界面新聞?dòng)浾?| 高佳

界面新聞編輯 | 翟瑞民

2023年5月21日，北京地鐵大興機(jī)場(chǎng)線刷掌乘車發(fā)布會(huì)舉行，標(biāo)志著北京軌道交通開啟“刷掌”乘車時(shí)代。北京市交通委在接受媒體采訪時(shí)稱，此次刷掌乘車服務(wù)在大興機(jī)場(chǎng)線的試點(diǎn)是掌紋生物識(shí)別技術(shù)首次在軌道交通場(chǎng)景進(jìn)行應(yīng)用。

大興機(jī)場(chǎng)線“刷掌”支付技術(shù)由微信支付提供。5月21日，騰訊正式發(fā)布微信“刷掌”支付，這是繼掃碼支付、指紋支付、刷臉支付后，微信推出的又一新支付方式。

微信方面介紹稱，“刷掌”支付采用“掌紋+掌靜脈”識(shí)別技術(shù)，具備無(wú)介質(zhì)、非接觸、高便捷、高安全等特點(diǎn)。

其實(shí)，“刷掌”支付并非新技術(shù)。早在2020年9月，亞馬遜已研發(fā)出手掌掌紋識(shí)別技術(shù)Amazon One，最初應(yīng)用于零售實(shí)體店的繳費(fèi)環(huán)節(jié)，實(shí)現(xiàn)刷“手”結(jié)賬。2023年3月，據(jù)路透社報(bào)道，亞馬遜的手掌識(shí)別支付技術(shù)“Amazon One”已經(jīng)推廣至全球200多個(gè)地點(diǎn)。

在國(guó)內(nèi)，移動(dòng)支付服務(wù)主要提供商阿里、騰訊等在掌紋識(shí)別領(lǐng)域均有布局和嘗試。2021年8月，“刷掌”支付開始進(jìn)行微信內(nèi)部技術(shù)預(yù)研。天眼查APP顯示，2022年3月，騰訊公司申請(qǐng)了“刷掌設(shè)備”專利，7月26日獲得授權(quán)，預(yù)估在2032年3月24日到期。2022年10月14日，“微信刷掌支付”小程序上線，在深圳部分商家接入刷掌支付設(shè)備進(jìn)行測(cè)試。

2022年2月，國(guó)家知識(shí)產(chǎn)權(quán)局公開了一份阿里的發(fā)明專利，專利名稱為“身份識(shí)別方法、裝置、終端以及存儲(chǔ)介質(zhì)”，申請(qǐng)保護(hù)一種掌靜脈識(shí)別的方法和運(yùn)用這種方法的設(shè)備。天眼查App顯示，近期，支付寶（杭州）信息技術(shù)有限公司多個(gè)掌紋支付專利已獲授權(quán)，包括掌紋識(shí)別設(shè)備、收銀設(shè)備等。

西安交通大學(xué)自動(dòng)化學(xué)院教授鐘德星告訴界面新聞，掌紋識(shí)別技術(shù)在學(xué)術(shù)層面的研究進(jìn)行已久，“刷掌”支付的技術(shù)優(yōu)勢(shì)首先體現(xiàn)在其安全性。

“掌紋識(shí)別依賴的是掌紋和掌靜脈結(jié)合所實(shí)現(xiàn)的多模識(shí)別，即雙重驗(yàn)證。”鐘德星稱，“從硬件設(shè)備上來說，識(shí)別設(shè)備采用可見光補(bǔ)光和紅外補(bǔ)光技術(shù)，兼具可見光和近紅外攝像頭，用戶只需將手掌出示到攝像頭前，設(shè)備就能同步采集到掌紋和掌靜脈數(shù)據(jù)。這兩種數(shù)據(jù)難以被同時(shí)偽造?！?/span>

鐘德星還提到“刷掌”支付高精度的特點(diǎn)，“掌紋識(shí)別技術(shù)比虹膜識(shí)別的精度還要高，更不容易出錯(cuò)?！钡瑫r(shí)，他認(rèn)為，盡管“刷掌”支付在安全性方面具有優(yōu)勢(shì)，而要實(shí)現(xiàn)大規(guī)模推廣，還是有較大難度。

