一、人脸识别支付的兴起与发展
人脸识别支付是结合人工智能、机器学习、三维结构光、在线支付等技术实现的新型支付方式,通过识别终端读取消费者的面部数据,上传至数据库比对并确认消费者身份,而后锁定消费账户进行支付。2013年,芬兰创业公司Uniqul推出全球首个人脸识别支付平台。支付宝2015年公开演示人脸识别支付服务并在2018年推广应用。
在传统的支付方式中,随身携带现金、银行卡等容易丢失存在不便,扫码支付要求随身携带手机且保持网络通畅。而人脸识别支付具有便捷性,用户仅需前期输入面部信息并将账号与银行卡进行绑定。
在人脸识别支付应用场景下,用户无需再记忆多个账号或密码,也不必因为忘记或混淆不同账号的密码而烦恼,由此可以避免因密码泄露、遗忘或输入错误导致账号冻结等情况的发生。消费者仅需根据支付指令做出眨眼或点头的简单动作即可完成支付,所需时间短,操作简便。人脸识别支付技术风险和使用成本较低,相较于其他方式更易于推广。
人脸识别支付适应新形势下减少接触、保持距离的防疫要求。2021年11月,百度自动驾驶巴士“Robobus”在重庆永州商业化试运行,乘客可以通过百度自研的打卡机实现戴着口罩支付公交费用。
2022年iOS15.4开发版增加了“戴口罩使用面容ID”的开关,用户可以根据设置提示录入面部信息,在戴口罩情况下进行面容ID的支付,该项服务已经适配支付宝和微信钱包,支付简便快捷,在公共场合也无需摘下口罩,减少用户被传染的风险。
二、人脸识别支付的法律风险
(一)财产盗刷、误刷风险
一是不同支付平台实现人脸识别的技术存在精确度差异。人脸识别支付服务是建立在人脸识别这一基础上的,支付服务必然受人脸识别的精确度影响。由于各支付平台实现人脸识别采取的算法、训练样本的规模不同,人脸识别技术的精确度存在差异。
支付宝和微信宣称其服务的识别精度达到99%,这是支付机构在大规模投资人力物力进行研究的基础上实现的,而其他支付平台或提供人脸识别服务的企业,由于研究成本受限、训练样本不足、地区之间资源不平衡、信息流通存在障碍等诸多情况,难以达到如此高的识别度。
二是人脸识别稳定性不足。人脸识别受图像大小、分辨率、光照条件、遮挡程度、采集角度等因素的影响,视频中人脸采集还会受到杂音、色彩分辨度等因素影响。此外,面部成长变化、表情、妆容等都会在一定程度上影响识别准确度,导致人脸识别支付的稳定性受到影响。
三是人脸识别技术可被破解,给支付安全带来带来极大挑战。人脸识别技术是将捕捉到的图像或视频中的用户面部图像数据化,并与数据库中的个人信息进行比对,由于人脸信息暴露在外,获取人脸数据比窃取密码、指纹等较为简单。目前法律法规尚未对识别的精确度有门槛或限制,消费者面部生物信息难以得到保障,存在盗刷、误刷导致消费者财产损失的风险。
(二)隐私泄露风险
人脸识别的初级阶段是人脸身份验证(或称人脸辨识),即识别和确定进行人脸识别的对象身份,该阶段是实现人脸识别支付服务的基础。面部生物信息在身份识别之外,还异化为人脸识别分析机制,即人脸识别的高级阶段。主要针对消费者的性别、年龄、种族、面部情感、五官比例等进行分析,判断消费者的情绪和心理状态。人脸识别的“情感计算”技术可以通过消费者眼神和表情状态识别其情绪和心理。
在支付场景中,为推动产品销售及长期用户的培养,商家有分析消费者的情感和消费偏好的倾向,因此部分商家未经消费者许可,通过店内的摄像头进行人脸识别的案例屡见不鲜。目前,各地多以规章、条例规制非法采集人脸信息的行为。商家在人脸识别支付的同时判断消费者即时的心理和情绪,推定消费偏好,通过碎片化的数据整合,消费者逐渐成为透明人,隐私权和自决权在这一过程中存在被侵害的风险。
(三)数据安全风险
