2019年10月20日，在浙江烏鎮舉行的第六屆世界互聯網大會上，中國銀聯攜手工商銀行、農業銀行、中國銀行等60余家機構聯合發布全新智能支付產品“刷臉付”。作為“國家隊”的銀聯入場，加上更早入場的支付寶、微信支付，我國支付市場的三大主流機構都在力推刷臉支付類產品，刷臉支付已然進入三國時代。

稍早的時候，刷臉支付就已經獲得中國人民銀行的推廣，在2019年8月底中國人民銀行印發《金融科技（FinTech）發展規劃（2019-2021年）》（以下簡稱《規劃》），其中明確提出“探索人臉識別線下支付安全應用，借助密碼識別、隱私計算、數據標簽、模式識別等技術，利用專用口令、‘無感’活體檢測等實現交易驗證，突破 1：N 人臉辨識支付應用性能瓶頸，由持牌金融機構構建以人臉特征為路由標識的轉接清算模式，實現支付工具安全與便捷的統一?！?《規劃》提出未來三年金融科技工作的指導思想、基本原則、發展目標、重點任務和保障措施，明確了刷臉支付的發展方向，認可了其“科技賦能支付服務”的能力。新技術的應用也給法律帶來了挑戰，在現有法律制度中如何安置這種新科技：技術需要如何遵守法律，法律應該如何修改來適配技術，成為了一個急需解決的問題。

刷臉支付與指紋支付除了使用的生物特征的類型不同，在支付影響力方面也存在較大的差異。如果說指紋支付只是替代了傳統賬基支付中密碼的角色，那么刷臉支付則重塑了整個支付場景。

第一個差異在于支付介質的不同。指紋支付需要以手機作為支付賬戶的介質，脫離手機就無法使用；而刷臉支付無需介質，通過支付機具刷臉確定賬戶之后就可以進行支付，全程無需使用手機。

第二個差異在于生物特征在支付中發揮作用的環節不同。指紋支付第一步需要登錄支付賬戶，這通常不涉及指紋信息，第二步支付驗證環節才需要使用指紋特征。刷臉支付則不然，第一步是通過支付機具刷臉登陸支付賬戶，面部特征首先展現的是賬戶識別和登陸驗證的功能，然后第二步輸入其他輔助驗證手段實現支付。

第三個差異在于支付兩個環節的驗證強度存在不同。指紋支付的登陸驗證往往是設置強口令的驗證，要求使用數字、字母乃至符號的混合型密碼，支付驗證則是較為隱秘的生物特征指紋驗證。而刷臉支付則不然，登陸驗證是較為公開的生物特征面部特征驗證，支付驗證則是弱口令的方式，其中微信、支付寶采用較為公開的手機號，銀聯采用6位數字的支付密碼。

刷臉支付主打便捷，其特殊性也系于此，無需支付介質奠定了其便捷性的基礎，為了便捷地登陸支付賬戶，便采用了刷臉作為登陸驗證手段，為了便捷支付采用了弱口令作為支付驗證的手段。支付便捷與支付安全之間的沖突是刷臉支付法律問題的核心。

在《辦法》的第二十四條又對驗證方式與支付限額進行了規定，唯一不設法定限額的是“采用包括數字證書或電子簽名在內的兩類（含）以上有效要素進行驗證的交易”，《辦法》從側面承認了這種驗證方式具有最高的安全性。目前“云閃付”、微信、支付寶等賬基支付采用數字證書+靜態密碼的方式進行驗證，同時這些機構的生物特征支付則使用“數字證書+生物特征”的方式進行驗證。這兩種方式都是最為安全的雙重驗證。而按照《辦法》，似乎也可以推論出在監管者眼中，生物特征信息與靜態密碼具有相似的法律效果，都是基于數字證書、電子簽名的輔助性驗證手段?？梢哉f從《辦法》而言，給刷臉支付等支付方式留出了足夠的空間，甚至從驗證流程來說都無需使用支付口令就能實現最大限額支付。

