日前,微信派正式发布刷掌支付功能,用户可以在刷脸设备上进行刷掌操作。需要先在设备上绑定个人微信账号,录入手掌纹样。消费时,用户将手掌对准支付设备的扫描区,确认后即可完成支付。据了解,在上海、广州等城市的地铁系统已经有部分入闸机器安装了刷掌支付设备。
刷掌支付并非新鲜事物
(资料图片仅供参考)
早在2015年,就有银行尝试应用刷掌支付。公开信息显示,2015年6月,原四川攀枝花市商业银行推出全国首台掌静脉识别银行自助机,操作上,用户可在该行的自助机上选择“掌静脉”,输入手机号,一秒钟扫描出手掌静脉,输入密码后即可办理存款、取款等业务。
那么,为什么在那个时候刷掌支付没有得到进一步推广呢?笔者认为主要有两个原因。一是应用场景的局限。刷掌支付首次出现是在2015年,而那个时候二维码支付正席卷全国,同时刷脸支付也正如火如荼发展,刷掌支付的应用场景没有二维码普及,也没有刷脸便捷,用户更无法靠移动设备上传自己的掌纹信息。二是设备成本的问题。刷掌支付需要一套全新的设备,相较几乎无设备更换成本的二维码支付,其并不具有优势,而且还需要商家增加额外的数据搜集设备,因此得到商家的支持并不容易。
刷掌支付前景仍存变数
刷掌支付的确有其独有的优势。据统计,刷掌支付的准确性约是刷脸支付的50倍,而破译难度则是其20倍以上,安全性更强。总体而言,这种支付方式的改变并没有从本质上改变移动支付的模式。刷脸支付之所以能获得如此大的市场反应,是因为它带来了支付的场景化改变,而掌纹支付仍然处于这个场景之中。
因此,笔者认为,相较指纹和刷脸支付,目前的掌纹识别领域就像是一个短暂的监管空白区,是企业迅速开拓和固定用户群的重要实践窗口,这让企业纷纷投入进来,但并不是行业发展的长久之计。
从应用角度来看,笔者并不是很看好刷掌支付的前景。一是虽然目前几个头部公司有较为充足的技术储备,但是“巧妇难为无米之炊”,数据搜集是一个繁琐的过程。无论是面容还是指纹,消费者都可以通过移动设备进行数据的收集和上传,而掌纹信息则只能去特定的地方收集;二是刷掌支付与目前现有的支付手段虽有差异但突破不够,因此不一定会替代现有的支付手段;三是普通消费者对隐私安全的顾虑。近几年随着市场监管体系的完善和用户个人信息保护意识的增强,人们日益看重隐私安全,新数据的获取不可避免地会受到消费者的抵触。
生物识别信息商用还需谨慎
我国《个人信息保护法》明确规定,生物识别信息属于敏感个人信息,个人信息处理者只有在具有特定目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。而掌纹信息作为生物识别信息的一种,属于用户敏感个人信息,因此掌纹信息并不能游离于个人信息保护之外。
而且,生物识别信息可以单独识别特定个人身份,这相较于购物信息、家庭住址等,敏感性更强,这对数据存储提出了更高的安全要求,世界上不乏生物信息数据库被泄露的案例,比如印度政府构建的居民生物身份数据库Aadhaar,就曾经因为泄露丑闻深陷质疑。
因此,生物识别的商业应用需要更加谨慎,应当遵循“最小必要”原则。最小是数据获取的范围,必要是数据的性质,实际上这个原则的本质是对企业提出了一个要求,即企业获取利润的渠道应当来自数据处理和进一步的连带服务,来自对数据价值的挖掘以及通过优化消费者体验而增加的消费,而不是来自对用户信息的过渡攫取或者是数据贩卖。
然而,出于利益的驱动,在监管不够完备的情况下,企业会更加倾向于短期利益,因此,将生物识别技术应用于商业领域时需要更加谨慎,以防止由此可能带来的个人信息泄露和财产损害问题。
“被动监管”转向“主动监管”
目前海外对于生物识别的司法实践也存在争议。虽然我们明确了“最小必要”原则,但在很多情况下,很难对于数据是否满足这个条件进行清晰的界定。
在这种情况下,笔者认为,我们可以转换思路,从侵害事件后的被动监管转变为提前规制的主动监管。
首先要明确范围。目前,《个人信息保护法》已经对生物识别信息的性质进行了清晰的界定,生物识别信息属于个人敏感信息,但是其法律责任还没有被确定。企业或个人违法收集、使用、共享生物识别信息行为的处罚权限究竟属于哪一级的哪一个部门,若遭受侵害,消费者应向哪个部门寻求帮助,这些问题都还没有明确的答案。
其次要明确和突出消费者在这个过程中的知情权和决策权。消费者是评价数据是否满足最小必要条件的首道门,信息处理者应当尽提示或者说明义务,并且辅助必要的风险预防提示,以限制性原则对告知同意规则进行补强,保护消费者的知情权,并且在一些关键节点征求消费者的同意。
当然,进一步完善生物信息领域监管是为了能够在充分保护个人信息的前提下,促进该领域的健康发展。我们可以借助负面清单的监管理念,明确侵权行为,界定违规处罚,除此之外的创新行为皆可以得到允许,鼓励企业参与技术创新。
(作者系浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员,工信部信息通信经济专家委员会委员)