尽管实现人脸识别的技术不同,但训练人脸识别技术的精确度均需要较大规模的数据集。处于研发阶段的企业要优化人脸识别技术不可避免地需要收集大量的面部信息,面部信息被多方主体收集,消费者面部信息数据泄露的风险就会增加。面部信息属于敏感个人信息,其收集和使用均需获得用户明示的同意,数据处理也会受到限制,但法律法规并未设置收集敏感个人信息的企业门槛。
不同企业的数据存储能力和数据风险防范能力参差不齐,无门槛限制地收集敏感个人信息易引发数据安全担忧。2020年,为美国联邦调查局等600家执法机构提供人脸识别系统的Clearview AI公司遭遇30亿张人脸数据被泄露,引发美国社会的巨大担忧。
面部信息一旦遭到泄露,结果是不可逆的,消费者可能在不知情的情况下被识别身份,并遭到侵害。支付机构的商业性和趋利性决定了其更关注人脸识别数据可能带来的商业利益而非信息保护管理义务的承担。
此外,人脸识别技术所带来的风险尚存在一定的不确定性,部分国家和地区禁止在公共场所使用人脸识别技术。2020年,欧盟发布《欧盟人工智能白皮书》,明确提出在3~5年内禁止人脸识别技术应用于公共场所,以评估该技术风险,并保留在未来进一步加强该技术监管的可能性。
2020年,美国参议院Jeff Merkley提出《道德使用人脸识别法案》法案,要求暂时禁止美国政府机构使用人脸识别技术,直到国会委员会形成政府使用准则和限制条件,以防止人脸识别技术侵犯公民隐私权、自由权等基本权利。在国家创新驱动发展与数字经济发展的推动下,人脸识别支付凭借自身独特优势发展迅速,但该种支付方式潜在的风险需予以关注。通过法律制度建构来防范和化解人脸支付风险,以推动该项支付方式持续健康发展。
三、人脸识别支付法律制度的演进路径
目前我国针对人脸识别支付的规制有待完善,针对人脸识别技术、敏感个人信息的规范较多,但规定之间存在矛盾冲突。《民法典》前位阶较低的立法更关注技术的应用问题,对于信息的保护和数据权益并未落实;《民法典》后位阶较高的立法更关注对于个人信息的保护和数据权益尊重,规定较为原则、笼统。人脸识别支付的法律制度处于不断演进优化的进程中。
(一)《民法典》颁布前的技术规则建构阶段
在《民法典》颁布之前,对于人脸识别支付的法律制度主要集中于规范人脸识别技术标准的规范性文件,明确了个人生物识别信息的收集程序和保护规范。2015年,中国人民银行颁布《非银行支付机构网络支付管理办法》,明确了支付机构采集、使用、存储信息范围最小化原则和目的告知原则。
2016年11月,《网络安全法》中将生物识别信息归为个人信息的范畴,进一步确认了个人信息收集、使用应当遵循合法、正当、必要的原则和知情同意原则,并明确了侵犯用户个人信息权益的主管单位和直接责任人的法律责任和处罚。
2020年,中国支付清算协会发布的《人脸识别线下支付行业自律公约(试行)》定义了刷脸支付的概念,对人脸识别支付应用单位从安全管理、终端管理、风险管理和用户权益保护方面进行了规定。《个人金融信息保护技术规范》针对提供金融产品和服务的金融业机构适用,将个人生物识别信息和银行卡、网络支付密码、交易密码等确定为C3级别。对于生物识别信息,不应委托无金融相关资质的机构收集,同时应防止其被未授权的第三方获取,采取加密的方式进行传输和存储。
2020年,全国信息安全标准化技术委员会发布《信息安全技术个人信息安全规范》,对于包括个人生物识别信息在内的敏感个人信息设置了“单独告知,明示同意”的知情同意规则。
(二)《民法典》后的权益保障阶段
2021年《民法典》施行后,关于人脸识别支付的立法较多关注数据主体的权益保护。《民法典》设立人格权编对个人隐私和信息保护进行规范,虽没有正式确立个人信息权,但通过对侵犯自然人个人信息的行为进行规制的方式保护包括生物识别信息在内的个人信息,将非法收集、适用、加工、传输、买卖、提供、公开个人信息的行为视为一般侵权,为个人信息权益受侵害的自然人提供了救济途径。
