刷臉支付自律公約怎么回事 刷臉支付自律公約內(nèi)容是什么

人民網(wǎng)北京1月22日電(張玫) 21日，中國清算協(xié)會官網(wǎng)發(fā)布消息，為規(guī)范人臉識別線下支付應(yīng)用創(chuàng)新，防范“刷臉”支付安全風(fēng)險等，中國支付清算協(xié)會組織制定了《人臉識別線下支付行業(yè)自律公約(試行)》。

當(dāng)前人臉識別廣泛應(yīng)用于金融領(lǐng)域。根據(jù)廣恒證券2019年發(fā)布的人臉識別報告，金融領(lǐng)域中的人臉識別，主要用途分為身份核驗和場景規(guī)模化應(yīng)用。

身份核驗，也稱作1:1刷臉，廣泛地被應(yīng)用于互聯(lián)網(wǎng)金融、銀行的遠程開戶、遠程身份認(rèn)證、遠程支付，通過“刷臉”的方式進行校驗。

場景規(guī)模化應(yīng)用也稱作 1:N刷臉，多用在刷臉支付、取款等。其中，人臉識別在銀行領(lǐng)域的業(yè)務(wù)點主要有私有云部署、智慧網(wǎng)點改造、自助機具改造、網(wǎng)點 VIP、智慧網(wǎng)點改造等方面。

盡管人臉識別應(yīng)用廣泛，但由于人臉的弱隱私性，一旦用戶的臉部生物信息被“黑產(chǎn)”從業(yè)者加以利用，通過“換臉”等手段侵入獲取其個人隱私，則用戶將難以保障個人信息和財產(chǎn)安全。

中央財經(jīng)大學(xué)教授黃震此前接受人民網(wǎng)記者采訪時表示，“在‘刷臉’支付的過程中存在用戶信息過度采集的情況，只要一‘刷臉’就能和個人的身份驗證等信息相關(guān)聯(lián)，這就存在個人隱私被侵犯的風(fēng)險。一定要高度關(guān)注這方面的風(fēng)險。”

針對“刷臉”支付行業(yè)當(dāng)前存在的一些安全風(fēng)險，此次《自律公約》提出“設(shè)置單筆及日累計交易限額”“建立刷臉支付突發(fā)事件應(yīng)急處理機制”“建立健全風(fēng)險撥備資金、保險計劃、應(yīng)急處置等風(fēng)險補償機制”“對不能有效證明因用戶原因?qū)е碌馁Y金損失及時先行賠付”等條款，在一定程度上規(guī)范行業(yè)行為，降低個人信息泄露風(fēng)險。

以下為《人臉識別線下支付行業(yè)自律公約(試行)》全文：

第一章 總則

第一條 為規(guī)范人臉識別線下支付(以下簡稱刷臉支付)應(yīng)用創(chuàng)新，防范刷臉支付安全風(fēng)險，保障會員單位合法權(quán)益，維護社會公眾利益。經(jīng)會員單位共同協(xié)商，制定本公約。

第二條 會員單位開展刷臉支付應(yīng)嚴(yán)格執(zhí)行國家及金融行業(yè)的有關(guān)法律法規(guī)、技術(shù)規(guī)范，自覺遵守協(xié)會各項自律制度規(guī)范，在平等、自愿、公平和誠信的原則下開展服務(wù)。

第三條 本公約所稱刷臉支付是指線下特約商戶通過專用受理終端采用人臉識別技術(shù)為用戶提供的支付服務(wù)。

第四條 公約適用于開展刷臉支付的各會員單位，包括在刷臉支付中提供賬戶管理、轉(zhuǎn)接清算、收單等服務(wù)的會員單位。

第五條 會員單位應(yīng)確保其在刷臉支付中使用的活體檢測、人臉識別等技術(shù)指標(biāo)滿足金融行業(yè)相關(guān)要求。

第二章 安全管理

第六條 會員單位應(yīng)建立人臉信息全生命周期安全管理機制。在采集環(huán)節(jié)，要堅持“用戶授權(quán)、最小夠用”，明確告知用戶信息使用目的、方式和范圍，并獲得用戶授權(quán)，避免與需求無關(guān)的特征采集。在存儲環(huán)節(jié)，將原始人臉信息加密存儲，并與銀行賬號或支付賬號、身份證號等用戶個人隱私進行安全隔離。在使用環(huán)節(jié)，收單機構(gòu)、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息，實現(xiàn)端到端的個人隱私保護。

第七條 會員單位應(yīng)根據(jù)用戶意愿，為其提供開通或關(guān)閉刷臉支付服務(wù)。用戶開通刷臉支付時，會員單位應(yīng)以顯著方式提示用戶注意服務(wù)協(xié)議中與其有重大利害關(guān)系的事項，采取有效方式確認(rèn)用戶充分知曉并清晰理解相關(guān)權(quán)利、義務(wù)和責(zé)任，提示方式包括但不限于隱私政策、格式條款、短信提示等。

第八條 用戶進行刷臉支付時，會員單位應(yīng)采用支付口令或其他可靠的技術(shù)手段(通過國家統(tǒng)一推行的金融科技產(chǎn)品認(rèn)證)實現(xiàn)本人主動確權(quán)，保障用戶的知情權(quán)、財產(chǎn)安全權(quán)等合法權(quán)益。

第九條 會員單位應(yīng)確保處理刷臉支付業(yè)務(wù)的信息系統(tǒng)滿足物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)備份等國家、金融行業(yè)安全規(guī)范要求。

