、证明责任都配置给支付机构,可以有效保护相对弱势的用户。当然对于刷脸支付的场景而言,这往往不会造成损失,因为真实付款人容易查清,此时支付机构依据不当得利向付款人主张权利即可。
刷脸机具被假体攻击的场景可以适用《电子商务法》第五十七条规定“未经授权的支付造成的损失,由电子支付服务提供者承担;电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的,不承担责任。”举例而言,甲的面部特征信息被复制,乙依据该信息骗过了支付机具从甲的账户内扣款造成了甲的损失,此时甲有权向支付机构求偿,支付机构如需免责需要证明错误的来源是甲本身的错误,否则一概由支付机构承担责任。在此场景之下,支付机构的责任比机具误识更重,在误识场景下,支付机构本身无错就可免责,而在假体攻击之下,支付机构和用户都无过错,但是责任依旧是支付机构的。这种责任配置就是为了促使支付机构提升自身的技术水平以从根本上避免此类问题的产生。
当然现阶段,对于刷脸支付的责任问题处理更为简单,《办法》第二十五条规定“支付机构网络支付业务相关系统设施和技术,应当持续符合国家、金融行业标准和相关信息安全管理要求。如未符合相关标准和要求,或者尚未形成国家、金融行业标准,支付机构应当无条件全额承担客户直接风险损失的先行赔付责任。”现在仅有《人脸识别线下支付安全应用技术规范(试行)》等指引性文件,尚未形成国家或金融行业标准,那么此时发生的所有损失无豁免条件的由支付机构承担,这种责任方式客观上鼓励技术的发展,推动标准的建立。当然随着刷脸支付的成熟,未来必将推出相应的标准,标准出台后的责任规则还是回归上文所述的模式。
总之,对于各家机构所言“刷脸支付损失全赔”的承诺,其实只是法律的强制要求而已,有识厂商如果对于自身技术具有自信,或许可以提出更高的承诺,例如损失加倍赔偿,五倍赔偿等口号以表明其对于支付安全的承诺。
刷脸支付的信息法律问题
刷脸支付较之指纹支付、声纹支付等方式在信息采集上略有不同,人脸长时间暴露在外,各种摄像头都有充足的机会捕捉到人脸特征。而人们对于刷脸支付的信息担忧更为严重,也是刷脸支付推广中最为疑难的问题。且不说目前广泛存在的信息过分收集、违规使用问题,仅就信息存储而言,金融机构已经问题频发,如美国三大个人信用机构之一的Equifax发生的信息泄露案,即使是以个人信用信息作为其核心资源的Equifax都可能发生信息泄露,可见重建公众对于机构的信息信心任重道远,更遑论是包括脸部特征在内的不可更改的生物特征信息。
现行法对于刷脸支付等支付场景的信息责任的规定相对简略,主要是基于《办法》第二十条条规定“支付机构应当以‘最小化’原则采集、使用、存储和传输客户信息,并告知客户相关信息的使用目的和范围。支付机构不得向其他机构或个人提供客户信息,法律法规另有规定,以及经客户本人逐项确认并授权的除外。”这种原则性规定过于简单,且未对包括脸部信息在内的不可更改的生物特征信息进行区别性严格规定。同时,关于违反信息责任的罚则也较轻,《办法》引用《中华人民共和国中国人民银行法》第四十六条作为罚则,如果发生信息泄露在无违法所得的情况下只能处以最高200万元的罚款。
刷脸支付的信息责任很难在法律领域进行单兵突进的制定,这一领域的法律进步最终依赖于个人生物信息的整体立法或者金融领域的专门立法,在这一立法完成之前,只能更多依靠支付服务商的自律或者支付业协会等的行业自律。
综上所述,刷脸支付虽然作为一种新兴的支付方式,但其还是基于现有支付模式而展开,现行支付法律框架为其预留了足够的发展空间,也可以适用现有的监管框架进行规制。然而,在具体的硬件标准和信息收集储存方面,刷脸支付向现行法律体系提出了挑战,现在已经让刷脸支付的子弹飞了这么久了,是时候考虑如何通过标准和个人信息法律来促进刷脸支付的均衡合理发展。
来源:金卡生活 作者:姜川
WorkPhone
WorkWechat
WorkQQ
成都市人民东路6号川航大厦