疫情下的刷脸支付短暂休克危中有机
随着时间的持续,新冠疫情对经济的影响正在持续显露。
以离我们生活最近的刷脸支付来说,疫情不仅降低了社会对其的关注热度,也使得原本蓄势待发的支付“大战”偃旗息鼓,一些支付机构和商户甚至开始蒙受损失。北京市网络法学研究会副秘书长,中国政法大学互联网金融法律研究院研究员车宁认为,刷脸支付作为支付领域科技含量最高、扩展应用最广、发展空间最大的支付形式,其蓬勃发展早已箭在弦上,来势汹汹的疫情对其也无非是暂停而非终止。
业内:刷脸支付存在一定风险
车宁表示,从目前情况看,疫情对刷脸支付的冲击主要源自两个方面:一是疫情及随之而来的恐慌心理和管控措施使客流较往年同期大大减少,支付机构难以拓展或维护业务,商户无法正常展业,进而影响了收入,也抑制了设备升级和营销开展的热情。二是佩戴口罩等个人防控手段使依赖脸部生物特征识别的刷脸支付难以进行,扫码支付、近场支付(NFC)、指纹支付的比较优势反而得以显现。
某种程度上来说,疫情带来的业务暂停,为我们提供了一个更好的机会去认识刷脸支付的风险。
此前,在金融网络安全论坛上,央行科技司司长李伟提到,在网络空间仅依靠人脸等单一特征进行金融交易验证,存在严重交易隐患。
这里,可以划两个重点:并非是所有形式的人脸支付应用都存在严重交易安全隐患,而是同时符合“在网络空间(即线上交易)”和“依靠人脸等单一特征进行验证”两个条件的人脸支付。
针对这两点,李伟也曾发文表示,针对生物识别尤其是人脸识别技术在支付领域应用的观点,其中有两点值得注意:
1、由于安全性差别悬殊,刷脸支付的线上和线下应用场景应予以谨慎区分。
2、人脸识别支付需要体现用户资金的自主支配权,“人脸识别+支付口令”是目前兼顾安全与便捷的实现方式。
国家金融与发展实验室特聘研究员董希淼也表示,支付的便捷性必须建立在安全性基础之上。人脸是非常敏感的个人信息,不宜将人脸作为支付的唯一交易验证因素。
此前,央视曝光在互联网平台“转转”上,5000余张人脸照标价10元。
车宁也认为,刷脸支付潜藏着一定的风险,而且这种风险在疫情期间更加凸显:
一则,作为支付介质的人脸持续暴露在公开环境下很容易被不法分子所利用;
二则,作为安全信息储备的生物特征信息库可能被攻破或泄露,引发人对自身隐私、精神安宁的担忧;
三则,不同于条码、密码,人脸几乎不可再生(修改);
四则,人脸信息一方面与人身份高度相关,另一方面又是安全工具延伸,在“人法”和“物法”的适用上存在两难而莫衷一是——前者着眼于“公平”,强调坚守法律原则,捍卫人的精神权利的不可侵犯性;后者着眼于“效率”,强调制度因时而变,促进社会物质生产的快速发展。
他进一步提出,刷脸支付的风险还不限于此。从交易方式看,刷脸支付在支付流程上的变革弱化了交易意愿的验证及其法律效力,由此带来了资金安全隐患。由于人脸的被动性(不能够主动发起交易)和非接触性(不需要和设备直接接触),对客户是否本人、是否具有交易意愿的验证客观上也就合二为一了。从后果看,单纯刷脸对客户交易意愿的验证很是薄弱,且在很大程度上缺少证明效力,一方面使得客户有可能在不具有交易意愿的情况下“无感”支付蒙受损失,另一方面机构也可能因为验证缺失、举证薄弱而被不良客户欺诈。
实际上,除以上方面外,刷脸支付更深层次的挑战还在于社会心理的变化,而疫情的出现更使得这种挑战雪上加霜。种种迹象表明,曾经占尽天时(金融科技演进的历史趋势)、地利(电商、社交等高频场景及生态优势)、人和(数字普惠金融逐渐覆盖的长尾客户),颠覆式改造支付结算乃至整个资金融通机制风貌的移动支付行业正在快速滑向大分化的边缘——
鸿沟的一边是继续狂飙突进的支付产业,在这里,刷脸支付作为迄今技术含量最高、便捷体验最好的解决方案,逐渐展现了其相对于条码支付乃至指纹支付的比较优势,在其微微侧漏的“霸气”之下,移动支付比以往任何时候都更接近极致快捷、沉淀数据的价值追求;而鸿沟的另一边则是日渐恐慌疑惧的公众舆论,在这里,刷脸支付的资金安全、信息安全乃至存在必要都被逐一质疑,而在某些“阴谋论”者的眼中更是成为身份固化和社会控制的工具。
