刷脸支付的风险成因及规制方案探析

　　一、问题的提出

　　刷脸支付，是结合人工智能、机器学习、三维结构光、在线支付等技术实现的新型支付方式，用户无需携带任何设备，通过刷脸即能完成支付。刷脸支付虽然在便捷性和推广成本方面具备压倒性优势，但刷脸支付的潜在负面影响也颇受社会关注。

　　2021年8月，某女子“被刷脸”办卡并背负上万元贷款，广州互联网法院判决银行自行承担放贷审核不严的法律后果，从而引发公众热议。随着刷脸支付的大规模商业化推广，通过何种途径防范刷脸支付的隐私风险、消除伴随个人生物识别信息的潜在隐患，使刷脸支付能在保障安全的情况下尽可能地提升社会效益，无疑是值得当前学界和实务界思考的重点问题。

　　二、刷脸支付的风险成因及规制需求

　　长期以来，金融法治的进步呈现出“问题驱动型”的特点，通常是先出现监管套利空间，尔后逐渐催生出新的法律规范。“智能金融的发展史实际上就是一部和法律博弈的历史，周而复始地重复着智能金融工具由专业人士专用走向普罗大众的过程。

　　同时，智能金融又会因为缺少监管而引发危机。”作为支付领域的“后来居上者”,刷脸支付具有高风险的特质，这一方面是因为人脸这类生物识别信息只要被录入系统就有被泄露的风险，另一方面则是因为“‘脸’在社会文化中的意义和功能，使其内在蕴含着人的尊严”。同时，凭借其独特优势，刷脸支付技术已在金融行业掀起了一场前所未有的支付变革。

　　（一）刷脸支付的独特优势

　　早在2018年12月，人民银行联合发改委、科技部、工信部、人社部和卫健委下发《关于开展金融科技应用试点工作的通知》,在重庆、广州、杭州、武汉、长沙等直辖市和省会城市陆续启动商业银行刷脸支付的试点验证和推广工作。

　　在长达三年的时间里，刷脸支付本身得以长足发展，不断拓展技术适用的空间和范围，并大幅降低其设备的运行和使用成本。之所以能够迅速“跑马圈地”,同刷脸支付的五大“破坏式”创新密不可分。

　　其一，革新支付体验。刷脸支付是对既有支付方式的全新变革，用户无需携带现金或银行卡，也无需扫描二维码或牢记各类账号、密码，仅需摄像头刷脸即可完成支付。在线上场景中，用户不再需要反复输入密码或口令；在线下场景中，用户甚至只需在收银机前“露面”,即可瞬间实现“闪付”。据悉，输入6位密码平均至少3秒左右，指纹支付大约耗时1秒，刷脸支付却仅需0.3秒。

　　其二，突破支付障碍。老年人、残障人士等弱势群体较少使用电子设备，常被视为数字化转型中的“科技弃民”。对于这部分人而言，刷脸支付明显比刷卡、扫码等支付方式更加友好，突破了支付介质，真正实现了“零载体无感支付”。

　　其三，消除获客成本。在刷卡支付语境中，手机前置摄像头就能完成用户的核验和特征录入；过去必须在营业时间亲自到银行柜台办理的开户手续，现在可以在任何时段、任何地点迅速完成。基于远程刷脸的在线贷款和理财业务，在优化客户体验的同时，大大提升了金融服务效率，银行也以几乎可以忽略不计的成本获得了更多增量客户。

　　其四，提升推广效率。传统的指纹、声纹、虹膜等生物识别手段对用户配合度和设备要求较高，商家的推广应用成本非常可观。人脸识别并不需要特别的硬件或设备，高于一定分辨率的手机摄像头即可满足要求。配合国家身份证底库，信息和身份的比对无需用户额外提供身份照片，所有用户均为零成本参与。技术手段的“接地气”,使得刷脸支付比其他生物识别技术更容易大规模推广。

　　其五，拓展场景边界。现金、刷卡、扫码等支付手段几乎不具有扩展性，而刷脸支付则不然。结合购买现状和已经掌握的用户信息，商家可以通过可视屏幕同支付者交互，或精准推送广告，或推荐会员制服务等，极大地拓展了支付服务的边界，带来了更多的商业想象空间。

　　（二）刷脸支付的风险成因

　　回顾支付行业的发展历程，效率和安全始终身处天平的两端，此消彼长。刷脸支付的安全风险，同人脸识别技术的固有风险密不可分。

　　其一，人脸识别系统可被破解，隐私侵害便向财产侵害蔓延。人脸识别的不同技术手段，均有被破解的可能。基于活体识别的人脸识别技术可能被制作精良、细节逼真的面具破解，基于实时重建的人脸识别技术可能被3D建模制作出的仿真人像破解。

