摘要:刷脸支付是人脸识别技术应用于支付领域的产物,其带来高效便利的同时也使得消费者个人信息安全面临挑战。在大数据时代下,亟需政府、企业和个人重视对消费者个人信息安全的保护,具体应完善国家立法,落实政府监管,增强企业行业自律,以实现对消费者个人信息的保护。
中国银行保险监督管理委员会、中国人民银行2019年9月29日发布的《2019年中国普惠金融发展报告》指出,我国使用电子支付的成年人比例达82.39%,可见高效便捷的电子支付已逐渐取代传统的现金支付方式。继扫码支付后,刷脸时代已经悄然而至。人们时常玩笑道:“现在是个看脸的时代”,当人脸识别技术应用于支付领域时,刷脸支付不再是梦想,玩笑已然成真。2019年11月初,国内“人脸识别第一案”引发大家对该项技术安全与否的讨论,民众开始冷静、理智地看待人脸识别技术,思考该项技术在应用过程中所带来的安全隐患,对此也产生了一系列疑问:“刷脸支付”靠得住吗、[1]“刷脸支付”为何叫好不叫座[2]等。
一、刷脸支付概述
(一)刷脸支付的定义
根据北京互联网法院2019年8月17日发布的《互联网技术司法应用白皮书》可知:人脸识别技术,是通过图像或视频流中检测和跟踪人脸,再基于人的面部特征信息进行身份识别的一种生物识别技术。刷脸支付是人脸识别技术在支付领域中的应用,通过该项技术将提取的面部特征信息与政府机关授权所保存的人脸图像进行比对核验,以个人面部信息替代原有的密码或指纹,从而真正实现消费者的快捷支付。
(二)刷脸支付的主要优势
1.具有新颖性,提升消费者支付体验。
移动支付的方式包括:短信支付、二维码支付、指纹支付以及刷脸支付四种。刷脸支付和指纹支付属于生物识别,相较于其他支付而言,具有专属性和唯一性。[3]刷脸支付的优势之一是非接触性,当使用其他三种方式支付时需要使用手机,需要通过手机来验证“你就是你”,而刷脸支付只需要将个人面部对准摄像头,匹配成功之后点击确认即可完成支付,速度更快,且通过“你的脸就是密码”这一理念,让消费者体验到“无感支付”的新颖便捷。根据最新数据,我国的刷脸用户数已破亿,其中“90后”占据主流。[4]
2.提高运营效率,降低人工成本。
采用刷脸支付,对于客户和商家而言,是双赢。在购物、用餐付款时经常会出现排长队情况,时有发生消费者之间、消费者和收银员之间的冲突,而刷脸支付正好可以有效解决这一问题。采用刷脸支付,可以极大地节省付款时间,有效缓解排队支付现象。有报道指出,一台刷脸机器相当于1.5个收银柜台,一天相当于3个收银员,这既节约了商家的人工成本,也增长了运营效率。
3.更加智能化,利于商家及时调整营业策略。
通过刷脸支付,商家可以采集到消费者的个人支付信息。利用对支付信息的数据处理便可详细分析消费者的消费趋势、消费习惯等,[5]商家可以有针对性地及时调整营业策略,更好地迎合消费者,满足消费者多样的消费需求。
二、刷脸支付对消费者个人信息保护带来的挑战
在信息化的大数据时代,人们重视个人信息的安全和保护,但人脸识别却第一次在法律诉讼层面成为主角。浙江理工大学郭兵副教授以杭州野生动物世界未经其同意强制收集个人生物识别信息,严重违反《消费者权益保护法》为由,起诉对方。[6]“人脸识别第一案”的出现,让人们重新认识和冷静思考该项技术的利弊。指纹信息和面部信息同属于个人生物识别信息,为何指纹识别可以广泛应用推广,却对刷脸支付要保持谨慎态度?
