刷脸支付自律公约 明确安全红线（内容解读）

　　针对这一情况，上述自律公约在“终端管理”章节强调：会员单位布放或接入的刷脸支付受理终端应符合国家和金融行业相关标准，并通过国家统一推行的金融科技产品认证。会员单位布放和接入的刷脸支付受理终端应遵循金融行业管理及自律有关规定，支持刷脸支付业务互联互通，避免一柜多机，维护市场良好秩序，促进产业可持续发展。

　　设置刷脸支付限额管理

　　除终端管理，自律公约还涉及安全管理、风险管理和用户权益保护等内容，并适用于开展刷脸支付的各会员单位，包括在刷脸支付中提供账户管理、转接清算、收单等服务的会员单位。

　　个人隐私保护方面，自律公约要求会员单位应建立人脸信息全生命周期安全管理机制：

　　在采集环节，要坚持“用户授权、最小够用”，明确告知用户信息使用目的、方式和范围，并获得用户授权，避免与需求无关的特征采集。

　　在存储环节，将原始人脸信息加密存储，并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离。

　　在使用环节，收单机构、商户等中间环节不得归集或截留原始人脸信息，实现端到端的个人隐私保护。

　　风险管理方面，自律公约要求：会员单位应结合特约商户风险等级及交易类型等因素，设置或与其约定刷脸支付单笔及日累计交易限额。

　　目前来看，为防范刷脸支付风险，市场主体对刷脸支付交易进行限额管理。例如，招商银行对商户和用户刷脸支付均设置了单笔或单日1000元的交易限额；支付宝从交易额度上加以限制，并根据交易资金大小和频度，进行风险分级控制，增加验证要素，对于大于限定金额的交易需补充扫码及交易密码验证，对于大额交易额外增加PIN码验证等；财付通刷脸支付限额受到用户支付账户类型的限制以及快捷支付银行卡限额的限制，同时对同一用户反复尝试刷脸支付的次数进行限制，一个实名用户只能为一个微信支付账户开通刷脸支付。

　　用户权益保护方面，公约要求会员单位建立用户刷脸支付投诉处理流程，建立健全风险拨备资金、保险计划、应急处置等风险补偿机制，对不能有效证明因用户原因导致的资金损失及时先行赔付。