常見的賬基支付中，口令的地位一直為便捷性讓步而持續被削弱：經歷了支付密碼從強密碼到弱密碼的變化。在刷臉支付時，支付寶和微信已經采用手機號作為支付口令了，在特定場景下還可以免輸入。但是，顯然從安全性而言，公開的手機號作為驗證口令已經不能算作《辦法》第二十二條下的“僅客戶本人知悉的要素”，故而不算法定的驗證手段，手機號作為驗證口令背后是支付口令的功能轉移，從支付驗證轉向支付意愿確定。這也是回應法律的要求，《辦法》第十六條規定“對于客戶的網絡支付業務操作行為，支付機構應當在確認客戶身份及真實意愿后及時辦理”。畢竟臉部特征的公開性較強，面部特征作為“行走的密碼”，如何解決包括1：N在內的特殊支付場景中支付意愿的識別，這是公開但個人化的支付口令的價值。

就支付口令而言，銀聯與微信支付寶并不相同，銀聯保留了私密性的“云閃付”密碼作為支付口令，三家機構之間不同的處理思路也表明對于支付口令地位的認識分歧，如果將支付口令作為驗證手段，那么對于支付的實體環境提出了安全保護的設備要求，如果將支付口令作為支付意愿的確定手段，那么對人臉識別作為唯一的驗證手段的準確性提出了更高的要求。

如今，刷臉支付的線下應用是得到《規劃》認可的，《規劃》提出“利用專用口令、‘無感’活體檢測等實現交易驗證”。目前的刷臉支付機構都在技術方面有諸多儲備，各家廠商在宣傳中都主打活體檢測，一方面在軟件層面，通過大量的訓練和實踐讓深度學習算法具有極強的檢測能力，另一方面在硬件層面，通過紅外等各種技術輔助驗證。饒是如此，但是在2019年12月，美國公司Kneron表示通過高清3D面具和照片欺詐了多個人臉識別系統，包括支付寶和微信。雖然該消息真實性并未得證，但依舊提示了目前刷臉支付硬件本身的潛在風險。

目前，刷臉支付的線上應用是不受監管機構認可的。一方面是軟件原因，中國人民銀行科技司司長李偉認為，人臉識別線上應用仍存在諸多風險，若要應用推廣需采用可信執行環境（TEE）、安全單元（SE）等技術加強風險防控。另一方面是硬件原因，受制于智能手機的攝像頭水平，并非所有都具備主動進行活體檢測的能力，諸多在智能手機上進行人臉識別認證的操作都需要配合“張嘴、眨眼、搖頭”等動作來進行，無法做到無感檢測，而通過視頻等手段繞過手機上的活體檢測的相關新聞也提示了刷臉線上應用的風險性。另外，采用指紋支付的三星S10系列的失靈事件也為刷臉支付的線上應用提供了一個技術硬件上的鏡鑒。

推廣一個本身頗具風險的支付方式，其成敗維系于硬件設備與軟件算法，對于技術的信賴是脆弱的，為維系這種信賴就有必要通過標準的方式來強化保證其性能的可靠性。雖然目前線下應用的機具都是支付機構的關聯企業生產制造的，能夠確保符合支付機構的要求，但未來為了更廣泛地推廣，必然需要降低機具的成本，允許通過特許等方式進行機具生產。為此有需要制定刷臉支付的相關技術標準，通過標準的認定，讓硬件機具能夠符合法律的安全性要求。這種需求在線上刷臉應用更加強烈，支付機構對于手機的生產控制力較線下機具更差，更加需要具有法律效力的國家標準的指引和認證。

因為臉部特征的公開性較強，刷臉支付的安全性備受質疑，法律責任作為支付安全的后端規制與補償機制成為不可回避的問題，明確責任問題也有助于從業者和公眾對于刷臉支付有更明確的預期。

從支付的責任法律而言，并無專門針對刷臉支付的條款，甚至生物特征支付的相關責任規則也并無特殊化的法條，可以說刷臉支付的責任規則還是參照一般電子支付的責任規則。而就一般電子支付而言，現行法的責任規則已經有一個較為完備的框架。這部分規則主要在《電子商務法》中，雖然該法是針對電子商務場景下的支付責任而言，但是至少說明一個法律的方向，并且存在被廣泛準用的可能性。

刷臉機具誤識付款人的場景可以適用《電子商務法》第五十五條規定“支付指令發生錯誤的，電子支付服務提供者應當及時查找原因，并采取相關措施予以糾正。造成用戶損失的，電子支付服務提供者應當承擔賠償責任，但能夠證明支付錯誤非自身原因造成的除外?！迸e例而言，甲付款人被機具識別為乙，并從乙的賬號中扣款造成了乙的損失，此時乙有權向支付機構求償。支付機構如要免責，則需要自查原因并證明自身并無過錯，這種損失、調查、證明責任都配置給支付機構，可以有效保護相對弱勢的用戶。當然對于刷臉支付的場景而言，這往往不會造成損失，因為真實付款人容易查清，此時支付機構依據不當得利向付款人主張權利即可。