正所谓“等闲变却故人心,却道故人心易变”,短短数年光景,人心变幻至此、生态撕裂如斯,长此以往必将撼动刷脸支付持续发展的根基。
前景难测但合规和核心竞争力是关键
尽管风险难以排清,但刷脸支付已经成为社会发展的必然趋势,即使其遭遇疫情短线冲击,从中长期看刷脸支付依然魅力不减,危中有机,来自市场竞争的力量仍将推动其发育成长。
车宁强调,在支付方式的演进更迭中,商业而非技术才是最为关键的主导因素,这从条码支付先前在与近场支付的较量中就不难看出。正是凭借更低廉的成本、更便捷的投放、更丰富的场景,条码支付克服了自身在速度、安全性上相对于近场支付的不足,一举奠定了其在支付市场的主导地位。因此,刷脸支付能否将上述爆发潜力转化为现实,关键还看其能否提供相对于成本而言更高的收益。
对于疫情下的刷脸支付,车宁认为,市场波澜不惊的表象之下其实隐藏着“图穷匕见”的势能,疫情的发生、成本的挑战更多像是“暂停键”而非“休止符”,与其为疫情忧心忡忡,不如对未来好好筹谋。而筹谋的关键在于把握节奏,时止则止,时行则行,动静不失其时,方可“其道光明”。
一方面要高度重视合规,在商业策略上,虽然目前受疫情影响,线下业务受到冲击,原本的竞争策略也无法有效展开,但也不应“有病乱求医”,盲目在受到冻结的线上场景进行扩张,反而应潜心研究在2B(特别是大B)、2G等场景的解决方案,积极布局疫后发展。
另一方面要坚守核心竞争力,基于商户竞争而后再根据自身资源,发挥产品、场景、客流、解决方案等等方方面面的优势。
在他看来,从超越疫情而从长远来看,刷脸支付的健康可持续发展还有赖于社会其他方面的助力,监管层面要继续规范刷脸支付的使用场景,如继续冻结开放网络下的线上支付、坚持一定的额度控制,多策并举遏制“黑色产业”搞技术军备竞赛的积极性等;行业层面要探索安全技术在高频交易环境下的高效使用,并在探索中逐渐形成对具有行业公共色彩的前沿技术进行联合攻关的公共研发机制,在自律组织引导下形成技术开发与规范治理的齐头并进。
除此之外,国家要加强立法,特别是金融消费者权益保护和个人信息安全的专门立法,消费者也要加强自我保护,充分利用诉讼、投诉等机制主张权利,这些也同样是推动刷脸支付真正走向成熟的关键。
写在最后
今年的1月21日,中国支付清算协会发布的关于印发《人脸识别线下支付行业自律公约(试行)》的通知(以下简称“自律公约”)自律公约提出规范刷脸支付应用创新,防范刷脸支付安全风险,保障会员单位合法权益,维护社会公众利益。值得业内深思。
自律公约指出,用户开通刷脸支付时,会员单位应以显著方式提示用户注意服务协议中与其有重大利害关系的事项,采取有效方式确认用户充分知晓并清晰理解相关权利、义务和责任,提示方式包括但不限于隐私政策、格式条款、短信提示等。
从事刷脸支付收单服务的会员单位应严格遵守《银行卡收单业务管理办法》(中国人民银行公告〔2013〕第9号公布)、《非银行支付机构网络支付业务管理办法》(中国人民银行公告〔2015〕第43号公布)、《中国人民银行关于进一步加强银行卡风险管理的通知》(银发〔2016〕170号)、《中国人民银行关于加强银行卡收单业务外包管理的通知》(银发〔2015〕199号)等管理要求,承担收单环节支付敏感信息安全管理责任,不得将核心业务系统运营、受理终端密钥管理、特约商户资质审核等工作交由外包服务机构办理。
会员单位应建立交易风险监控模型和系统,有效监测可疑交易和异常行为,及时进行分析处置,保障交易安全。
根据自律公约,会员单位应结合特约商户风险等级及交易类型等因素,设置或与其约定刷脸支付单笔及日累计交易限额。会员单位应建立刷脸支付突发事件应急处理机制,及时有效化解刷脸支付风险。
此外,会员单位应及时处理客户提出的差错争议和投诉,建立健全风险拨备资金、保险计划、应急处置等风险补偿机制,对不能有效证明因用户原因导致的资金损失及时先行赔付。
目前,支付宝、微信支付、银联都已经正式入局人脸支付市场,但总体而言,目前人脸支付产业发展尚不成熟,市场也还没成气候。业内专家建议,“刷脸付”产品应从市场上其他产品中吸取经验教训,注重安全性与便捷性的统一,并从业务、技术、风控等多方面保障安全。未来随着政策不断完善,市场也会趋于稳定。