　　例如，浙江省嘉兴市小学生用打印照片替代真人刷脸，骗过小区丰巢智能快递柜，取出他人货件；某团伙非法搜集公民身份信息，利用软件合成了547个3D头像，通过了支付宝账户的人脸识别认证并从中牟利数万元；Kneron公司利用3D面具成功欺骗了支付宝和微信的刷脸支付程序，引发业界关注。人脸识别系统屡遭破解，主要是窃取人脸信息比窃取数字密码、套取指纹信息要容易得多。

　　“人脸数据0.5元一份、照片活化修改软件35元一套，……利用人脸数据可以帮他人解封微信和支付宝冻结账号，还能绕过知名婚恋交友平台及手机卡实名认证的人脸识别机制。”

　　人脸信息完全暴露在外，通过多角度拍照即可取得，不像储存在人脑中的数字密码，非采取特别手段难以攻破，也不像指纹信息那般偷偷摸摸、不知不觉难以采集。在人脸信息如此易采集的情况下，目前某些人脸支付系统仍在使用静态识别而非动态检测的技术手段，其风险不可小觑。

　　其二，人脸特征具备不稳定性，刷脸支付的稳定性因此也受到影响。同数字密码、指纹和虹膜等生物特征相比，人的脸部特征并非一成不变。随着时间的推移，人的面部外观会逐渐发生改变，青少年的面部变化尤其明显，事故、整容、过敏以及大幅增重或减肥，都会造成当事人的容貌变化，致使系统无法识别。

　　化妆一般不会改变脸部特征，但妆容较浓时有一定概率会导致系统难以比对关键点，带墨镜、口罩、装饰品时，亦是如此。面对人脸识别系统的摄像头时，俯仰或左右侧面较多、发型变化较大，甚至表露出丰富的表情，都会降低系统识别的准确度。

　　总之，人脸识别极易受外部因素的干扰，虽然识别的准确度较高，但准确识别的概率却不稳定。受制于人脸识别系统的不稳定性，刷脸支付系统的稳定性也无法100%保证。

　　其三，形式审查把关不严，直接影响用户资金使用安全。在签订刷脸支付用户协议阶段，用户并不需要提交自己的照片。之后，有资质的刷脸支付机构在进行身份核验时，主要是向全国公民身份证号码查询服务中心提出申请，将摄像头中的人脸信息同库中的照片进行比对，此外也会参考人民银行和公安部联网核查系统中的照片留档。

　　但是，无论作为参考基准的身份照片从何而来，照片更新速度慢、像素有限等，都成为制约人脸识别系统准确性的因素，而多个源头的比对和验证，又必然增加通信成本。

　　在女子“被刷脸”办卡背上万元贷款案件中，主审法官认为：“该案‘被刷脸’背后反映的是传统借贷机构放款时‘形式审查’的弊病，以‘身份证照片和本人看起来差不多’便审核通过。”由于用户的资金同人脸验证相绑定，验证环节的把关不严将给掌握他人人脸信息的不法分子可乘之机，最终给用户资金带来安全风险。

　　（三）刷脸支付的规制需求

　　“在法治社会中，规制的存在往往与风险密不可分。”倘若只是人脸识别的连带风险，刷脸支付并不需要额外的规制手段。然而，自从问世之日起，刷脸支付的安全性就备受质疑，这主要是因为，人脸识别技术在支付领域的应用，为人脸识别技术从第一阶段向第二阶段的嬗变提供了土壤。

　　第一阶段的人脸识别，是基于人的相貌特征、脸部结构进行身份验证、信息比对的生物特征识别技术，主要用于实名认证、账户登录、门禁控制、交通出行、考勤打卡、政务服务、人员查找等，对应的是《信息安全技术人脸识别数据安全要求（草案）》（以下简称《国标草案》）中人脸验证和人脸辨识的场景。

　　第二阶段的人脸识别，是基于人的表情、神态、仪容、变化进行用户侧写、态度判断的自动化决策技术，即《国标草案》中人脸分析的场景。《2018年人工智能报告》（AI Now Report 2018）显示，人脸识别技术已经能够根据信息主体的表情变化和眼神微动对其进行内在情绪和心理状况的情感识别。

