針對(duì)迅猛發(fā)展但安全隱憂相伴的刷臉支付業(yè)務(wù)，相關(guān)行業(yè)規(guī)范與監(jiān)管新規(guī)相繼出爐，引發(fā)廣泛關(guān)注。這些規(guī)定雖多屬推薦性標(biāo)準(zhǔn)或行業(yè)自律公約，常被稱為“軟法”，但其從技術(shù)、管理、責(zé)任等多個(gè)維度對(duì)支付機(jī)構(gòu)提出了系統(tǒng)性的要求和規(guī)范，核心目標(biāo)直指?jìng)€(gè)人信息保護(hù)與信息系統(tǒng)安全集成，旨在為這一便捷的支付方式筑牢安全底線。

新規(guī)的“軟法”特性體現(xiàn)在其以引導(dǎo)和規(guī)范為主，而非完全剛性的法律強(qiáng)制。它首先從技術(shù)安全層面提出了嚴(yán)格要求。例如，規(guī)定明確支付機(jī)構(gòu)在采集人臉信息時(shí)必須遵循“最小必要”原則，僅收集完成支付驗(yàn)證所必需的信息，并應(yīng)采用活體檢測(cè)、數(shù)據(jù)加密等安全技術(shù)，防止人臉信息在傳輸與存儲(chǔ)過(guò)程中被竊取或篡改。強(qiáng)調(diào)人臉識(shí)別信息應(yīng)與用戶其他身份信息隔離存儲(chǔ)，避免因單一系統(tǒng)漏洞導(dǎo)致信息“一損俱損”。這實(shí)際上是對(duì)信息系統(tǒng)集成服務(wù)商提出了更高的技術(shù)安全標(biāo)準(zhǔn)，要求其提供的解決方案必須具備內(nèi)生安全性。

在用戶權(quán)利保障與處理流程上，新規(guī)給予了細(xì)致規(guī)范。它強(qiáng)制要求支付機(jī)構(gòu)必須明確告知用戶人臉信息的收集目的、使用方式及存儲(chǔ)期限，并需獲得用戶的單獨(dú)明示同意，不得“一攬子”授權(quán)或默認(rèn)開通。用戶應(yīng)有權(quán)隨時(shí)便捷地關(guān)閉刷臉支付功能，并享有查詢、刪除其人臉信息的權(quán)利。這些規(guī)定將信息控制權(quán)部分交還用戶，并通過(guò)規(guī)范信息處理活動(dòng)流程，約束支付機(jī)構(gòu)的操作行為。

新規(guī)強(qiáng)化了支付機(jī)構(gòu)作為信息處理者的主體責(zé)任與管理要求。機(jī)構(gòu)需建立覆蓋人臉信息全生命周期的安全管理體系，包括設(shè)立專職的安全管理部門、定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估與審計(jì)、制定并演練安全事件應(yīng)急預(yù)案等。對(duì)于提供信息系統(tǒng)集成服務(wù)的合作方，支付機(jī)構(gòu)也負(fù)有監(jiān)督責(zé)任，需確保其服務(wù)符合相關(guān)安全標(biāo)準(zhǔn)。這種全鏈條的責(zé)任壓實(shí)，旨在通過(guò)制度化管理降低安全風(fēng)險(xiǎn)。

值得注意的是，這些“軟法”規(guī)范雖無(wú)刑法般的強(qiáng)制懲罰力，但其影響不容小覷。一方面，它為行業(yè)劃定了清晰的安全基線，領(lǐng)先企業(yè)依此提升自身安全水準(zhǔn)，能形成良好的市場(chǎng)示范效應(yīng)和競(jìng)爭(zhēng)門檻。另一方面，它也為未來(lái)可能出臺(tái)的強(qiáng)制性法律法規(guī)積累了實(shí)踐經(jīng)驗(yàn)、提供了規(guī)則雛形。監(jiān)管機(jī)構(gòu)可依據(jù)這些規(guī)范進(jìn)行監(jiān)督、指導(dǎo)，對(duì)違規(guī)機(jī)構(gòu)采取約談、通報(bào)、納入信用記錄等措施，從而賦予“軟法”一定的實(shí)際約束力。

總而言之，刷臉支付新規(guī)的出臺(tái)，標(biāo)志著該領(lǐng)域的治理從粗放發(fā)展步入精細(xì)規(guī)范的新階段。通過(guò)一套涵蓋技術(shù)、管理、權(quán)益的“軟法”體系，從多角度對(duì)個(gè)人信息保護(hù)與信息系統(tǒng)集成服務(wù)提出要求和引導(dǎo)，不僅有助于化解當(dāng)前公眾對(duì)刷臉支付的安全焦慮，保障用戶的合法權(quán)益，更能推動(dòng)整個(gè)支付產(chǎn)業(yè)在創(chuàng)新與安全中找到平衡，實(shí)現(xiàn)健康、可持續(xù)的發(fā)展。信息安全的防護(hù)網(wǎng)，正是在這一次次技術(shù)規(guī)范與制度要求的編織中，變得日益嚴(yán)密而牢固。