(一)个人面部信息是行走的密码
指纹支付,是通过提前在手机设置中录入自己的指纹信息,在交易时验证是否同预留指纹一致即可,可操作性强,不用担心遗忘密码或密码被窃取等问题。而人的面部自出生就暴露在公众面前,容易忽略其生物特征隐私性较弱的特点。最新的人脸识别技术可以通过对人面部表情的深度识别,来识别性别、计算年龄和计算个体心理真实情感。当随处可见的摄像头和人脸识别技术结合时,我们的个人面部就成了行走的密码。
(二)个人面部信息存在泄露的风险
中央财经大学黄震教授在接受人民网记者采访时指出,在消费者使用刷脸支付的过程中存在个人信息被过度采集的情况,即只要使用刷脸便会与个人身份验证等信息发生关联,这就存在个人隐私被侵犯的风险。[7]而一旦面部信息被泄露后,消费者唯一的身份数据就此消失,且永远没有办法更换和再生,将导致公民失去对个人面部信息的控制能力,造成个人信息扩散范围和用途的不可控,可能会给个人信息主体的人身和财产带来巨大的安全隐患。近日,有媒体报道,某网络商城有商家公开兜售“人脸数据”,其数量高达17万条。[2]若刷脸支付后的个人面部数据为不法分子所用,将会严重危害消费者的个人信息安全。
(三)侵犯消费者个人信息安全
刷脸支付会通过人脸识别技术采集消费者的个人信息,包括:支付信息和个人面部信息。对于所采集的消费者支付信息,商家可以通过消费者的支付时间、支付金额、购买产品等相关信息,用大数据分析便可轻易、准确了解消费者的年龄层次、消费趋势以及购物习惯等。的确,这有助于商家制定有针对性的销售策略,但利用消费者的个人信息进行统计分析的行为是否合法呢?目前法律对此并没有相关的规定。
消费者的个人面部信息属于个人生物识别信息,具有专属性和不可更改性,可以通过面部信息精确对应到消费者本人,一旦被泄露,将无法弥补。2019年2月,国内一家企业被曝发生大规模数据泄露事件,超过250万人的数据可被获取,其中包括个人身份信息、人脸识别信息等。[9]信息泄露已在现实生活中发生,难道坐以待毙,任其侵犯我们的个人信息安全吗?我国《消费者权益保护法》是以“消费者权利———经营者义务”作为立法结构而展开,但没有涉及由于支付方式侵犯消费者个人信息安全所应承担的法律责任。
三、刷脸支付下消费者个人信息保护的完善路径
(一)完善国家立法
面部信息属于个人生物识别信息,笔者在北大法律信息网上进行检索,发现我国并没有专门针对“个人生物识别信息”的立法,仅是在相关的法律法规中有初步涉猎,没有明确个人生物识别信息的内涵。并且我国关于“个人生物识别信息”的相关法律多集中于反恐、安全和出入境管理领域,并没有涉及到支付领域对生物识别信息的采集、储存、使用、保管、删除等程序的规定,建议对个人生物识别信息保护进行专门性立法,具体细化规定相关主体的权利义务和法律责任。[10]
虽然我国《消费者权益保护法》第十四条规定了消费者个人信息保护权,第二十九条规定了经营者采集、使用消费者个人信息的原则,第五十条、第五十六条规定了当经营者侵害消费者个人信息应承担的法律责任,但《消费者权益保护法》对于消费者个人信息权的保护仍缺乏全面详尽的规定,尤其是对于新型刷脸支付方式的法律规制是远远不够的。对此,在建立健全我国生物识别信息的法律规制上,可以借鉴欧盟及美国等通行的个人信息保护原则,如:公开性原则、限制性原则、数据与质量原则、责任与安全原则、个人信息权利保护原则以及集体诉讼制度等。[11]同时可以建立在线解决纠纷机制和互联网纠纷集中审理模式,由信息控制者承担举证责任等方式来解决消费者取证难中的相关技术问题。
(二)落实政府监管
目前,我国有工业和信息化部门(简称工信部),但是工信部目前的职能主要是规划保障通信、负责通信网络安全及相关信息安全管理等,而对于刷脸支付带来的个人信息安全没有起到主要监管作用。政府缺少专门机构来规制行业行为、保护消费者个人信息安全。政府的事前、事中、事后监管组织衔接程序欠缺,需要建立及完善事前的风险防范措施、事中的监管机制以及事后的惩戒机制。
1.建立市场准入制度。
对于采用刷脸支付相关企业应要求其报备如下内容:人脸信息的使用边界、目的、保管方式、使用时限、删除方式、应急处理能力等,并要求企业全面记载其信息处理活动,对所有信息处理活动有据可查。这不仅是对企业的信息安全管理提出要求,同时也为监管机构提供了监管执法的依据。[11]
2.建立平时巡视审查制度。
使用刷脸支付的过程中,监管部门应对企业采集、处理消费者的人脸信息是否符合法律规范进行定期审查、评估及监督,及时发现企业的不规范行为,并责令其纠正,避免造成无法挽回的信息泄露事件。根据日常审查记录,对人脸识别应用过程中存在的潜在风险进行预测,以积极引导并制定相应的应急处理措施。[13]
3.建立完善追责惩戒机制。