　　人脸识别和人脸分析的差别在于，通过人脸确认身份的步骤完成后，是否还存在其他目的的后手自动化决策，亦即是否存在情感计算。所谓“情感计算”,也称“情绪智能识别技术”,泛指“以人工智能技术打底，对个体情绪或其情感进行识别和推断的计算手段”。“相关人脸数据文件或照片可能被自动化地上传至特定数据库进行实时比对和关联，导致没有经过认证对象的知情和授权而脱离场景地理解和使用人脸数据。”

　　基于人脸识别的情感计算曾一度被违规用于消费场所中，为销售员进行“信息赋能”:当消费者的面部被人脸识别系统自动抓取后，后台会识别消费者身份、年龄、性别及到店次数、消费记录等信息，借此判定消费者心情和消费偏好等。

　　例如，2020年，“售楼处安装人脸识别无感抓拍看房者”现象引发地方政府部门关注，杭州、南京、天津、昆明等地先后出台物业条例，禁止非法采集人脸信息；2021年中央电视台“3·15晚会”上，科勒、宝马等使用人脸识别摄像头的情况被曝光。

　　由于刷脸支付几乎完全在商业场景中进行，而商业的逐利本质通常伴随着业务的拓展，刷脸支付几乎是顺其自然地从单纯的“账户定位—资金结算”向情感计算跃迁，这是刷脸支付需要主要防范的新问题、新风险。

　　碎片化的刷脸支付信息就像是无关紧要的噪音那般，但经过大数据的整合之后，别有用心的信息处理者可将零碎分散的噪音组合成意义非凡的旋律，从中取得信息主体“不足为外人道”之秘密、甚至是事关金融稳定和行业健康发展的重要信息。

　　资金安全只是刷脸支付的“近忧”,不负责任的概括同意、不明不白的授权捆绑以及随之而来的自动化决策歧视，才是困扰信息主体的“远虑”。如何在控制传统人脸识别风险的同时，对刷脸支付的独特风险予以规制，是本文的研究重点。

　　三、理论与实践中的规制进路及局限

　　“立法活动作为国家法治生活的逻辑起点和关键环节，不可避免地将在科技发展的驱动下迎来新的变化。”针对刷脸支付的法律规制实践，已在世界各国徐徐展开。《美国商用人脸识别隐私法草案》（Commercial Facial Recognition Privacy Act of 2019）、《欧洲数据保护委员会关于通过视频设备处理个人数据的3/2019指引》（EDPB Guidelines 3/2019 on Processing of Personal Data through Video Devices）、《电气电子工程师学会生物特征识别活体检测标准》（IEEE Std 2790-2020）等即为典例。

　　我国政策制定者对人脸识别技术的关注早于欧美国家，在刷脸支付尚未兴起时，就首先注意到了保护人脸等生物识别信息的紧迫性。

　　（一）软法与硬法交织的立法现状

　　我国对刷脸支付以及作为其上位概念的人脸识别、生物敏感信息的法律规制，呈现出软法硬法交织、二者相互推动的特点。

　　1.2015—2020年：金融行业“摸着石头过河”

　　早在2015年12月，中国人民银行颁布《非银行支付机构网络支付管理办法》。其第20条规定：“支付机构应当以‘最小化’原则采集、使用、存储和传输客户信息，并告知客户相关信息的使用目的和范围。”2016年《网络安全法》未对人脸识别作专门规定，但将个人生物识别信息视为典型的个人信息。

　　2019年8月，中国人民银行印发《金融科技（FinTech）发展规划（2019—2021年）》,鼓励构建适应互联网时代的移动终端可信环境，充分利用生物识别等信息技术，建立健全兼顾安全与便捷的多元化身份认证体系，无感活体检测等技术手段被视为健全网络身份认证体系、丰富金融交易验证手段的关键手段。

　　2.2020—2021年：自律公约、技术规范与个人信息保护入典

　　2020年以后，人脸识别和个人信息保护的规制尝试迎来爆发式增长。2020年1月，中国支付清算协会发布《人脸识别线下支付行业自律公约（试行）》（以下简称《刷脸公约》）,呼吁会员单位建立人脸信息全生命周期安全管理机制，在采集环节坚持用户授权、最小够用原则，在存储环节坚持安全隔离原则，在使用环节坚持不归集、不截留原则；要求会员单位部署或接入的刷脸支付终端符合国家和金融行业相关标准，通过国家统一推行的金融科技产品认证。

　　2020年2月，中国人民银行《个人金融信息保护技术规范》将个人生物识别信息列为未经授权查看或变更后产生影响和危害最严重、敏感程度最高的C3类信息，禁止无金融业相关资质的机构搜集此类信息，具备资质的金融机构不得公开披露此类信息，在收集、传输和储存时必须采取加密措施。

