作者:盘和林 浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员,工信部信息通信经济专家委员会委员
(资料图)
日前,某头部企业正式发布刷掌支付功能,用户目前可以在刷脸设备上进行刷掌操作。需要现在设备绑定个人微信账号,录入手掌纹样。消费时,将手掌对准支付设备的扫描区,确认后即可完成支付。据了解,在上海、广州等城市的地铁系统也已经有部分入闸机器安装了刷掌支付的设备。
刷掌支付并非新鲜事物
早在2015年,就有银行尝试应用刷掌支付。公开信息显示,2015年6月,原四川攀枝花市商业银行推出全国首台掌静脉识别银行自助机,操作上,用户可在该行自助机上选择“掌静脉”,输入手机号,一秒钟扫描出手掌静脉,输入密码后即可办理存款、取款等业务。
那么为什么在那个时候刷掌支付没有得到进一步的推广呢?笔者认为主要有两个原因。其一是应用场景的局限。刷掌支付的首次出现是在2015年,而那个时候二维码支付正在席卷全国,同时刷脸支付也开始如雨后春笋般发展起来,刷掌支付的应用场景没有二维码普及,更没有刷脸更便捷,用户更无法靠移动设备上传自己的掌纹信息。其二是设备成本的问题,刷掌支付需要一套全新的设备,相比较几乎无设备更换成本的二维码支付,其并不具有优势,而且还需要商家增加额外的数据搜集设备,因此得到商家的支持并不容易。
刷掌支付前景仍存变数
刷掌支付的确有其独有的优势。据统计,刷掌支付的准确性约是刷脸支付的50倍,而破译难度则是其的20倍以上,安全性更强。但是,总体而言,这种支付方式的改变并没有从本质上改变移动支付的模式。面容支付之所以能有如此大的市场反应,是因为它带来了支付的场景化改变,而掌纹支付仍然处于这个场景之中。
因此,笔者认为,相较于指纹和面容支付,目前的掌纹识别领域就像是一个短暂的监管空白区,是企业迅速开拓和固定用户群的重要实践窗口,这也才让企业纷纷积极投入进来,但这并不是行业发展的长久之计。
从应用角度来看,笔者并不是很看好刷掌支付的前景。原因有,一,虽然目前几个头部公司有较为充足的技术储备,但是巧妇难为无米之炊,数据搜集是一个很麻烦的问题。无论是面容还是指纹,消费者都可以通过移动设备进行数据收集和上传,然而掌纹信息则只能去特定的地方参与收集。二,掌纹支付与当前现有的支付手段虽有差异但突破不够,因此不一定会替代现有的支付手段。三,是普通消费者对隐私安全的顾虑。近几年随着市场监管体系的完善和用户个人信息保护意识的提高,人们日益看重隐私安全,新数据的获取不可避免的会面对消费者的抵触。
生物信息保护值得关注,商业应用还需谨慎
我国个人信息保护法明确规定,生物识别信息属于敏感个人信息,个人信息处理者只有在具有特定目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。而掌纹信息作为生物识别信息的一种,属于用户敏感个人信息,因此掌纹信息并不能游离于个人信息保护之外。
而且,生物识别信息是可以单独识别特定个人身份的,这相较于购物信息、家庭住址等,生物识别信息敏感性更强,这就对数据存储提出了更高的安全要求,世界上不乏生物信息数据库被泄露的案例,比如印度政府构建的居民生物身份数据库Aadhaar,就曾经因为泄露丑闻深陷质疑。
因此,生物识别的商业应用需要更加谨慎,应当遵循“最小必要”原则。最小是数据获取范围,必要是数据的性质,实际上,这个原则的本质是对企业提出了一个要求,即企业获取利润的渠道应当来自于数据处理和进一步连带服务,来自于对数据价值上的挖掘以及通过优化和丰富消费者体验而增加的消费,而不是来自对用户信息的过渡攫取,以及通过用户数据贩卖从中获益。
然而,出于利益的驱动,在监管不够完备的现实下,企业会更加倾向于短期利益,也就是有强烈的对用户数据体量的追求,因此,我们将生物识别技术应用于商业领域需要更加谨慎,以防止由此可能带来的个人信息泄露和财产损害。
“被动监管”转向“主动监管”,明确责任的同时为创新发展留有空间
对比海外经验,目前海外对于生物识别的司法实践也存在争议。比如之前因照片未经用户同意处理被集体诉讼的谷歌以及未经允许收集用户生物识别信息而被集体诉讼的脸书,他们的案子都经过了当地法院驳回原告起诉的过程。因此,虽然我们明确了最小和必要的原则,但在很多情况下,很难对于数据是否满足这个原则进行清晰的界定。
在这种情况下,笔者认为,我们可以转换思路,从事件侵害后的被动监管转变为提前规制的主动监管,具体而言包括以下几个方面。
首先是要明确范围。目前,个人信息保护法已经对生物识别信息的性质进行了清晰对的界定,生物识别信息属于个人敏感信息,但是其法律责任还没有被确定。企业或个人的违法收集、使用、共享生物识别信息行为的处罚权限究竟属于哪一级的哪一部门,若遭受侵害,消费者应向哪个部门寻求帮助,这一系列问题都还没有明确的答案。
其次是要明确和突出消费者在这个过程中的知情权和决策权,消费者的信息要真的让消费者说了算。消费者是评价数据是否满足最小和必要原则的首道门,信息处理者应当尽提示或者说明义务,并且辅助必要的风险预防提示,以限制性原则对告知同意规则进行补强,保护消费者的知情权,并且在一些关键节点征求消费者同意。
当然,进一步完善生物信息领域的监管的目的是为了能够在充分保护个人信息的前提下,促进该领域的健康发展,因此,还需要为领域的创新创造空间。其实之所以海外的很多司法实践也仍然存在争议,是因为对于生物识别领域的监管是在安全和创新之间寻求平衡,而且,过严的监管会造成滥诉,浪费宝贵的司法资源。我们可以借助负面清单的监管理念,明确侵权行为,界定违规处罚,除此之外的创新行为皆可以得到允许,鼓励企业参与技术创新,并且相关部门在安全的前提下也可以优先应用。