“在第三方支付領(lǐng)域，掌紋識(shí)別很難取代二維碼，它在性價(jià)比和效率方面都缺乏優(yōu)勢(shì)?！辩姷滦侵赋?，也就是“具體到不同的應(yīng)用場(chǎng)景中，這種支付方式可以給大家提供多一種選擇?！?/span>

早在“刷掌”支付技術(shù)落地之前，業(yè)內(nèi)就不乏聲音認(rèn)為，生物識(shí)別支付方式是未來移動(dòng)支付的重要趨勢(shì)。當(dāng)前，掌紋識(shí)別技術(shù)應(yīng)用到支付領(lǐng)域，也引發(fā)人們對(duì)信息安全和隱私保護(hù)的擔(dān)憂。

“掌靜脈識(shí)別確實(shí)比人臉更安全，但是這一領(lǐng)域的立法和監(jiān)管完善了嗎？”日前，有網(wǎng)友針對(duì)“刷掌”支付技術(shù)的監(jiān)管問題提出疑問。對(duì)此，騰訊支付相關(guān)負(fù)責(zé)人日前表示，“刷掌”乘車服務(wù)通過采用數(shù)據(jù)脫敏和數(shù)據(jù)加密技術(shù)，可有效地保證用戶的安全使用，騰訊方面也將嚴(yán)格按照國(guó)家的相關(guān)法律要求進(jìn)行管理。

三位美國(guó)參議院議員曾在給亞馬遜CEO的公開信中指出，掌紋是和面部特征一樣的生物識(shí)別信息，不能像賬戶、密碼等信息一樣被隨意改變，和用戶個(gè)人是唯一對(duì)應(yīng)的，如果泄漏很可能影響到用戶。

北京觀韜中茂（上海）律師事務(wù)所合伙人、律師吳丹君告訴界面新聞，美國(guó)至今尚未在聯(lián)邦層面對(duì)生物標(biāo)識(shí)和生物識(shí)別信息的保護(hù)作出統(tǒng)一規(guī)定，但對(duì)該領(lǐng)域的立法和實(shí)踐探索隨著生物識(shí)別技術(shù)的落地應(yīng)用而不斷發(fā)展。

美國(guó)于2019年頒布《商業(yè)人臉識(shí)別隱私法案》，對(duì)人臉識(shí)別信息的商業(yè)化使用進(jìn)行規(guī)制。美國(guó)參議院曾于2020年審議《國(guó)家生物識(shí)別信息隱私法案》，擬通過該法案對(duì)生物標(biāo)識(shí)和生物識(shí)別信息的收集和披露進(jìn)行規(guī)制，保障個(gè)人信息主體的訴權(quán)，并明確企業(yè)對(duì)生物標(biāo)識(shí)和生物信息的保護(hù)義務(wù)。

“近日，美國(guó)聯(lián)邦貿(mào)易委員會(huì)發(fā)布了一份關(guān)于規(guī)范生物識(shí)別數(shù)據(jù)的使用以及《美國(guó)聯(lián)邦貿(mào)易委員會(huì)法》第五條的政策聲明，強(qiáng)調(diào)打擊利用消費(fèi)者生物識(shí)別信息進(jìn)行商業(yè)欺詐的行為?！眳堑ぞ榻B。

中國(guó)信息通信研究院等曾在2020年發(fā)布《生物識(shí)別隱私保護(hù)研究報(bào)告》指出，隨著生物識(shí)別信息的大規(guī)模應(yīng)用，用戶隱私與安全保護(hù)問題逐漸暴露，引發(fā)在用戶個(gè)人信息收集和使用方面的風(fēng)險(xiǎn)。生物識(shí)別信息與個(gè)人身份高度綁定，且具有不易變更的特點(diǎn)，生物信息泄露、信息缺乏授權(quán)、深度偽造等問題嚴(yán)重威脅廣大用戶的切身利益，生物識(shí)別信息的濫用將帶來嚴(yán)重的社會(huì)問題。