　　2020年3月，全国信息安全标准化技术委员会发布《信息安全技术、个人信息安全规范》,要求将个人生物识别信息与个人身份信息分开存储，将个人生物识别信息的原始信息和摘要分开存储，并为个人生物识别信息的收集和使用预置了加强版的“知情同意框架”,信息处理主体必须单独告知信息主体个人生物识别信息的采集目的、方式、范围、存储时间等，并征得信息主体的明确同意。

　　2020年5月颁布的《民法典》第111条规定自然人的个人信息受法律保护。《民法典》第1034条将生物识别信息纳入受保护个人信息的范畴。

　　3.2021年至今：国家标准、司法解释与《个人信息保护法》颁布

　　2021年4月23日，全国信息安全标准化技术委员会《国标草案》面向社会公开征求意见。《国标草案》将“非人脸识别方式安全性或便捷性显着低于人脸识别方式”作为刷脸前提条件，且直接禁止将人脸识别数据用于“除身份识别之外的其他目的”,例如评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。

　　2021年6月，最高人民法院颁布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（以下简称《人脸识别司法解释》）。该规定细化了责任豁免事由，引入了综合考量理论，明确了既往不咎原则，禁止经营场所擅自使用远距离、无感式人脸识别技术，围绕人格权益保护构建了侵权行为样态、责任承担、举证方式、财产损失界定等规则，从多角度为人脸识别技术的运用提供法律保障。

　　人脸信息侵权案件有其难以处理之繁杂性，集体诉讼是优于私人诉讼的更优选择。考虑到刷脸纠纷中受害者分散、个人维权成本高、霸王条款横行、举证能力有限等现实情况，《人脸识别司法解释》第14条特别允许法律规定的机关和有关组织提起民事公益诉讼，弥补了相关纠纷中集体诉讼缺位的现状。

　　2021年6月，《数据安全法》在《人脸识别司法解释》之后颁布，为数据处理划定了不得违反法律法规、尊重伦理公德、遵守商业和职业道德的底线，尤其支持可以提升公共服务智能化水平的数据开发利用。《数据安全法》专章规定了数据安全保护义务，提出了落实保护责任、加强风险监测、报送风险评估、留存交易记录等要求。

　　2021年8月，《个人信息保护法》出台，将生物识别信息、金融账户信息列入敏感个人信息范畴，规定只有在具有“特定的目的和充分的必要性，并采取严格保护措施的情形下”才能处理此类信息。

　　根据《个人信息保护法》第55条，处理敏感个人信息前，信息处理者必须进行事前风险评估，当且仅当使用人脸识别技术的收益大于潜在损害时，数据处理者方才可以处理人脸等敏感生物信息。

　　（二）动态规范阙如的规则局限

　　规则的层出叠见，反映出我国政策制定者深刻把握刷脸支付时代的新特征和新要求，持续增强风险预警和溯源能力，加紧完善个人信息保护制度的不懈努力。不过，碎片化的规则探寻容易缺乏对刷脸支付特征共性的整体把握，造成个别的小体制对抽象的大体制的掣肘和抵消。

　　例如，个人生物识别信息保护规则同公共监控信息规则之间就存在互不兼容的情形。《个人信息保护法》第26条规定在公共场所安装图像采集、个人身份识别设备必须为维护公共安全所必需，同时应设置显着的提示标识，而《人脸识别司法解释》第5条第2款却将依据国家有关规定在公共场所使用人脸识别技术作为信息处理者主张其不承担民事责任的依据，全然不顾公共监控机制本应承担个人生物识别信息保护硬件屏障功能的事实。

　　未来立法应当进一步限缩信息处理者的豁免条款，将公共场所人脸识别技术使用重新归入“特定的目的和充分的必要性”规则的检视之中，通过严格立法，从侧面建立健全科技和金融结合机制，为构筑高速、移动、安全、泛在的新一代信息基础设施提供助力。

　　“技术发展‘一日如千年',而人类共同体为约束技术的潜在’为恶后果‘所需的规约设置时间日益赶不上技术创新速度。”技术飞跃与治理提升之间的关联虽早已被政策捕捉，但冗余繁杂的立法却容易失去焦点，陷入规则机械化的窘境。

　　就刷脸支付而论，“《民法典》首次回应了社会所关注的’个人信息‘保护问题，完成了’理性人‘向’信息人‘的过渡，但却未能回应人脸识别信息不可更改性和人格权益属性所提出的特殊保护需求”。以《刷脸公约》为代表的行业自律机制的覆盖范围仅仅局限于线上服务领域，对于线下等其他领域的刷脸支付应用，依然缺乏行业指引。

