界面新聞記者 | 高佳
界面新聞編輯 | 翟瑞民
2023年5月21日,北京地鐵大興機場線刷掌乘車發(fā)布會舉行,標(biāo)志著北京軌道交通開啟“刷掌”乘車時代。北京市交通委在接受媒體采訪時稱,此次刷掌乘車服務(wù)在大興機場線的試點是掌紋生物識別技術(shù)首次在軌道交通場景進行應(yīng)用。
大興機場線“刷掌”支付技術(shù)由微信支付提供。5月21日,騰訊正式發(fā)布微信“刷掌”支付,這是繼掃碼支付、指紋支付、刷臉支付后,微信推出的又一新支付方式。
微信方面介紹稱,“刷掌”支付采用“掌紋+掌靜脈”識別技術(shù),具備無介質(zhì)、非接觸、高便捷、高安全等特點。
其實,“刷掌”支付并非新技術(shù)。早在2020年9月,亞馬遜已研發(fā)出手掌掌紋識別技術(shù)Amazon One,最初應(yīng)用于零售實體店的繳費環(huán)節(jié),實現(xiàn)刷“手”結(jié)賬。2023年3月,據(jù)路透社報道,亞馬遜的手掌識別支付技術(shù)“Amazon One”已經(jīng)推廣至全球200多個地點。
在國內(nèi),移動支付服務(wù)主要提供商阿里、騰訊等在掌紋識別領(lǐng)域均有布局和嘗試。2021年8月,“刷掌”支付開始進行微信內(nèi)部技術(shù)預(yù)研。天眼查APP顯示,2022年3月,騰訊公司申請了“刷掌設(shè)備”專利,7月26日獲得授權(quán),預(yù)估在2032年3月24日到期。2022年10月14日,“微信刷掌支付”小程序上線,在深圳部分商家接入刷掌支付設(shè)備進行測試。
2022年2月,國家知識產(chǎn)權(quán)局公開了一份阿里的發(fā)明專利,專利名稱為“身份識別方法、裝置、終端以及存儲介質(zhì)”,申請保護一種掌靜脈識別的方法和運用這種方法的設(shè)備。天眼查App顯示,近期,支付寶(杭州)信息技術(shù)有限公司多個掌紋支付專利已獲授權(quán),包括掌紋識別設(shè)備、收銀設(shè)備等。
西安交通大學(xué)自動化學(xué)院教授鐘德星告訴界面新聞,掌紋識別技術(shù)在學(xué)術(shù)層面的研究進行已久,“刷掌”支付的技術(shù)優(yōu)勢首先體現(xiàn)在其安全性。
“掌紋識別依賴的是掌紋和掌靜脈結(jié)合所實現(xiàn)的多模識別,即雙重驗證?!辩姷滦欠Q,“從硬件設(shè)備上來說,識別設(shè)備采用可見光補光和紅外補光技術(shù),兼具可見光和近紅外攝像頭,用戶只需將手掌出示到攝像頭前,設(shè)備就能同步采集到掌紋和掌靜脈數(shù)據(jù)。這兩種數(shù)據(jù)難以被同時偽造。”
鐘德星還提到“刷掌”支付高精度的特點,“掌紋識別技術(shù)比虹膜識別的精度還要高,更不容易出錯?!钡瑫r,他認(rèn)為,盡管“刷掌”支付在安全性方面具有優(yōu)勢,而要實現(xiàn)大規(guī)模推廣,還是有較大難度。
“在第三方支付領(lǐng)域,掌紋識別很難取代二維碼,它在性價比和效率方面都缺乏優(yōu)勢?!辩姷滦侵赋觯簿褪恰熬唧w到不同的應(yīng)用場景中,這種支付方式可以給大家提供多一種選擇。”
早在“刷掌”支付技術(shù)落地之前,業(yè)內(nèi)就不乏聲音認(rèn)為,生物識別支付方式是未來移動支付的重要趨勢。當(dāng)前,掌紋識別技術(shù)應(yīng)用到支付領(lǐng)域,也引發(fā)人們對信息安全和隱私保護的擔(dān)憂。
“掌靜脈識別確實比人臉更安全,但是這一領(lǐng)域的立法和監(jiān)管完善了嗎?”日前,有網(wǎng)友針對“刷掌”支付技術(shù)的監(jiān)管問題提出疑問。對此,騰訊支付相關(guān)負(fù)責(zé)人日前表示,“刷掌”乘車服務(wù)通過采用數(shù)據(jù)脫敏和數(shù)據(jù)加密技術(shù),可有效地保證用戶的安全使用,騰訊方面也將嚴(yán)格按照國家的相關(guān)法律要求進行管理。
三位美國參議院議員曾在給亞馬遜CEO的公開信中指出,掌紋是和面部特征一樣的生物識別信息,不能像賬戶、密碼等信息一樣被隨意改變,和用戶個人是唯一對應(yīng)的,如果泄漏很可能影響到用戶。
北京觀韜中茂(上海)律師事務(wù)所合伙人、律師吳丹君告訴界面新聞,美國至今尚未在聯(lián)邦層面對生物標(biāo)識和生物識別信息的保護作出統(tǒng)一規(guī)定,但對該領(lǐng)域的立法和實踐探索隨著生物識別技術(shù)的落地應(yīng)用而不斷發(fā)展。