当个人面部信息不慎泄露而损害消费者权利时,要求控制人脸信息的企业及时向相关监管部门报告信息泄露事故的性质、涉及的信息主体和人数范围、信息数量、相关联系人的联系方式、可能导致的后果以及已经采取和准备采取的措施。[11]监管部门根据信息泄露行为追溯源头并进行治理,防止类似行为再度出现。对于严重违反信息保护相关法律法规的企业,根据事故性质、情节、造成危害等情形对其进行惩戒。
(三)增强企业行业自律
1.制定行业自律公约。
面对刷脸时代的挑战,美国从保证信息安全和自由流动角度出发,既有国家层面法律法规的引导规制,又有社会企业层面的行业自律规范的管理制约。鉴于美国行业自律的优势,我国清算协会官网于2020年1月21日发布消息,为规制人脸识别技术在支付领域的应用、防范刷脸支付的风险等,中国支付清算协会组织制定了《人脸识别线下支付行业自律公约(试行)》。该试行公约虽然短短三十条,但公约中规定的建立消费者刷脸支付投诉处理程序、刷脸支付突发事件应急处理机制、对无法有效证明资金损失责任及时先行赔付等条款,在一定程度上能够规范企业行为,降低个人信息泄露风险。
2.尊重消费者知情权、选择权。
企业商户在消费者使用刷脸支付时,获得法律授权是前提,需以消费者可获悉的方式告知风险,征得本人同意。这是从知情权角度出发,针对消费者个人信息保护应该采用“消费者参与模式”。以目前普遍使用的支付宝为例,在消费者选择开通刷脸支付时,系统会提示消费者阅读《生物识别服务通用规则》,但存在提示不醒目、规定较笼统等问题。
3.自主报备及妥善保管、处理。
首先,刷脸支付涉及到消费者个人面部信息的保护,任何使用该项技术的企业商户都必须主动接受政府监管。因此,对于提供刷脸支付的服务方,包括在刷脸支付中提供账户信息管理、信息储存、清算收单等服务的商户,在使用刷脸支付之前都应向相关监管部门进行报备,便于政府监管。其次,在对消费者个人面部信息进行保管上,采集面部信息的企业必须做到妥善保管,其保管和使用面部信息的范围应当以采集面部信息时的目的为界限,不得基于非法目的采集使用消费者的个人面部信息,不得将面部信息数据贩卖给他人以牟取私利。[15]最后,采用刷脸支付的企业,对于面部信息的妥善保管固然重要,但不能忽视,明确使用时限、采用安全的销毁方式也是避免信息泄露的关键环节。对于面部信息的采集、存储、使用、传输、保管、披露、销毁等各个环节都应当依法合规。[16]
(四)消费者个人风险防范及救济方法
1.理性对待刷脸支付,避免盲目跟风。
消费者无论是授权APP进行刷脸支付还是到店使用“银联刷脸支付”之前,有必要充分了解刷脸支付这一新型支付模式。虽然刷脸支付可以提高用户体验感,但应当知晓具有唯一性的面部信息被泄露的损害后果是不可逆的。即使如支付宝承诺“你敢付我敢赔”,其赔付的也仅是财产损失。较于财产损失而言,影响更为严重的是消费者的个人信息安全、人身安全,甚至造成社会不稳定等。
2.树立安全意识,及时行使“删除权”。
授权使用刷脸支付的消费者,即个人面部信息的权利主体,在一定情况下享有对自己信息进行删除的权利,即要求信息控制者删除与自己相关的所有信息,并停止进一步传播。对于信息主体的删除权,我国工信部颁布的《信息安全技术、公共及商用服务信息系统个人信息保护指南》中规定了与之相类似的信息主体的禁止权,即该指南的删除阶段规定了信息主体行使删除权的四种情形:有正当理由的;达到信息使用目的;超出授权使用期限的;信息管理企业终止的。而依据欧盟《一般数据保护条例》规定,赋予信息主体可以根据自身情况随时撤回同意的权利,即信息主体有权随时反对数据控制者基于其授权处理个人信息。信息主体撤回授权或信息控制者无权继续控制、处理信息时,信息主体除了有权要求信息控制者删除信息,还可以要求其对公开传播的信息进行删除、进而通知第三方停止利用并删除。[18]
基于以上国内外法律法规文件对信息主体赋予的删除权,消费者在授权企业采集处理其面部信息时,不仅要详细了解被授权主体制定的规则,更要知悉自己作为权利主体,在被采集信息后如何保护自己的个人信息不被非法处理、利用。
3.完善消费者权利的救济途径。
即使消费者享有知情权、删除权,但由于个人生物识别信息具有极高的商业性价值,被盗用的可能性较大。因此,需要对泄露消费者个人面部信息的救济途径进行完善。
首先,消费者可以向监管机构提出申诉,或者是向消费者保护协会进行投诉,若是监管者、消协未予处理或未在规定时间内处理抑或是对其处理意见不满,则可以对其提起行政诉讼。
其次,信息泄露导致消费者人身权、财产权等权利遭受损失时,消费者可以提起民事诉讼,要求泄露信息的企业承担责任,并可以起诉相关责任人,如:监管者、信息控制处理者,要求其承担相应的责任。
最后,信息泄露事件往往伴随着大批消费者主体的信息集体被泄露,此时,消费者可以提起集体诉讼,或者是向有关部门反映,从而启动公益诉讼,来维护自己的权利。
参考文献:
[1]张利娟.“刷脸支付”靠得住吗?[J].中国报道,2019(11).