　　《人脸识别司法解释》充分吸收了个人信息保护立法的经验成果，将积年累月的审判智识浓缩进了本土化的规则解释中，但并未针对支付领域的人脸识别应用发展出细粒度更高的特殊规则。

　　《数据安全法》和《个人信息保护法》虽然对包括人脸信息在内的个人生物识别信息予以了特别保护，并以国家的强制力为后盾、为托底，但面对刷脸支付纵横交错的真实利害格局，是否能够较好地平衡信息主体综合权益保护、金融服务供给侧改革深化以及运用数据服务社会经济发展能力提升等多元诉求，还有待时间的检验。

　　回顾刷脸规制的相关立法进程，其可谓无比艰辛，有制度设计的前后呼应，有利益平衡的深思熟虑，更有凝聚共识的耐心释法。但是，徒法不足以自行，违法违规行为，从不会因为一项制度的产生就销声匿迹。

　　说一千道一万，刷脸支付的法律规制终究是一个系统性工程，在行业行政法规、专业司法解释和个人信息保护法律接踵而至之时，个别规定的解释与适用需额外注意与立法和行政执法相衔接。某些过于粗犷的规则设计，还需结合刷脸支付的技术特征和应用现状不断精细化，才能将《个人信息保护法》框定的“合法、正当、必要”三重保护维度落到实处。

　　（三）审慎乐观的价值路径选择

　　“对人工智能技术的恐惧可以从人类自身使用以及可能产生的效应方面停留在对一般技术的批判层面上，但是这并不意味着人工智能自身发展必然具有并带来一种新型恐惧。”对于刷脸支付的法律规制必须从技术应用的实际风险出发，不可一噎止餐，因认知的莫名恐惧导致行为的矫枉过正。

　　2020年3月，《国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据作为生产要素，同土地、劳动力、资本等传统生产要素相并列。此后，《目标纲要》提及的激活数据要素潜能、将公共数据服务纳入公共服务体系、推动数据赋能全产业链协同转型等，成为我国推动数字转型的顶层设计。

　　在数据要素化的国策下，需要警惕《国标草案》试图将人脸识别限定于“瞬态刷脸”的倾向。事实上，对于敏感信息的去标识化和匿名化足以确保信息处理者与第三方均无法通过特定手段复原敏感信息并识别到个人，完全阻绝对人脸信息的合理二次价值挖掘，有悖于强监管态势下，数据价值“合规有序释放”的政策号召。

　　易言之，“法律规制人脸识别技术的目的，不是一味地叫停该项技术的使用，而是在确保安全的前提下，倡导一种负责任的使用”。

　　为提升社会数据资源价值，鼓励运用大数据、人工智能、云计算等数字技术，在应急管理、疫情防控、资源调配、社会管理等方面更好发挥作用，当务之急是强化数据资源全生命周期安全保护、完善数据分类分级保护制度，而不是机械性地对刷脸行为进行“一刀切”,完全叫停具有巨大商业价值的人脸识别及相关信息处理活动。

　　科技部“伦理先行、敏捷治理”的理念主张积极预防而非被动救济的价值观。例如，可以在自动化决策中引入多方安全计算、同态加密等隐私计算技术，确保人脸信息“可用不可见”,建立信息流动和信息安全的协同保护机制。总之，辩证地看，刷脸支付的各项风险中也孕育着利用技术治理风险的契机。

　　四、刷脸支付的规制框架及规则构建

　　上文分析表明，人脸识别的法律规制已渐次成型，但针对刷脸支付的规则和规范仍以分散式立法的方式分布在不同层级的法律中。在适用位阶不甚明确的阶段，软法和硬法之间的“相互推动”极有可能逐步向“相互推诿”下沉。只有明确刷脸支付的法益衡量标准，通过谱系化的努力建立全周期的外部审查体系，将刷脸支付纳入多样化治理机制的轨道，才能助推既有规则间的“相互增益”,在保障安全的前提下充分释放刷脸支付的潜在效益。

　　（一）重视人格权益的法益衡量标准

　　刷脸支付的技术优势和虹吸效应无可否认，在很大程度上顺应了利用技术提升现代化治理水平、打造智慧城市的发展需求，但刷脸支付技术实现所依托的人脸信息一旦泄露将极大地侵害信息主体的其他民事权益。同刷脸支付环环相扣的后手自动化决策，还有可能对信息主体的人格尊严、平等自由等宪法性基本权利造成损害。