美國于2019年頒布《商業(yè)人臉識別隱私法案》,對人臉識別信息的商業(yè)化使用進行規(guī)制。美國參議院曾于2020年審議《國家生物識別信息隱私法案》,擬通過該法案對生物標(biāo)識和生物識別信息的收集和披露進行規(guī)制,保障個人信息主體的訴權(quán),并明確企業(yè)對生物標(biāo)識和生物信息的保護義務(wù)。
“近日,美國聯(lián)邦貿(mào)易委員會發(fā)布了一份關(guān)于規(guī)范生物識別數(shù)據(jù)的使用以及《美國聯(lián)邦貿(mào)易委員會法》第五條的政策聲明,強調(diào)打擊利用消費者生物識別信息進行商業(yè)欺詐的行為?!眳堑ぞ榻B。
中國信息通信研究院等曾在2020年發(fā)布《生物識別隱私保護研究報告》指出,隨著生物識別信息的大規(guī)模應(yīng)用,用戶隱私與安全保護問題逐漸暴露,引發(fā)在用戶個人信息收集和使用方面的風(fēng)險。生物識別信息與個人身份高度綁定,且具有不易變更的特點,生物信息泄露、信息缺乏授權(quán)、深度偽造等問題嚴(yán)重威脅廣大用戶的切身利益,生物識別信息的濫用將帶來嚴(yán)重的社會問題。
目前,我國尚未專門制定針對掌紋和掌靜脈信息的管理規(guī)范。此前在2021年11月正式施行的個人信息保護法對敏感個人信息設(shè)專節(jié)保護。根據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》,掌紋、掌靜脈信息是個人生物識別信息,正屬于敏感信息的范疇。
界面新聞也注意到,2023年4月,全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會在其官方公眾號發(fā)布消息稱,該委員會正在推動《人體生物特征識別多模態(tài)識別 掌紋掌靜脈融合識別系統(tǒng)技術(shù)規(guī)范》的標(biāo)準(zhǔn)立項工作。
除了目前在交通場景的應(yīng)用,“刷掌”支付還在向辦公、校園、健身、零售、餐飲等領(lǐng)域拓展。在技術(shù)相關(guān)標(biāo)準(zhǔn)尚未完善的情況下,技術(shù)服務(wù)提供者、監(jiān)管方應(yīng)采取哪些措施、行動規(guī)避和監(jiān)管“刷掌”支付可能帶來的信息安全風(fēng)險?
吳丹君認(rèn)為,服務(wù)提供者首先需保障生物識別信息的安全,事前開展個人信息保護影響評估,遵循最小必要原則明確該場景下的生物識別信息的處理目的、處理方式、采集范圍和應(yīng)采取的保障措施。其次,需保障個人信息主體的合法權(quán)益,按照個人信息保護法向擬使用“刷掌”支付的個人信息主體進行明確告知并獲取單獨同意。同時,其還需明確告知個人信息主體撤回同意的方式,及時響應(yīng)其權(quán)利請求。最后,其需及時應(yīng)對個人信息侵害風(fēng)險,在開展生物識別信息處理活動時加強風(fēng)險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時,及時采取補救措施。
“監(jiān)管方需結(jié)合‘刷掌’支付的技術(shù)特點和潛在風(fēng)險盡快出臺及切實執(zhí)行相應(yīng)法律文件,規(guī)范服務(wù)提供者的生物識別信息處理行為。另一方面,亦需采取措施加強與‘刷掌’支付優(yōu)勢和風(fēng)險防范相關(guān)的法治宣傳,提高個人信息主體的保護意識和保護能力。”吳丹君稱。
吳丹君還建議,用戶和消費者在選擇使用“刷掌”支付前應(yīng)謹(jǐn)慎考慮自身采取該支付方式的必要性,并仔細(xì)考察服務(wù)提供者是否具備相應(yīng)資質(zhì)及是否在隱私政策等文件中清晰披露個人信息處理規(guī)則。
“當(dāng)不再使用‘刷掌’支付時,建議用戶及時聯(lián)系服務(wù)提供者或按照服務(wù)提供者提供的方式撤回同意,刪除相應(yīng)生物識別信息?!眳堑ぞㄗh,“用戶和消費者應(yīng)提高信息敏感性和權(quán)利保護意識,在自身個人信息權(quán)益受到侵害時,積極根據(jù)個人信息保護法等法律規(guī)定維護自身權(quán)益?!?/span>