目前，我國(guó)尚未專門制定針對(duì)掌紋和掌靜脈信息的管理規(guī)范。此前在2021年11月正式施行的個(gè)人信息保護(hù)法對(duì)敏感個(gè)人信息設(shè)專節(jié)保護(hù)。根據(jù)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》，掌紋、掌靜脈信息是個(gè)人生物識(shí)別信息，正屬于敏感信息的范疇。

界面新聞也注意到，2023年4月，全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)在其官方公眾號(hào)發(fā)布消息稱，該委員會(huì)正在推動(dòng)《人體生物特征識(shí)別多模態(tài)識(shí)別 掌紋掌靜脈融合識(shí)別系統(tǒng)技術(shù)規(guī)范》的標(biāo)準(zhǔn)立項(xiàng)工作。

除了目前在交通場(chǎng)景的應(yīng)用，“刷掌”支付還在向辦公、校園、健身、零售、餐飲等領(lǐng)域拓展。在技術(shù)相關(guān)標(biāo)準(zhǔn)尚未完善的情況下，技術(shù)服務(wù)提供者、監(jiān)管方應(yīng)采取哪些措施、行動(dòng)規(guī)避和監(jiān)管“刷掌”支付可能帶來的信息安全風(fēng)險(xiǎn)？

吳丹君認(rèn)為，服務(wù)提供者首先需保障生物識(shí)別信息的安全，事前開展個(gè)人信息保護(hù)影響評(píng)估，遵循最小必要原則明確該場(chǎng)景下的生物識(shí)別信息的處理目的、處理方式、采集范圍和應(yīng)采取的保障措施。其次，需保障個(gè)人信息主體的合法權(quán)益，按照個(gè)人信息保護(hù)法向擬使用“刷掌”支付的個(gè)人信息主體進(jìn)行明確告知并獲取單獨(dú)同意。同時(shí)，其還需明確告知個(gè)人信息主體撤回同意的方式，及時(shí)響應(yīng)其權(quán)利請(qǐng)求。最后，其需及時(shí)應(yīng)對(duì)個(gè)人信息侵害風(fēng)險(xiǎn)，在開展生物識(shí)別信息處理活動(dòng)時(shí)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，及時(shí)采取補(bǔ)救措施。

“監(jiān)管方需結(jié)合‘刷掌’支付的技術(shù)特點(diǎn)和潛在風(fēng)險(xiǎn)盡快出臺(tái)及切實(shí)執(zhí)行相應(yīng)法律文件，規(guī)范服務(wù)提供者的生物識(shí)別信息處理行為。另一方面，亦需采取措施加強(qiáng)與‘刷掌’支付優(yōu)勢(shì)和風(fēng)險(xiǎn)防范相關(guān)的法治宣傳，提高個(gè)人信息主體的保護(hù)意識(shí)和保護(hù)能力?！眳堑ぞQ。

吳丹君還建議，用戶和消費(fèi)者在選擇使用“刷掌”支付前應(yīng)謹(jǐn)慎考慮自身采取該支付方式的必要性，并仔細(xì)考察服務(wù)提供者是否具備相應(yīng)資質(zhì)及是否在隱私政策等文件中清晰披露個(gè)人信息處理規(guī)則。

“當(dāng)不再使用‘刷掌’支付時(shí)，建議用戶及時(shí)聯(lián)系服務(wù)提供者或按照服務(wù)提供者提供的方式撤回同意，刪除相應(yīng)生物識(shí)別信息?！眳堑ぞㄗh，“用戶和消費(fèi)者應(yīng)提高信息敏感性和權(quán)利保護(hù)意識(shí)，在自身個(gè)人信息權(quán)益受到侵害時(shí)，積極根據(jù)個(gè)人信息保護(hù)法等法律規(guī)定維護(hù)自身權(quán)益?！?/span>