　　因此，“既要充分利用技术革新的便利，也要避免技术泛滥的弊端，理性评估并规制技术适用和个人法益间的平衡才是未来的趋势”。

　　“法律的终极原因是社会福利，技术亦然。”对于社会福利的衡量，公共经济学一直有着大异其趣的两套标准。一套是倡导实质公平的“帕累托标准”,主张社会福利的增加应当同时满足两个条件：（1）资源配置确实使部分人状况变好，（2）部分人状况变好并不意味着另一部分人的状况因此变差。

　　与之相对应的另一套标准是贯彻功利主义原则的“卡尔多—希克斯标准”,认为资源配置可能使部分人受益，也可能使部分人受损，但只要受益者的收益足以赔偿受损者的损失，那么社会福利就是增加的，即便这种赔偿并未实际发生。

　　从《民法典》的相关规定来看，自然人对其个人生物识别信息享有作为民事权益的人格权益，而人格权益属性具备一经成立即附着于复杂社会关系的特殊性，停止侵害、返还财产、赔偿损失、赔礼道歉等责任承担方式均无法在实质上消除个人生物识别信息泄露的恶劣影响。

　　有鉴于此，关涉刷脸支付的社会福利判断标准，宜采用“只有赢家、没有输家”的帕累托标准，毕竟人脸信息的泄露是终极泄露。“终生伴随、唯一无二、不可更改，这些特征都决定了公民生物信息的敏感程度和利用价值远高于一般个人信息，也因此存在特殊风险。”

　　在具体操作层面，金融机构在特定场景中是否推行刷脸支付，应始终将与人格权益联系紧密的个人生物识别信息保护的考量放在首位，而非简单地转化为效益至上或是性能择优问题。在进行《个人信息保护法》第55条所规定的“个人信息保护影响评估”时，金融机构必须更进一步主动采取合理的保障手段，将刷脸支付的潜在风险降至力所能及的最低值，把金融机构的收益、信息主体的收益和潜在的人格权益损害三者间的配比和考量锚定在帕累托标准所允许的区间内。

　　自下而上来看，妥善兼顾个人利益和公共利益、正确处理数字经济隐患和高质量发展需求的关系，37皆应摒弃卡尔多—希克斯标准的功利价值观。一言以蔽之，只有达至个人信息合理合法使用的帕累托最优，数字经济才能健康发展。

　　（二）贯穿支付流程的外部审查体系

　　银行等金融机构在开发特定技术时，容易急于求成，在解决实际问题时倾向于“指哪儿打哪儿”,有业务需求或管理需要时才针对性地发力，并幻想以最少投入获得即时效果，而后续的持续跟进优化环节通常被忽略，开发出来的系统经常“用了就扔”。好在人脸识别的技术门槛较高，银行等金融机构通常无力完全自主研发，一般是通过“第三方硬件+自有算法”的方式，构建自身的刷卡支付体系。

　　第三方硬件通常由刷脸支付终端和三维结构光摄像头两部分组成，其中三维结构光摄像头属精密光学仪器，国内能够到达量产规模的企业数量不多。三维结构光摄像头通过红外发射激光器投出上万个散斑点，根据对光线折回变化实现对位置深度的测算。支付宝采用奥比中光的摄像头，微信支付采用华捷艾米的摄像头，银联则是二者兼有之。

　　在自有算法方面，为了杜绝急于求成的算法开发行为，中国人民银行授权银行卡检测中心（BCTC）对人脸识别算法进行检测，支付宝“face++”算法曾一度未通过检测。银行卡检测中心还同时肩负着依照国际、国家和金融行业有关技术质量标准对刷脸支付终端进行专业技术检测的责任，是具有国家公信力的检测机构。

　　但是，技术层面的检测和把关更多聚焦于算法和设备的识别准确度和支付稳定性，既不能防范人脸识别技术的非合理使用，也不能确保人脸信息的传输和储存安全，更难以杜绝基于刷脸支付的后手自动化决策行为。职是之故，应当考虑以成文法的形式，针对刷脸支付的整体解决方案引入外部审查机制，由无利益相关的同行专家对刷脸支付的“全过程行为”进行审查。

　　进行外部审查的专家委员会应当由中国人民银行分支机构工作人员、当地清算支付协会会员代表、人工智能法学专家以及随机消费者组成。外部审查应当包含四组测试：

　　（1）正当目的测试。刷脸支付中人脸信息的利用是否满足《国标草案》中“仅用于身份识别”的唯一目的，或者在身份识别目的之外的合理商业目的，是否不逾越《个人信息保护法》第6条“与处理目的直接相关、对个人权益影响最小”的够用原则。

