意見領袖 | 盤和林

　　日前，某頭部企業正式發布刷掌支付功能，用戶目前可以在刷臉設備上進行刷掌操作。需要現在設備綁定個人微信賬號，錄入手掌紋樣。消費時，將手掌對準支付設備的掃描區，確認后即可完成支付。據了解，在上海、廣州等城市的地鐵系統也已經有部分入閘機器安裝了刷掌支付的設備。

　　刷掌支付并非新鮮事物

　　早在2015年，就有銀行嘗試應用刷掌支付。公開信息顯示，2015年6月，原四川攀枝花市商業銀行推出全國首臺掌靜脈識別銀行自助機，操作上，用戶可在該行自助機上選擇“掌靜脈”，輸入手機號，一秒鐘掃描出手掌靜脈，輸入密碼后即可辦理存款、取款等業務。

　　那么為什么在那個時候刷掌支付沒有得到進一步的推廣呢？筆者認為主要有兩個原因。其一是應用場景的局限。刷掌支付的首次出現是在2015年，而那個時候二維碼支付正在席卷全國，同時刷臉支付也開始如雨后春筍般發展起來，刷掌支付的應用場景沒有二維碼普及，更沒有刷臉更便捷，用戶更無法靠移動設備上傳自己的掌紋信息。其二是設備成本的問題，刷掌支付需要一套全新的設備，相比較幾乎無設備更換成本的二維碼支付，其并不具有優勢，而且還需要商家增加額外的數據搜集設備，因此得到商家的支持并不容易。

　　刷掌支付前景仍存變數

　　刷掌支付的確有其獨有的優勢。據統計，刷掌支付的準確性約是刷臉支付的50倍，而破譯難度則是其的20倍以上，安全性更強。但是，總體而言，這種支付方式的改變并沒有從本質上改變移動支付的模式。面容支付之所以能有如此大的市場反應，是因為它帶來了支付的場景化改變，而掌紋支付仍然處于這個場景之中。

　　因此，筆者認為，相較于指紋和面容支付，目前的掌紋識別領域就像是一個短暫的監管空白區，是企業迅速開拓和固定用戶群的重要實踐窗口，這也才讓企業紛紛積極投入進來，但這并不是行業發展的長久之計。

　　從應用角度來看，筆者并不是很看好刷掌支付的前景。原因有，一，雖然目前幾個頭部公司有較為充足的技術儲備，但是巧婦難為無米之炊，數據搜集是一個很麻煩的問題。無論是面容還是指紋，消費者都可以通過移動設備進行數據收集和上傳，然而掌紋信息則只能去特定的地方參與收集。二，掌紋支付與當前現有的支付手段雖有差異但突破不夠，因此不一定會替代現有的支付手段。三，是普通消費者對隱私安全的顧慮。近幾年隨著市場監管體系的完善和用戶個人信息保護意識的提高，人們日益看重隱私安全，新數據的獲取不可避免的會面對消費者的抵觸。

　　生物信息保護值得關注，商業應用還需謹慎

　　我國個人信息保護法明確規定，生物識別信息屬于敏感個人信息，個人信息處理者只有在具有特定目的和充分的必要性，并采取嚴格保護措施的情形下，方可處理敏感個人信息。而掌紋信息作為生物識別信息的一種，屬于用戶敏感個人信息，因此掌紋信息并不能游離于個人信息保護之外。

　　而且，生物識別信息是可以單獨識別特定個人身份的，這相較于購物信息、家庭住址等，生物識別信息敏感性更強，這就對數據存儲提出了更高的安全要求，世界上不乏生物信息數據庫被泄露的案例，比如印度政府構建的居民生物身份數據庫Aadhaar，就曾經因為泄露丑聞深陷質疑。

　　因此，生物識別的商業應用需要更加謹慎，應當遵循“最小必要”原則。最小是數據獲取范圍，必要是數據的性質，實際上，這個原則的本質是對企業提出了一個要求，即企業獲取利潤的渠道應當來自于數據處理和進一步連帶服務，來自于對數據價值上的挖掘以及通過優化和豐富消費者體驗而增加的消費，而不是來自對用戶信息的過渡攫取，以及通過用戶數據販賣從中獲益。

　　然而，出于利益的驅動，在監管不夠完備的現實下，企業會更加傾向于短期利益，也就是有強烈的對用戶數據體量的追求，因此，我們將生物識別技術應用于商業領域需要更加謹慎，以防止由此可能帶來的個人信息泄露和財產損害。

　　“被動監管”轉向“主動監管”，明確責任的同時為創新發展留有空間

　　對比海外經驗，目前海外對于生物識別的司法實踐也存在爭議。比如之前因照片未經用戶同意處理被集體訴訟的谷歌以及未經允許收集用戶生物識別信息而被集體訴訟的臉書，他們的案子都經過了當地法院駁回原告起訴的過程。因此，雖然我們明確了最小和必要的原則，但在很多情況下，很難對于數據是否滿足這個原則進行清晰的界定。

　　在這種情況下，筆者認為，我們可以轉換思路，從事件侵害后的被動監管轉變為提前規制的主動監管，具體而言包括以下幾個方面。

　　首先是要明確范圍。目前，個人信息保護法已經對生物識別信息的性質進行了清晰對的界定，生物識別信息屬于個人敏感信息，但是其法律責任還沒有被確定。企業或個人的違法收集、使用、共享生物識別信息行為的處罰權限究竟屬于哪一級的哪一部門，若遭受侵害，消費者應向哪個部門尋求幫助，這一系列問題都還沒有明確的答案。

　　其次是要明確和突出消費者在這個過程中的知情權和決策權，消費者的信息要真的讓消費者說了算。消費者是評價數據是否滿足最小和必要原則的首道門，信息處理者應當盡提示或者說明義務，并且輔助必要的風險預防提示，以限制性原則對告知同意規則進行補強，保護消費者的知情權，并且在一些關鍵節點征求消費者同意。

　　當然，進一步完善生物信息領域的監管的目的是為了能夠在充分保護個人信息的前提下，促進該領域的健康發展，因此，還需要為領域的創新創造空間。其實之所以海外的很多司法實踐也仍然存在爭議，是因為對于生物識別領域的監管是在安全和創新之間尋求平衡，而且，過嚴的監管會造成濫訴，浪費寶貴的司法資源。我們可以借助負面清單的監管理念，明確侵權行為，界定違規處罰，除此之外的創新行為皆可以得到允許，鼓勵企業參與技術創新，并且相關部門在安全的前提下也可以優先應用。

　　(本文作者介紹：浙江大學國際聯合商學院數字經濟與金融創新研究中心聯席主任、研究員)