2021年《数据安全法》建立数据分级分类保护制度、数据安全风险评估、监测预警机制。确立重要数据的处理者应当明确数据安全负责人和管理机构,对数据处理活动定期开展风险评估,加强风险监测,落实数据安全保护责任。
2021年《个人信息保护法》将生物识别信息确立为敏感个人信息,并对敏感个人信息处理规则进行明确,要求处理应取得单独同意,法定情形下应取得书面同意,信息处理者告知处理必要性及对个人权益影响。有关人脸识别支付这一阶段的立法,不仅将立法的等级提高到了法律的级别,在立法价值取向上也更加注重保护个人信息权益和数据安全风险防范。
可见,《民法典》颁布后人脸识别支付的立法趋势更为重视个人信息权益和数据安全风险防范,这表明法律的价值衡量在数据利用和数据保护之间作出选择。但随着数字经济的广泛应用,仅关注于数据保护显然不利于数字产业的发展。
在未来,人脸识别支付法律制度的立法完善阶段,除关注人脸识别支付的技术规范、权益保护、数据安全等要素外,还需发现和挖掘人脸识别支付的特殊优势,在一定程度上保障支付机构的数据权益和增值利益,促进数字经济的可持续发展。
四、人脸识别支付的法律治理路径
人脸识别支付法律制度构建的关键是平衡数据利用与数据保护之间的关系。欧盟的人脸识别规制更为倾向于数据主体的数据保护,美国的人脸识别规制更为倾向于实现商业化的数据利用,在允许商业人脸识别应用的同时,限制公共部门对人脸识别的应用。从现行法律体系可以看出我国人脸识别法律制度的价值平衡选择为保护个人面部生物识别信息安全,但随着我国人脸识别支付广泛应用,人脸识别支付的法律制度还需兼顾促进数据利用。
(一)健全多元协同监管规范模式
一是鼓励大型支付平台联合制定行业规范,形成人脸识别支付的通用标准。目前人脸识别支付的规制呈现以行业自律为特色的模式,具象化的引导支付平台操作流程的规则多以行业规范和自律公约的形式出现。
行业规范的强制性较弱,但对于指引支付平台的发展具有积极作用,也为更高层级的立法奠定基础。针对支付平台之间实现人脸识别的算法不同、数据采集方式各异,带来的人脸识别精度存在差异、支付服务不稳定等问题,应继续完善行业标准规范,并结合当前算法的技术发展程度,综合平衡各方的权利义务,从支付平台的规模资质、使用算法的精度以及线下识别设施的硬件标准、人脸数据存储的安全系数等多重标准进行规制,形成统一的、便于监管、执行性强的平台管理规则。
对算法精度不高、技术落后、配套设施不完善的支付平台提供的人脸识别支付服务持审慎的态度,原则上不对小微商户拓展人脸识别支付功能。
二是设置专门的数据保护机构,加强行政监管的力度。当前法律法规、行业规范对支付机构提出了系列要求,但在可操作性和责任承担方面仍难以落实。人脸识别信息出现安全问题的后果是不可逆的,其对于消费主体的侵害也不易察觉,因此公众提起诉讼解决纠纷容易错过防范危机的最佳时刻。
应在事前对人脸识别支付充分采取监管措施,对于提供人脸识别支付服务机构的准入资质、识别技术等情况进行审核备案,确保识别的精确度和识别结果的非歧视性。同时,应定期针对信息安全保障设施和数据管理情况进行审计,检查支付机构是否采取隔离存储方式,将人脸信息与其他一般身份信息分别存储并采取加密措施,建立人脸数据查询、使用、修改、批量存储的痕迹可追踪系统,并对支付机构的应急预案和风险防范机制进行综合考量,将不符合要求的支付机构纳入黑名单,并责令其采取整改措施。
(二)采用差异化的知情同意方式
不同于一般个人信息,人脸信息获取可以通过不易察觉的方式实现,与其他生物信息(如指纹)也有较大区别。在一些场景下,即使用户没有采取特定方式配合,面部信息也能采集成功,这与指纹识别、密码输入大不相同。因此,在采集面部信息时,应当采用差异化的知情同意方式。
