“刷掌”支付上线，安全吗？

2023年5月21日，北京地铁大兴机场线刷掌乘车发布会举行，标志着北京轨道交通开启“刷掌”乘车时代。北京市交通委在接受媒体采访时称，此次刷掌乘车服务在大兴机场线的试点是掌纹生物识别技术首次在轨道交通场景进行应用。

大兴机场线“刷掌”支付技术由微信支付提供。5月21日，腾讯正式发布微信“刷掌”支付，这是继扫码支付、指纹支付、刷脸支付后，微信推出的又一新支付方式。

微信方面介绍称，“刷掌”支付采用“掌纹+掌静脉”识别技术，具备无介质、非接触、高便捷、高安全等特点。

其实，“刷掌”支付并非新技术。早在2020年9月，亚马逊已研发出手掌掌纹识别技术Amazon One，最初应用于零售实体店的缴费环节，实现刷“手”结账。2023年3月，据路透社报道，亚马逊的手掌识别支付技术“Amazon One”已经推广至全球200多个地点。

在国内，移动支付服务主要提供商阿里、腾讯等在掌纹识别领域均有布局和尝试。2021年8月，“刷掌”支付开始进行微信内部技术预研。天眼查App显示，2022年3月，腾讯公司申请了“刷掌设备”专利，7月26日获得授权，预估在2032年3月24日到期。2022年10月14日，“微信刷掌支付”小程序上线，在深圳部分商家接入刷掌支付设备进行测试。

2022年2月，国家知识产权局公开了一份阿里的发明专利，专利名称为“身份识别方法、装置、终端以及存储介质”，申请保护一种掌静脉识别的方法和运用这种方法的设备。天眼查App显示，近期，支付宝（杭州）信息技术有限公司多个掌纹支付专利已获授权，包括掌纹识别设备、收银设备等。

西安交通大学自动化学院教授钟德星告诉界面新闻，掌纹识别技术在学术层面的研究进行已久，“刷掌”支付的技术优势首先体现在其安全性。

“掌纹识别依赖的是掌纹和掌静脉结合所实现的多模识别，即双重验证。”钟德星称，“从硬件设备上来说，识别设备采用可见光补光和红外补光技术，兼具可见光和近红外摄像头，用户只需将手掌出示到摄像头前，设备就能同步采集到掌纹和掌静脉数据。这两种数据难以被同时伪造。”

钟德星还提到“刷掌”支付高精度的特点，“掌纹识别技术比虹膜识别的精度还要高，更不容易出错。”但同时，他认为，尽管“刷掌”支付在安全性方面具有优势，而要实现大规模推广，还是有较大难度。

“在第三方支付领域，掌纹识别很难取代二维码，它在性价比和效率方面都缺乏优势。”钟德星指出，也就是“具体到不同的应用场景中，这种支付方式可以给大家提供多一种选择。”

早在“刷掌”支付技术落地之前，业内就不乏声音认为，生物识别支付方式是未来移动支付的重要趋势。当前，掌纹识别技术应用到支付领域，也引发人们对信息安全和隐私保护的担忧。

“掌静脉识别确实比人脸更安全，但是这一领域的立法和监管完善了吗？”日前，有网友针对“刷掌”支付技术的监管问题提出疑问。对此，腾讯支付相关负责人日前表示，“刷掌”乘车服务通过采用数据脱敏和数据加密技术，可有效地保证用户的安全使用，腾讯方面也将严格按照国家的相关法律要求进行管理。

三位美国参议院议员曾在给亚马逊CEO的公开信中指出，掌纹是和面部特征一样的生物识别信息，不能像账户、密码等信息一样被随意改变，和用户个人是唯一对应的，如果泄漏很可能影响到用户。

北京观韬中茂（上海）律师事务所合伙人、律师吴丹君告诉界面新闻，美国至今尚未在联邦层面对生物标识和生物识别信息的保护作出统一规定，但对该领域的立法和实践探索随着生物识别技术的落地应用而不断发展。

美国于2019年颁布《商业人脸识别隐私法案》，对人脸识别信息的商业化使用进行规制。美国参议院曾于2020年审议《国家生物识别信息隐私法案》，拟通过该法案对生物标识和生物识别信息的收集和披露进行规制，保障个人信息主体的诉权，并明确企业对生物标识和生物信息的保护义务。

“近日，美国联邦贸易委员会发布了一份关于规范生物识别数据的使用以及《美国联邦贸易委员会法》第五条的政策声明，强调打击利用消费者生物识别信息进行商业欺诈的行为。”吴丹君介绍。

中国信息通信研究院等曾在2020年发布《生物识别隐私保护研究报告》指出，随着生物识别信息的大规模应用，用户隐私与安全保护问题逐渐暴露，引发在用户个人信息收集和使用方面的风险。生物识别信息与个人身份高度绑定，且具有不易变更的特点，生物信息泄露、信息缺乏授权、深度伪造等问题严重威胁广大用户的切身利益，生物识别信息的滥用将带来严重的社会问题。

目前，我国尚未专门制定针对掌纹和掌静脉信息的管理规范。此前在2021年11月正式施行的个人信息保护法对敏感个人信息设专节保护。根据国家标准《信息安全技术 个人信息安全规范》，掌纹、掌静脉信息是个人生物识别信息，正属于敏感信息的范畴。

界面新闻也注意到，2023年4月，全国信息技术标准化技术委员会在其官方公众号发布消息称，该委员会正在推动《人体生物特征识别多模态识别 掌纹掌静脉融合识别系统技术规范》的标准立项工作。

除了目前在交通场景的应用，“刷掌”支付还在向办公、校园、健身、零售、餐饮等领域拓展。在技术相关标准尚未完善的情况下，技术服务提供者、监管方应采取哪些措施、行动规避和监管“刷掌”支付可能带来的信息安全风险？

吴丹君认为，服务提供者首先需保障生物识别信息的安全，事前开展个人信息保护影响评估，遵循最小必要原则明确该场景下的生物识别信息的处理目的、处理方式、采集范围和应采取的保障措施。其次，需保障个人信息主体的合法权益，按照个人信息保护法向拟使用“刷掌”支付的个人信息主体进行明确告知并获取单独同意。同时，其还需明确告知个人信息主体撤回同意的方式，及时响应其权利请求。最后，其需及时应对个人信息侵害风险，在开展生物识别信息处理活动时加强风险监测，发现数据安全缺陷、漏洞等风险时，及时采取补救措施。

“监管方需结合‘刷掌’支付的技术特点和潜在风险尽快出台及切实执行相应法律文件，规范服务提供者的生物识别信息处理行为。另一方面，亦需采取措施加强与‘刷掌’支付优势和风险防范相关的法治宣传，提高个人信息主体的保护意识和保护能力。”吴丹君称。

吴丹君还建议，用户和消费者在选择使用“刷掌”支付前应谨慎考虑自身采取该支付方式的必要性，并仔细考察服务提供者是否具备相应资质及是否在隐私政策等文件中清晰披露个人信息处理规则。

“当不再使用‘刷掌’支付时，建议用户及时联系服务提供者或按照服务提供者提供的方式撤回同意，删除相应生物识别信息。”吴丹君建议，“用户和消费者应提高信息敏感性和权利保护意识，在自身个人信息权益受到侵害时，积极根据个人信息保护法等法律规定维护自身权益。”