第十條 從事刷臉支付收單服務(wù)的會員單位應(yīng)嚴(yán)格遵守《銀行卡收單業(yè)務(wù)管理辦法》(中國人民銀行公告〔2013〕第9號公布)、《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》(中國人民銀行公告〔2015〕第43號公布)、《中國人民銀行關(guān)于進一步加強銀行卡風(fēng)險管理的通知》(銀發(fā)〔2016〕170號)、《中國人民銀行關(guān)于加強銀行卡收單業(yè)務(wù)外包管理的通知》(銀發(fā)〔2015〕199號)等管理要求，承擔(dān)收單環(huán)節(jié)支付敏感信息安全管理責(zé)任，不得將核心業(yè)務(wù)系統(tǒng)運營、受理終端密鑰管理、特約商戶資質(zhì)審核等工作交由外包服務(wù)機構(gòu)辦理。

第十一條 會員單位開展刷臉支付業(yè)務(wù)涉及跨行交易的，應(yīng)當(dāng)通過中國人民銀行跨行清算系統(tǒng)或具備合法資質(zhì)的清算機構(gòu)處理。

第十二條 提供賬戶管理、收單服務(wù)的會員單位開展刷臉支付業(yè)務(wù)應(yīng)遵守和符合清算機構(gòu)關(guān)于刷臉支付業(yè)務(wù)聯(lián)網(wǎng)通用的規(guī)則等要求。

第三章 終端管理

第十三條 會員單位布放或接入的刷臉支付受理終端應(yīng)符合國家和金融行業(yè)相關(guān)標(biāo)準(zhǔn)，并通過國家統(tǒng)一推行的金融科技產(chǎn)品認(rèn)證。

第十四條 會員單位布放或接入的刷臉支付受理終端應(yīng)按照《中國人民銀行關(guān)于強化銀行卡受理終端安全管理的通知》(銀發(fā)〔2017〕21號)等要求進行登記注冊管理。

第十五條 會員單位布放和接入的刷臉支付受理終端應(yīng)遵循金融行業(yè)管理及自律有關(guān)規(guī)定，支持刷臉支付業(yè)務(wù)互聯(lián)互通，避免一柜多機，維護市場良好秩序，促進產(chǎn)業(yè)可持續(xù)發(fā)展。

第十六條 會員單位應(yīng)建立覆蓋刷臉支付受理終端開通、使用、更換、維護、撤銷等各環(huán)節(jié)的風(fēng)險管理制度，建立刷臉支付受理終端定期巡檢制度，加強對刷臉支付受理終端的風(fēng)險控制，及時發(fā)現(xiàn)和排除風(fēng)險隱患。

第四章 風(fēng)險管理

第十七條 會員單位應(yīng)建立交易風(fēng)險監(jiān)控模型和系統(tǒng)，有效監(jiān)測可疑交易和異常行為，及時進行分析處置，保障交易安全。

第十八條 會員單位應(yīng)按照銀行卡收單業(yè)務(wù)管理相關(guān)監(jiān)管規(guī)定，加強刷臉支付特約商戶資質(zhì)審核和日常管理，建立健全商戶風(fēng)險評級管理制度及黑名單管理制度，建立刷臉支付特約商戶檢查制度。

第十九條 會員單位應(yīng)結(jié)合用戶信用狀況、風(fēng)險程度等因素，對用戶刷臉支付可開通的交易類型進行限制，通過協(xié)議約定交易限額，并采取有效風(fēng)控措施保障交易和用戶資金安全。

第二十條 會員單位應(yīng)結(jié)合特約商戶風(fēng)險等級及交易類型等因素，設(shè)置或與其約定刷臉支付單筆及日累計交易限額。

第二十一條 中國支付清算協(xié)會、清算機構(gòu)應(yīng)將刷臉支付特約商戶納入特約商戶信息管理系統(tǒng)及黑名單管理機制。拓展特約商戶時，提供收單服務(wù)的會員單位應(yīng)進行查詢確認(rèn)，并按規(guī)定向中國支付清算協(xié)會、清算機構(gòu)特約商戶信息管理系統(tǒng)、風(fēng)險信息管理系統(tǒng)報送特約商戶基本信息及其風(fēng)險信息。

第二十二條 會員單位應(yīng)建立刷臉支付突發(fā)事件應(yīng)急處理機制，及時有效化解刷臉支付風(fēng)險。

第二十三條 會員單位應(yīng)及時向監(jiān)管部門和中國支付清算協(xié)會報告刷臉支付業(yè)務(wù)開展情況、市場發(fā)展動態(tài)及發(fā)生的重大風(fēng)險事件等信息。

第五章 用戶權(quán)益保護

第二十四條 會員單位應(yīng)建立用戶刷臉支付投訴處理流程，明確投訴受理責(zé)任部門和責(zé)任人，向客戶告知客服電話、在線客服等受理投訴的渠道。

第二十五條 會員單位應(yīng)及時處理客戶提出的差錯爭議和投訴，建立健全風(fēng)險撥備資金、保險計劃、應(yīng)急處置等風(fēng)險補償機制，對不能有效證明因用戶原因?qū)е碌馁Y金損失及時先行賠付。

第二十六條 會員單位應(yīng)建立用戶刷臉支付安全教育制度及流程，培養(yǎng)用戶良好的刷臉支付安全習(xí)慣。

第六章 附則

第二十七條 本公約與國家法律、法規(guī)和監(jiān)管部門規(guī)章不一致的，依照有關(guān)法律、法規(guī)和監(jiān)管部門規(guī)章執(zhí)行。

第二十八條 本公約由中國支付清算協(xié)會負(fù)責(zé)解釋和修訂。

第二十九條 中國支付清算協(xié)會組織對會員單位公約執(zhí)行情況的監(jiān)督檢查，對于違反公約的行為可根據(jù)《中國支付清算協(xié)會自律懲戒實施辦法》實施自律懲戒。

第三十條 本公約自中國支付清算協(xié)會發(fā)布之日起實施。