[2]左雨晴.刷脸支付为何叫好不叫座?[J].新产经.2019(11).
[3]黄春美.基于人脸识别的第三方支付系统[D].扬州:扬州大学,2018.
[4]魏薇.“刷脸支付”迎巨头数十亿补贴整容也能解锁吗?[EB/OL].
[5]余芳.大数据背景下网络消费者个人信息保护的研究[J].吉林工商学院学报,2017(1).
[6]朱健勇.法学博士起诉野生动物世界[N].云南法制报,2019-11-06.
[7]河北省互联网信息办公室.“刷脸”支付或迎爆发式增长享受便利仍需注意盗刷风险[EB/OL].
[9]王林,孙吉.AI安防企业被曝数据泄露敲响人脸识别安全警钟[EB/OL].
[10]付微明.个人生物识别信息的法律保护模式与中国选择[J].华东政法大学学报.2019(6).
[11]京东法律研究院.欧盟数据宪章:《一般数据保护条例》GDPR评述及实务指引[M].北京:法律出版社,2018.
[13]崔建.大数据时代个人信息保护问题研究---基于政府监管的分析视角[D].石家庄:河北经贸大学,2017.
[15]李媛.大数据时代个人信息保护研究[D].重庆:西南政法大学,2016.
[16]付微明.大数据时代个人生物识别信息法律保护的重要意义[J].研究生法学.2019(4).
蒋淑旭,胡丹.刷脸支付下消费者个人信息的法律保护[J].山西省政法管理干部学院学报,2020,33(04):43-46.
基金:甘肃政法大学2019年度研究生科研创新项目“人脸识别技术的法律规制”(项目编号:2019004);甘肃政法大学国家级大学生创新创业训练计划项目“人脸识别技术的行政法规制”(项目编号:202011406007)的阶段性成果.
分享:
医疗纠纷第三方调解作为一种新型的纠纷解决机制,在实践中发挥着特有的制度优势。由于我国的医疗纠纷第三方调解机制尚处于起步阶段,公众对此缺乏了解,促使公众深入了解医疗纠纷第三方调解机制的基本知识和政策成为关键因素。通过强化政府部门的宣传力度、加强医疗纠纷人民调解委员会宣传机制的建设、加大新闻媒体宣传以及普及医学知识。
2022-03-11社会治理现代化是国家治理体系和治理能力现代化的重要组成部分,市域是推进社会治理现代化的关键环节和主要阵地,是依法治国落实在基层的生动实践。在推进市域社会治理现代化进程中,要创新市域社会治理方式手段,发挥政治引领作用、法治保障作用、德治教化作用、自治强基作用以及智治支撑作用,完善相关法律问题。
2022-03-04在司法保护实践中,知识产权维权案件具有周期长、举证难、赔偿低的特点。我国知识产权保护惩罚性赔偿立法,经历了早期部门立法、政策推动、立法完善三个阶段。它在司法审判、保护创新方法,有正面意义;同时,它存在立法层级不统一、保护手段单一、惩罚程度偏低等不足。期待制定统一的知识产权立法,使用多元保护机制,以案例指导审判。
2021-10-292010年最高人民法院《关于审理非法集资刑事案件具体应用法律若干问题的解释》第1条规定除去刑法中有规定的外,同时满足四个条件的,应当认定为非法吸收公众存款罪,这四个条件分别为:未经相关依法批准;公开形式向社会宣传;承诺一定时间归还本金、利息或是给予相应回报;针对社会不特定对象吸收资金。
2021-10-212020年《预防未成年人犯罪法》的修订基本勾勒出我国未成年人分级处遇制度的适用情形、责任主体及具体矫治措施,调整和修改了原矫治措施中已被废止或在实践中难以得到适用的内容,意味着我国未成年人权益保障迈向了新阶段。但现有的修订内容依然在部分问题上未作有效回应,针对专门教育矫治措施的适用对象混同、适用程序相对粗糙,专门教育指导委员会的构成与定位同其权责内容的非统一性,部分规则内容与其他部门法的衔接不当等问题均会对随后的立法施行带来实质影响。
