5月21日,北京轨道交通开启“刷掌”乘车新时代。乘客不用拿卡,不用掏手机,伸手一刷就能进站乘坐大兴机场线。只需“刷掌”即可进站乘车,与服务平台的技术支撑密不可分。
微信公开课官方日前正式宣布,发布微信刷掌支付功能。根据官方介绍,微信的刷掌支付已经实现了对不同环境光线的适应,也能够应对年轻年长不同的掌纹生理差异,面对不同用户不同的伸手习惯也可以快速识别。应用场景上,刷掌识别可以用于日常购物支付、公司打卡、门禁识别、公共交通刷卡等一系列场景上。
(资料图片)
对于“刷掌支付”,网友观点不一。一方面,随着技术发展,国内各类便捷支付手段不断兴起,从免密支付、刷脸支付、指纹支付到刷掌支付,每一次技术迭代,都给消费者带来用时更短、更为方便的支付方式。
另一方面,技术便捷性在某种程度上是以牺牲安全性为代价的。传统支付方式集中于物理层面的支付工具,比如纸币、信用卡、银行卡等,往往要通过输入密码等验证程序,虽然略显繁琐,却设置了更多的前置安全防护程序,增加了他人破解难度。
刷脸支付、指纹支付、刷掌支付等,则需要采集和使用个人生物特征信息,而个人生物特征信息具有相当程度的唯一性,但同样也具有相当的风险性。
据了解,刷掌服务须知中提及,服务提供方需要收集、处理并储存用户的掌部信息(包括掌纹信息、掌静脉信息等),用于建设掌部信息数据库,并向用户提供掌部信息对比核验,完成刷掌乘车、刷掌支付服务开通及对应的支付交易验证等服务。
同时“须知”中还提到,服务提供方和合作的技术服务方不会储存用户的原始掌部信息样本、图像,在完成提取用户掌部信息要素后,双方将删除用户的原始掌部信息样本、图像或进行匿名化处理,但法律法规另有规定的除外。
从以上规定来看,技术服务和服务提供平台将按照《个人信息保护法》、《个人信息安全规范》 等法律法规的相关要求,对用户原始掌部信息样本、图像不予存储,或者脱敏处理。
然而,这一标准是否能确保用户安全?从规定来看,要求网络运营者将个人生物识别信息要素与个人身份信息分开存储,技术服务平台是否认真落实这一标准,同样要向公众公开。从管理角度来说,将这两者的控制权限分配给不同的操作人员,能够起到更好的隔离效果。这涉及到技术服务平台人手的增设,对岗位责任人履责的常态化管理,技术服务平台是否能贯彻到位,也需要有关部门定期排查。
考虑到一些平台作为国民级应用的影响力,以及其拥有的庞大用户体量,哪怕只有小比例的用户使用刷掌支付功能,一旦出现安全隐患,都会造成严重后果。
近日,多地公安机关发布警示,指出免密支付存在被盗刷、诈骗等安全隐患,用户不要不要轻易授权此功能。近日关于不法分子“AI造脸”用于诈骗的案例也广泛流传。由此反映出,总有人或者团体为了牟利,通过各种手段寻找技术漏洞,试图打开通向用户隐私、资金等方面的暗门。
由于刷掌支付涉及企业、公共服务机构、用户等多个使用环节,参与各方需尽到各自责任。企业需提醒用户有关刷掌支付可能带来的风险,以及出现问题时的应对手段。一旦发生信息泄露事故,企业需第一时间通报主管部门和用户,保障公众知情权。用户使用便捷支付方式,要按要求做好防护手段。
从更长远的发展角度来看,企业和机构对相关涉及用户隐私的技术应用,应进一步加强协同管理,完善风控体系,在安全保障技术研发迭代等方面加大投入,不能存在重商业开发轻安全管理的心态。
此外,如果因企业和公共服务机构管理不善,导致用户包括掌部信息要素在内的生物识别信息泄露,用户该如何维权,企业可量化赔偿标准如何设定,也需相关部门加以细化完善,从而在事故发生后,最大限度弥补用户损失。
当包括欧美在内的许多国家还以纸币或各类卡支付为主时,我国大踏步买入“无纸化支付时代”,在生物识别技术和产品的开发上也走在前例。这将有利于促进相关前言技术和产业发展。但与此同时,也要防止技术应用过急、安全标准建设滞后所带来的后果。换言之,公众欢迎新技术的到来,但所需要的是安全无忧的服务。
财经评论人 毕舸
编辑 徐超
校对 柳宝庆