　　（2）信息安全测试。在提供刷脸支付服务时，信息处理主体是否充分考虑了个人生物识别信息的敏感性，并采取了与之匹配的安全保护措施，将业界“加强数据资源整合和安全保护”的共同呼吁落实到位。

　　（3）权利保障测试。在推广刷脸支付时，信息处理主体是否采取相应措施保障信息主体的知情权、拒绝权以及获得解释权等，将刷脸支付的潜在风险一一告知，是否为信息主体提供了刷脸支付之外的其他支付手段，且未对其他支付手段设置毫无必要的障碍。

　　（4）歧视鉴别测试。综合信息主体的身份及信息处理主体的数据隅合机制，判断刷脸支付之后的自动化决策，是否有可能对信息主体的平等权、思想与行为自由带来风险，是否有可能在远期对信息主体造成不良的影响。

　　外部审查的标准和强度，应视具体应用场景而定。可以根据《国标草案》中的场景划分，对人脸验证、人脸辨识、人脸分析等场景进行低强度、中强度和高强度的外部审查。在不涉及后手自动化决策的人脸验证和人脸辨识场景，可以完全豁免歧视鉴别测试，并相应降低正当目的测试的强度。总之，专家委员会应对刷脸支付的整体解决方案进行目标明确的审查：

　　一是向上检视个人权益的保护是否与企业正当利益的追求相辅相成，

　　二是向下回溯信息主体对刷脸支付的合理期待是否安全实现。除了满足安全性、规范性、合理性的要求之外，刷脸支付风险的主动防范，还应反映出信息处理主体在维护科技伦理方面最低限度的努力。

　　（三）强化行业自律的多元治理机制

　　1.接口把关和商户准入协调一致

　　截至目前，刷脸支付终端设备的设计标准不统一、人脸数据的采集方式也大相径庭，从《刷脸公约》《个人金融信息保护技术规范》等文件中尚不足以推导出刷脸支付的行业标准，当务之急是构建贯穿“业务受理—服务提供—信息处理”全流程的风险控制机制。

　　在业务受理环节，应严格规范商户准入，银行和第三方平台负有商户适当性审查义务，可以通过白名单制度对商户进行筛选，确保商业资质与功能开放相匹配。在对商户进行适当性审查时，银行和支付平台应当通过完整、深入的尽职调查，严格执行“三证亲见”,配合企业信用信息查询系统、中国支付清算协会信息查询系统等，原则上不对审慎类、限制类、弱小微商户拓展刷脸支付功能。

　　对于授权商户，银行和支付平台还应根据其业务水平、交易情况，动态调整单笔交易限额、日累计交易限额等，在确保商事交易便捷性的基础上“最大限度缩小风险敞口”。在服务提供环节，应当强化刷脸支付终端的精细化管理，可以通过设备入网的思路建立刷脸终端台账，按月巡查终端使用状况，若有异常及时对设备进行维护，并进行记录。

　　在信息处理环节，信息处理者必须严格遵守《信息安全技术个人信息安全规范》的规定，将人脸等生物特征信息与其他身份信息试行隔离储存，避免同身份信息相挂钩的人脸信息的批量泄露风险。

　　刷脸支付各项技术流派众多，信息采集和处理方式差别迥异，金融行业的头部机构应当联合牵头制定全行业共同遵守适用的行业技术规范，打造刷脸支付的“通用语言”,做到人脸信息编码、制式、口径、格式方面的标准统一，保证刷脸支付的底层算法可通过“反事实校验”。同时，明确信息更新和维护的责任主体，保障人脸识别标准的可操作性和全行业跟进。

　　2.普法宣传与合规教育双管齐下

　　刷脸支付革新了支付体验，具备便捷性、智能性、获客成本低、推广效率高等优势，必然会取代传统支付方式，逐渐涵盖金融、清算、医疗、交通、出行和消费的各个方面。虽然人脸识别技术日趋成熟，但数据主体的安全防范意识也举足轻重，不可将个人生物识别信息的安全防护完全系于法律的一纸安排。