2021-09-23从技术特点来看,区块链作为一种底层式的技术架构,在当代社会中发挥了重要作用。在比特币价格急剧变动的背景下,区块链技术受到了诸多的关注。近年来,在我国相关发展战略、优惠政策等大力支持下,使得区块链技术的适用范围得到了进一步推广。在传统工作中,区块链多是集中在货币、金融等相关性领域。近几年来,已经深入拓展到了社会治理领域中。但任何事物的发展都需要从两个角度进行分析,在正视到区块链技术迅速发展所带来的优势的同时,也需要看到其中所存在的弊端。在区块链的应用中仍然存在着许多问题,导致其积极作用并未得到充分发挥,甚至
2021-08-30《民法典》关于婚姻家庭的规定表明,家庭在当代中国的社会生活中仍然具有基础意义。但法律实践面对着如何安顿家的棘手难题,作为家庭之价值基础的孝道与现代法治也存在着结构性张力。回应这个难题,需要清楚界定家庭与孝道在结构上的重叠和价值上的整合关系。法律语境下的家庭具有公法和私法双重属性,文化性和社会性两种结构,以及立法克制与司法建构双轨的公共道德面向。
2021-08-28《民法典〈婚姻家庭编〉》第1088条将离婚经济补偿制度的适用范围扩大到了所有的夫妻财产制类型。有效厘定离婚经济补偿制度的构成要素并总结过往的司法适用经验,对《民法典》生效后的落实具有重要意义:条件要素的厘定是离婚经济补偿制度的基础;时间要素的厘定是离婚经济补偿制度价值实现的时间维度;方式要素的厘定是离婚经济补偿制度意思自治实现的前提;标准要素和形式要素的厘定是离婚经济补偿制度落实的保障;司法适用是离婚经济补偿制度运行的指南。
2021-08-28回顾整个刑法学发展史,人们对于刑罚的目的认知经历了从单一的报应刑到以报应刑为基础兼顾改造教育的预防刑这样一个发展历程,这也是人们常说的刑事古典学派和刑事实证学派在刑罚观上最大的分野。被处以监禁刑的服刑人员在刑满释放之后,面临着再度融入社会的问题。监禁刑的执行必须牢牢把握改造罪犯是为了促使其顺利回归社会这一核心宗旨,打破监禁执行的隔绝状态,对症施策,提升教育改造的针对性。
2021-08-24在刑法理论上有必要厘清未必的违法性认识、违法性错误以及违法性认识可能性之间的区别。未必的违法性认识和违法性错误之间,应从作为违法性认识本质的认识的侧面来区别。处罚以未必的违法性认识实施的行为时,根据具体案情可能存在阻却责任或减轻刑罚的情况,但阻却责任的根据不是缺乏违法性认识的可能性,而是缺乏期待可能性。在确定是否存在期待可能性时,应考虑行为人计划实施行为的违法严重性、会危及什么利益、放弃行为造成的损害严重性、行为是否可以推迟直至获得明确的信息时再进行,这些情况都可能导致责任被阻却。当客观上法律状态不明确、
2021-08-17我要评论
期刊名称:中国司法
期刊人气:983
主管单位:中华人民共和国司法部
主办单位:司法部司法研究所
出版地方:北京
专业分类:政法
国际刊号:1009-329X
国内刊号:11-4102/D
创刊时间:1982年
发行周期:月刊
期刊开本:大16开
见刊时间:7-9个月
影响因子:0.000
影响因子:0.000
影响因子:0.000
影响因子:0.000
影响因子:0.000
400-069-1609
您的论文已提交,我们会尽快联系您,请耐心等待!
你的密码已发送到您的邮箱,请查看!