根据《信息安全技术个人信息安全规范》,知情同意要“确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示”。在实践中,让用户知情的方式主要是支付平台在收集信息前提醒用户查阅相关的《隐私协议》和《服务协议》,在用户勾选“我已知情”的选项后,视为用户对于相关事项已经知情并表示同意,由此进入下一步数据收集操作。
在该阶段中,用户通常面对的是冗长的格式条款。以支付宝开通人脸识别服务时向用户提供的《生物识别通用规则》为例,该《规则》重点介绍“刷脸验证服务”对于多个账户的影响,要求消费主体同意人脸信息的收集与处理等事项,对于消费者关心的数据安全事项并未详细说明。消费者若要查询相关事项,需查找《支付宝隐私政策》《蚂蚁集团隐私权政策》等多项协议,可见用户获取信息的过程过于繁琐。
此外,由于缺乏相关知识作为理解基础,以及信息不对称等因素,消费者即使阅读相关政策,也不应认为其完全理解知情。该知情同意规则异化成为平台通过隐私协议免除自身责任的一种方式,极易形成表面符合该原则,但实质上由消费者承担不利后果的现象。
因此,在知情同意原则被架空的情形下,针对人脸识别支付服务应采用更严格的知情同意方式。建议采取书面化使用规则,消费者对于人脸识别的条款以电子签名的方式进行授权;优化隐私条款,通过采用表格、结构图等方式对于冗长的隐私协议做提炼;进行用户调查,对用户的数据安全问题作出重点解释,或采用视频等方式向用户说明。
(三)完善人脸识别支付的安全标准
平衡数据保护和数据利用,加强支付机构人脸识别的安全标准是尤为重要的。消费者对于人脸识别支付的态度存在两个误区:第一,基于人脸识别支付所带来的数据风险,部分消费者对其持否定态度。第二,部分消费者基于人脸识别支付的无成本和便利,对其所带来的数据风险存在漠视。消费者存在认知误区,需从修正人脸识别支付的安全隐患来进行缓解。
针对第一误区,消费者由于缺乏相应的知识不会使用新型支付方式,或者担心自身的数据安全不愿接受新型支付方式。究其原因还是人脸识别支付技术存在的技术壁垒、安全隐患和频繁出现的人脸数据泄露事件,增加了消费者的心理恐慌。
此类消费者片面认为拒绝使用新技术就不会导致数据安全问题的发生,却忽视因为拒绝学习、使用新技术带来的与时代脱节的问题,极易成为“数据弃民”,给自身生活带来极大的不便。解决第一误区,从法律制度的角度需加强支付机构人脸识别技术规范,完善人脸识别支付的风险预警机制,切实保障消费者的面部生物识别数据安全。
针对第二误区,部分消费者认为接受人脸支付服务无需支付对价,是无成本的,便忽视了在接受服务过程中提供用户信息的价值以及存在的数据安全风险。“数字理性”主体不应把享受服务视为无成本消费或搭便车,而应理解为提供包括人脸信息在内的个人信息是获取支付服务的对价。
解决第二误区,首先需要加强支付机构的准入门槛和人脸生物信息算法的资质标准,确保消费者的个人生物信息的安全性。其次,通过产权界定明确支付机构对于个人面部生物信息的使用权限、方式和范围,规范支付机构对个人面部生物信息的使用。再次,明确隐私声明、服务协议等格式条款的规范要求,明确消费者享有的权利和支付机构承担的义务。最后,明确消费者在账号注销后行使删除权的程序,以及权利救济的途径。
五、结语
人脸识别支付作为一种极具发展潜力的新型支付方式,是新型技术与传统服务结合的典型范例。技术的发展应用必然会给立法带来新的挑战,新技术新服务只有在合理平衡各方权利义务的基础上才能更好的发展完善。
针对人脸识别支付容易引发的财产权、隐私权等法律风险,立法应及时回应。在人脸支付行业积极尝试创新的同时,监管机构应积极在事前、事中主动介入,履行监管审查的职责,防止损害结果的发生。消费者是个人生物信息的提供者,也是损害的最终承受者。
人脸识别支付的损害具有不可逆性,这就要求对于个人面部生物信息需要制定系统性的法律规范来防范人脸识别数据风险,在制度设计上保护数据主体的权益,促进数字经济的发展。