刷臉支付自律公約怎么回事 刷臉支付自律公約內(nèi)容是什么

人民網(wǎng)北京1月22日電(張玫) 21日，中國清算協(xié)會官網(wǎng)發(fā)布消息，為規(guī)范人臉識別線下支付應用創(chuàng)新，防范“刷臉”支付安全風險等，中國支付清算協(xié)會組織制定了《人臉識別線下支付行業(yè)自律公約(試行)》。

當前人臉識別廣泛應用于金融領域。根據(jù)廣恒證券2019年發(fā)布的人臉識別報告，金融領域中的人臉識別，主要用途分為身份核驗和場景規(guī)?；瘧谩?/p>

身份核驗，也稱作1:1刷臉，廣泛地被應用于互聯(lián)網(wǎng)金融、銀行的遠程開戶、遠程身份認證、遠程支付，通過“刷臉”的方式進行校驗。

場景規(guī)模化應用也稱作 1:N刷臉，多用在刷臉支付、取款等。其中，人臉識別在銀行領域的業(yè)務點主要有私有云部署、智慧網(wǎng)點改造、自助機具改造、網(wǎng)點 VIP、智慧網(wǎng)點改造等方面。

盡管人臉識別應用廣泛，但由于人臉的弱隱私性，一旦用戶的臉部生物信息被“黑產(chǎn)”從業(yè)者加以利用，通過“換臉”等手段侵入獲取其個人隱私，則用戶將難以保障個人信息和財產(chǎn)安全。

中央財經(jīng)大學教授黃震此前接受人民網(wǎng)記者采訪時表示，“在‘刷臉’支付的過程中存在用戶信息過度采集的情況，只要一‘刷臉’就能和個人的身份驗證等信息相關聯(lián)，這就存在個人隱私被侵犯的風險。一定要高度關注這方面的風險。”

針對“刷臉”支付行業(yè)當前存在的一些安全風險，此次《自律公約》提出“設置單筆及日累計交易限額”“建立刷臉支付突發(fā)事件應急處理機制”“建立健全風險撥備資金、保險計劃、應急處置等風險補償機制”“對不能有效證明因用戶原因?qū)е碌馁Y金損失及時先行賠付”等條款，在一定程度上規(guī)范行業(yè)行為，降低個人信息泄露風險。

以下為《人臉識別線下支付行業(yè)自律公約(試行)》全文：

第一章 總則

第一條 為規(guī)范人臉識別線下支付(以下簡稱刷臉支付)應用創(chuàng)新，防范刷臉支付安全風險，保障會員單位合法權益，維護社會公眾利益。經(jīng)會員單位共同協(xié)商，制定本公約。

第二條 會員單位開展刷臉支付應嚴格執(zhí)行國家及金融行業(yè)的有關法律法規(guī)、技術規(guī)范，自覺遵守協(xié)會各項自律制度規(guī)范，在平等、自愿、公平和誠信的原則下開展服務。

第三條 本公約所稱刷臉支付是指線下特約商戶通過專用受理終端采用人臉識別技術為用戶提供的支付服務。

第四條 公約適用于開展刷臉支付的各會員單位，包括在刷臉支付中提供賬戶管理、轉(zhuǎn)接清算、收單等服務的會員單位。

第五條 會員單位應確保其在刷臉支付中使用的活體檢測、人臉識別等技術指標滿足金融行業(yè)相關要求。

第二章 安全管理

第六條 會員單位應建立人臉信息全生命周期安全管理機制。在采集環(huán)節(jié)，要堅持“用戶授權、最小夠用”，明確告知用戶信息使用目的、方式和范圍，并獲得用戶授權，避免與需求無關的特征采集。在存儲環(huán)節(jié)，將原始人臉信息加密存儲，并與銀行賬號或支付賬號、身份證號等用戶個人隱私進行安全隔離。在使用環(huán)節(jié)，收單機構、商戶等中間環(huán)節(jié)不得歸集或截留原始人臉信息，實現(xiàn)端到端的個人隱私保護。

第七條 會員單位應根據(jù)用戶意愿，為其提供開通或關閉刷臉支付服務。用戶開通刷臉支付時，會員單位應以顯著方式提示用戶注意服務協(xié)議中與其有重大利害關系的事項，采取有效方式確認用戶充分知曉并清晰理解相關權利、義務和責任，提示方式包括但不限于隱私政策、格式條款、短信提示等。

第八條 用戶進行刷臉支付時，會員單位應采用支付口令或其他可靠的技術手段(通過國家統(tǒng)一推行的金融科技產(chǎn)品認證)實現(xiàn)本人主動確權，保障用戶的知情權、財產(chǎn)安全權等合法權益。

第九條 會員單位應確保處理刷臉支付業(yè)務的信息系統(tǒng)滿足物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)備份等國家、金融行業(yè)安全規(guī)范要求。