　　法谚有云：“法律不保护权利上的睡眠者。”法律能够保护的，只有那些积极主张自身权利的人，而不是那些对权利漠不关心、怠于行使的人。

　　安全防范意识的提升，同人们对技术的认知程度息息相关，支付机构、地方银行等应当加强刷脸支付、个人生物识别信息保护的宣传工作，通过广播电视新闻、横幅标语、线上新媒体撰文、线下活动答疑等方式进行普法教育，向社会公众普及刷脸支付典型案件的犯罪特征和常见风险的防范措施，让文化程度不高、行动不方便的弱势群体在面对刷脸支付时也能坚守一般理性人的清醒和觉察。

　　对作为信息主体的社会公众的普法教育至关重要，对信息处理主体相关工作人员的合规教育也不可或缺。合规教育的根本目的，是通过强化一线人员的合规意识，倒逼信息处理主体主动建立健全针对刷脸支付风险的内控机制，在各个独立的部门之间形成有效的科层制约。

　　即使是在同一家企业内，业务部门是人脸信息的使用者和收益者，系统开发和平台建设却是由技术部门主导的。技术人员在进行刷脸支付模块构建时未必完全了解业务部门的真实诉求，囿于技术壁垒和职权分工，业务人员同技术人员之间的沟通效率存疑，导致刷脸系统的实用性价值大打折扣。

　　在某些大型企业内部，合规部门在业务部门和技术部门之外，就人脸信息的采集、使用的合法性问题，三个彼此独立部门间的沟通和协调可谓难上加难。只有将各个部门的工作人员都置于风险共担的协作场域之中，才能最大限度减少部门间的磨合成本，维护刷脸支付解决方案的合规有效性。

　　为了配合信息处理主体的合规教育，应当推行个别部门的持证上岗管理运行机制。各地方清算支付协会可以负责从业人员的取证要求及合规培训需求的确认，牵头做好考前培训、资格认证和证书发放的组织与管理工作。根据《数据安全法》第27条，开展数据安全培训教育，是保障数据安全、履行数据安全保护义务的重要举措之一。

　　《个人信息保护法》第51条也有类似规定，信息处理者应当就个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取确保信息处理活动符合法律规定的保护措施；制定内部管理制度和操作规程，定期对从业人员进行安全教育和培训是信息处理主体应当依法履行的义务。

　　信息处理主体应定期自行确认参与培训学习的工作人员，在修满规定课时后经考试合格取得相应的岗位证书。在信息处理活动中，在岗工作人员的岗位证书应交由人事部门保存备案。地方清算支付协会根据刷脸支付技术的发展，决定是否对岗位证书进行年审或升级考核。

　　五、结语

　　安全与效率的平衡，是人工智能技术的终极命题。倘若能以“够得着”的方式贯之以“良法善治”,安全与效率之间将不再是顾此失彼的零和博弈，而有望从虚假对立逐渐走向和谐统一。问题在于，资本逐利的天性有意要打破安全和效率的平衡，通过技术的突飞猛进周而复始地推翻着既有的常识和共识，使得一度如鱼得水的规则终将面临降效失能的窘境。

　　易言之，技术的发展势必导致风险的流变，法律的不断追赶或将成为未来的常态。人脸识别技术经历了从单纯的身份识别、信息比对向用户侧写、情感计算的目的拔擢，相应地，刷脸支付也早己脱离“识别人脸、完成支付”的字面意涵，伴随刷脸支付的后手自动化决策，才是问题的关键。

　　在这种情况下，过去建立在确定性之上的互联网法律规则，已经无法以点带面地应对不确定的现代风险。

　　本文从刷脸支付的风险成因入手，详细探讨了当前软硬交织、维度分明但过于刚性、复杂的立法，在规制刷脸支付方面的欠缺和不足。相较于其他大而全的法学研究，本文主要聚焦于刷脸支付这一横跨金融法和人工智能法的细分问题。规制的实质，是为达预定目标而实施的有意义的矫正。

　　为规范刷脸支付技术，确保其以“对个人权益影响最小”的方式作用于“合法、正当、必要”的经济目的，现行的个人信息保护规则、数据安全条例、生物识别信息技术规范等亟待一场有针对性的重构。更重要的是，为应对新兴技术的相互融合，既有法律、法规、规范之间，必须形成积极的交流和相互增益。

　　除此之外，促进技术向善行之有效的手段还包括，通过法律将标准和原则植入技术应用的底层行动逻辑，因势利导出政策制定者期望的结果。

　　综合上述，刷脸支付的动态规制体系，呼吁从公共管理部门向私营机构、从法律规则向社会规范、从事后治理向事前防范的立体化法治结构转型。不惟如是，有的放矢地推动软硬法联动，积极探索包容共享的治理机制，是未来金融科技领域安全与效率兼容的必然路径选择。