刷臉機具被假體攻擊的場景可以適用《電子商務法》第五十七條規定“未經授權的支付造成的損失，由電子支付服務提供者承擔；電子支付服務提供者能夠證明未經授權的支付是因用戶的過錯造成的，不承擔責任?！?舉例而言，甲的面部特征信息被復制，乙依據該信息騙過了支付機具從甲的賬戶內扣款造成了甲的損失，此時甲有權向支付機構求償，支付機構如需免責需要證明錯誤的來源是甲本身的錯誤，否則一概由支付機構承擔責任。在此場景之下，支付機構的責任比機具誤識更重，在誤識場景下，支付機構本身無錯就可免責，而在假體攻擊之下，支付機構和用戶都無過錯，但是責任依舊是支付機構的。這種責任配置就是為了促使支付機構提升自身的技術水平以從根本上避免此類問題的產生。

當然現階段，對于刷臉支付的責任問題處理更為簡單，《辦法》第二十五條規定“支付機構網絡支付業務相關系統設施和技術，應當持續符合國家、金融行業標準和相關信息安全管理要求。如未符合相關標準和要求，或者尚未形成國家、金融行業標準，支付機構應當無條件全額承擔客戶直接風險損失的先行賠付責任?！爆F在僅有《人臉識別線下支付安全應用技術規范（試行）》等指引性文件，尚未形成國家或金融行業標準，那么此時發生的所有損失無豁免條件的由支付機構承擔，這種責任方式客觀上鼓勵技術的發展，推動標準的建立。當然隨著刷臉支付的成熟，未來必將推出相應的標準，標準出臺后的責任規則還是回歸上文所述的模式。

總之，對于各家機構所言“刷臉支付損失全賠”的承諾，其實只是法律的強制要求而已，有識廠商如果對于自身技術具有自信，或許可以提出更高的承諾，例如損失加倍賠償，五倍賠償等口號以表明其對于支付安全的承諾。

刷臉支付較之指紋支付、聲紋支付等方式在信息采集上略有不同，人臉長時間暴露在外，各種攝像頭都有充足的機會捕捉到人臉特征。而人們對于刷臉支付的信息擔憂更為嚴重，也是刷臉支付推廣中最為疑難的問題。且不說目前廣泛存在的信息過分收集、違規使用問題，僅就信息存儲而言，金融機構已經問題頻發，如美國三大個人信用機構之一的Equifax發生的信息泄露案，即使是以個人信用信息作為其核心資源的Equifax都可能發生信息泄露，可見重建公眾對于機構的信息信心任重道遠，更遑論是包括臉部特征在內的不可更改的生物特征信息。

現行法對于刷臉支付等支付場景的信息責任的規定相對簡略，主要是基于《辦法》第二十條條規定“支付機構應當以‘最小化’原則采集、使用、存儲和傳輸客戶信息，并告知客戶相關信息的使用目的和范圍。支付機構不得向其他機構或個人提供客戶信息，法律法規另有規定，以及經客戶本人逐項確認并授權的除外?！边@種原則性規定過于簡單，且未對包括臉部信息在內的不可更改的生物特征信息進行區別性嚴格規定。同時，關于違反信息責任的罰則也較輕，《辦法》引用《中華人民共和國中國人民銀行法》第四十六條作為罰則，如果發生信息泄露在無違法所得的情況下只能處以最高200萬元的罰款。

刷臉支付的信息責任很難在法律領域進行單兵突進的制定，這一領域的法律進步最終依賴于個人生物信息的整體立法或者金融領域的專門立法，在這一立法完成之前，只能更多依靠支付服務商的自律或者支付業協會等的行業自律。

綜上所述，刷臉支付雖然作為一種新興的支付方式，但其還是基于現有支付模式而展開，現行支付法律框架為其預留了足夠的發展空間，也可以適用現有的監管框架進行規制。然而，在具體的硬件標準和信息收集儲存方面，刷臉支付向現行法律體系提出了挑戰，現在已經讓刷臉支付的子彈飛了這么久了，是時候考慮如何通過標準和個人信息法律來促進刷臉支付的均衡合理發展。