中新经纬5月30日电 题:刷掌支付的商业应用应当遵循“最小必要”原则
作者 盘和林 浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员
(资料图)
在“刷脸支付”后,“刷掌支付”又成为了一种新型的支付形式。这种支付方式需要录入手掌纹样,消费时,将手掌对准支付设备的扫描区,确认后完成支付。刷掌支付能否取代刷脸?其生物识别信息安全问题应如何解决?
盘和林刷掌支付前景仍存变数
刷掌支付并非新鲜事物。早在2015年,就有银行尝试应用刷掌支付。那么,为什么近年来刷掌支付没有得到进一步的推广?笔者认为主要有两个原因。其一是应用场景的局限。刷掌支付出现的2015年,二维码支付正在席卷全国,刷脸支付也开始发展起来,刷掌支付的应用场景没有二维码普及,也没有刷脸便捷,而且用户无法靠移动设备上传自己的掌纹信息。其二是设备成本的问题,刷掌支付需要一套全新的设备,和几乎无设备更换成本的二维码支付相比,其并不具有优势,而且还需要商家增加额外的数据搜集设备,因此得到商家的支持并不容易。
不过,刷掌支付在准确性和破译难度方面比刷脸支付更具有优势,安全性更强。只是,这种支付方式并没有从本质上改变移动支付的模式。面容支付之所以能有如此大的市场反应,是因为它带来了支付的场景化改变,而掌纹支付仍然处于这个场景之中。
相较于指纹和面容支付,目前的掌纹识别领域就像是一个短暂的监管空白区,是企业迅速开拓和固定用户群的重要实践窗口,这才让企业纷纷积极投入进来。
从应用角度来看,刷掌支付的前景仍不确定。一是虽然目前几个头部公司有较为充足的技术储备,但是巧妇难为无米之炊,数据搜集是一个麻烦的问题。无论是面容还是指纹,消费者都可以通过移动设备进行数据收集和上传,然而掌纹信息则只能去特定的地方参与收集。二是掌纹支付与现有的支付手段虽有差异但突破不够,因此不一定会替代现有的支付手段。三是普通消费者对隐私安全的顾虑。随着市场监管体系的完善和用户个人信息保护意识的提高,人们日益看重隐私安全,新数据的获取不可避免地会面对消费者的抵触。
商业应用还需谨慎
中国个人信息保护法明确规定,生物识别信息属于敏感个人信息,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。而掌纹信息作为生物识别信息的一种,属于敏感个人信息,因此掌纹信息并不能游离于个人信息保护之外。
而且,生物识别信息是可以单独识别特定个人身份的,相较于购物信息、家庭住址等,生物识别信息敏感性更强,这就对数据存储提出了更高的安全要求。世界上不乏生物信息数据库被泄露的案例,比如印度公民身份数据库Aadhaar,就曾经因为泄露丑闻深陷质疑。
因此,生物识别的商业应用需要更加谨慎,应当遵循“最小必要”原则。最小是数据获取范围,必要是数据的性质。实际上,这个原则的本质是对企业提出了一个要求,即企业获取利润的渠道应当来自数据处理和进一步连带服务,来自对数据价值上的挖掘以及通过优化和丰富消费者体验而增加的消费,而不是来自对用户信息的过度攫取,以及通过用户数据贩卖从中获益。
然而,出于利益的驱动,在监管不够完备的现实下,企业或更加倾向于短期利益,也就是有强烈的对用户数据体量的追求,因此,我们将生物识别技术应用于商业领域需要更加谨慎,以防止由此可能带来的个人信息泄露和财产损害。
明确责任的同时为创新发展留有空间
目前海外对于生物识别的司法实践也存在争议。比如之前因照片未经用户同意处理被集体诉讼的谷歌以及未经允许收集用户生物识别信息而被集体诉讼的脸书,他们的案子都经过了当地法院驳回原告起诉的过程。因此,虽然明确了最小和必要的原则,但在很多情况下,还是很难对于数据是否满足这个原则进行清晰的界定。
在这种情况下,笔者认为,我们可以转换思路,从事件侵害后的被动监管转变为提前规制的主动监管,具体而言包括以下几个方面。
首先是明确范围。目前,个人信息保护法已经对生物识别信息的性质进行了清晰的界定,生物识别信息属于敏感个人信息,但是其法律责任还没有被确定。企业或个人的违法收集、使用、共享生物识别信息行为的处罚权限属于哪一级的哪一部门,若遭受侵害,消费者应向哪个部门寻求帮助,这一系列问题都还没有明确的答案。
其次是明确和突出消费者在这个过程中的知情权和决策权,消费者的信息要真的让消费者说了算。消费者是评价数据是否满足最小和必要原则的首道门。信息处理者应当尽提示或者说明义务,并且辅助必要的风险预防提示,以限制性原则对告知同意规则进行补强,保护消费者的知情权,并且在一些关键节点征求消费者同意。
当然,进一步完善生物信息领域的监管的目的是能够在充分保护个人信息的前提下,促进该领域的健康发展,因此,还需要为该领域的创新创造空间。之所以海外的很多司法实践仍然存在争议,是因为对于生物识别领域的监管是在安全和创新之间寻求平衡,过严的监管会造成滥诉,浪费宝贵的司法资源。我们可以借助负面清单的监管理念,明确侵权行为,界定违规处罚,除此之外的创新行为皆可以得到允许,鼓励企业参与技术创新,并且相关部门在安全的前提下也可以优先应用。(中新经纬APP)
本文由中新经纬研究院选编,因选编产生的作品中新经纬版权所有,未经书面授权,任何单位及个人不得转载、摘编或以其它方式使用。选编内容涉及的观点仅代表原作者,不代表中新经纬观点。
责任编辑:张芷菡
标签:
X 关闭
X 关闭