第十條 從事刷臉支付收單服務的會員單位應嚴格遵守《銀行卡收單業(yè)務管理辦法》(中國人民銀行公告〔2013〕第9號公布)、《非銀行支付機構網(wǎng)絡支付業(yè)務管理辦法》(中國人民銀行公告〔2015〕第43號公布)、《中國人民銀行關于進一步加強銀行卡風險管理的通知》(銀發(fā)〔2016〕170號)、《中國人民銀行關于加強銀行卡收單業(yè)務外包管理的通知》(銀發(fā)〔2015〕199號)等管理要求，承擔收單環(huán)節(jié)支付敏感信息安全管理責任，不得將核心業(yè)務系統(tǒng)運營、受理終端密鑰管理、特約商戶資質(zhì)審核等工作交由外包服務機構辦理。

第十一條 會員單位開展刷臉支付業(yè)務涉及跨行交易的，應當通過中國人民銀行跨行清算系統(tǒng)或具備合法資質(zhì)的清算機構處理。

第十二條 提供賬戶管理、收單服務的會員單位開展刷臉支付業(yè)務應遵守和符合清算機構關于刷臉支付業(yè)務聯(lián)網(wǎng)通用的規(guī)則等要求。

第三章 終端管理

第十三條 會員單位布放或接入的刷臉支付受理終端應符合國家和金融行業(yè)相關標準，并通過國家統(tǒng)一推行的金融科技產(chǎn)品認證。

第十四條 會員單位布放或接入的刷臉支付受理終端應按照《中國人民銀行關于強化銀行卡受理終端安全管理的通知》(銀發(fā)〔2017〕21號)等要求進行登記注冊管理。

第十五條 會員單位布放和接入的刷臉支付受理終端應遵循金融行業(yè)管理及自律有關規(guī)定，支持刷臉支付業(yè)務互聯(lián)互通，避免一柜多機，維護市場良好秩序，促進產(chǎn)業(yè)可持續(xù)發(fā)展。

第十六條 會員單位應建立覆蓋刷臉支付受理終端開通、使用、更換、維護、撤銷等各環(huán)節(jié)的風險管理制度，建立刷臉支付受理終端定期巡檢制度，加強對刷臉支付受理終端的風險控制，及時發(fā)現(xiàn)和排除風險隱患。

第四章 風險管理

第十七條 會員單位應建立交易風險監(jiān)控模型和系統(tǒng)，有效監(jiān)測可疑交易和異常行為，及時進行分析處置，保障交易安全。

第十八條 會員單位應按照銀行卡收單業(yè)務管理相關監(jiān)管規(guī)定，加強刷臉支付特約商戶資質(zhì)審核和日常管理，建立健全商戶風險評級管理制度及黑名單管理制度，建立刷臉支付特約商戶檢查制度。

第十九條 會員單位應結合用戶信用狀況、風險程度等因素，對用戶刷臉支付可開通的交易類型進行限制，通過協(xié)議約定交易限額，并采取有效風控措施保障交易和用戶資金安全。

第二十條 會員單位應結合特約商戶風險等級及交易類型等因素，設置或與其約定刷臉支付單筆及日累計交易限額。

第二十一條 中國支付清算協(xié)會、清算機構應將刷臉支付特約商戶納入特約商戶信息管理系統(tǒng)及黑名單管理機制。拓展特約商戶時，提供收單服務的會員單位應進行查詢確認，并按規(guī)定向中國支付清算協(xié)會、清算機構特約商戶信息管理系統(tǒng)、風險信息管理系統(tǒng)報送特約商戶基本信息及其風險信息。

第二十二條 會員單位應建立刷臉支付突發(fā)事件應急處理機制，及時有效化解刷臉支付風險。

第二十三條 會員單位應及時向監(jiān)管部門和中國支付清算協(xié)會報告刷臉支付業(yè)務開展情況、市場發(fā)展動態(tài)及發(fā)生的重大風險事件等信息。

第五章 用戶權益保護

第二十四條 會員單位應建立用戶刷臉支付投訴處理流程，明確投訴受理責任部門和責任人，向客戶告知客服電話、在線客服等受理投訴的渠道。

第二十五條 會員單位應及時處理客戶提出的差錯爭議和投訴，建立健全風險撥備資金、保險計劃、應急處置等風險補償機制，對不能有效證明因用戶原因?qū)е碌馁Y金損失及時先行賠付。

第二十六條 會員單位應建立用戶刷臉支付安全教育制度及流程，培養(yǎng)用戶良好的刷臉支付安全習慣。

第六章 附則

第二十七條 本公約與國家法律、法規(guī)和監(jiān)管部門規(guī)章不一致的，依照有關法律、法規(guī)和監(jiān)管部門規(guī)章執(zhí)行。

第二十八條 本公約由中國支付清算協(xié)會負責解釋和修訂。

第二十九條 中國支付清算協(xié)會組織對會員單位公約執(zhí)行情況的監(jiān)督檢查，對于違反公約的行為可根據(jù)《中國支付清算協(xié)會自律懲戒實施辦法》實施自律懲戒。

第三十條 本公約自中國支付清算協(xié)會發(fā)布之日起實施。