天天消费讯，据正在新闻报道，近日，一消费者微信收到“到店刷脸支付开通成功”和“微信支付成功”的通知。随后，该消费者发现，她被陌生人在安徽亳州微信刷脸成功支付106.64元，收款方为“金色华联亳州万达广场店”，支付方式为刷脸支付。对此，收款商家表示确有此事，“那个人结账时不仅刷脸成功，还输入对了手机后四位。”

消费者在看过商家监控后发现，刷脸人与自己长相并不相似，并称手机号是在学校办理，没有更换过，也没有开启过微信到店刷脸支付功能。

该消费者向微信支付提交被盗申赔，也在亳州当地报警。

两天后，微信支付官方将被刷钱款退还给了用户。

腾讯方面表示，用户付款流程通过手机号、人脸识别双重核验，具体情况正在沟通核实；为避免用户损失，已先行全额补偿。微信刷脸技术会根据用户风险评级，加强支付时身份认证，保障用户资金安全。也提示大家保护好个人信息，如遇到类似情况，请随时联系微信支付客服团队，我们会全力协助解决。

刷脸支付存隐患

实际上，通过刷脸支付被盗刷和误刷的情况时有发生。

在黑猫投诉平台上，有网友投诉称，“在我休息时间，手机处于关机状态，半夜2点30分支付宝无辜被扣200元整，转入私人账户，我举报得到的结果竟然是我刷脸支付，很难接受这样答案，那个时间我在睡觉”

有消费者投诉贝融助手：“去签约中心贷款，对方拿我手机操作的，我对这笔消费毫不知情，当时绑定面部支付，在不知情的情况下付钱了”。

还有用户表示：“我父亲于2024年1月4日在支付宝看视频莫名其妙跳链接刷脸被扣款798，在支付宝投诉被客服不处理。打扣款方售后电话说平台会抽成只能退款400”。

可见，刷脸支付虽然方便，但也存在一定的安全隐患。

刷脸后会不会成为“行走的密码”？

近年来，刷脸支付出现在生活中的方方面面，手机解锁要刷脸，支付要刷脸，门禁要刷脸。

比如，地铁站里的自动售货机，轻轻点击屏幕后，机器就很快自动获取了用户脸部信息，接着柜子的门瞬间被打开，用户取完商品后，手机随即收到结账信息。

一些商超的自助收银台，“刷脸支付”方式同样也较为常见。在北京某大型连锁超市的自助收银台，顾客结账之前就可以看到机器上醒目的“刷脸登录”选项，旁边小字提示需要与支付宝账号绑定。

据了解，这些机器在刷脸支付中均需用户授权，获取用户的手机号、性别、生日、常驻城市等多项个人信息。若选择其他支付方式，则有关注公众号、微博号等附加流程和多个二维码，增加了消费者扫码支付的难度。

此外，现在很多居住小区也增加了门禁刷脸。

需要注意的是，刷脸给人们带来便利的同时，也面临着技术被滥用、信息被泄露的风险。

此前，有媒体发布的一份报告显示，有九成以上受访者都使用过人脸识别，不过有六成受访者认为人脸识别技术有滥用趋势，还有三成受访者表示，已经因为人脸信息泄露、滥用而遭受隐私侵犯或财产损失。媒体调查发现，在某些网络交易平台上，只要花2元钱就能买到上千张人脸照片，5000多张人脸照片标价还不到10元。

浙江日报之前提到过，“人家直接一扫你的脸你的钱就被支付出去了，所以你这个脸就天天走在路上，这不就是一个行走的密码吗？”这样的担心并非没有道理。因为在刷脸几近泛滥的情况下，一旦人脸信息丢失，或者数据库泄密，就可能给人们带来较大风险。比如，当人们使用密码支付和二维码支付时，即便手机丢失，还可通过挂失等方式更换密码，进而确保安全。而面部信息等生物信息具有唯一性和不可更改性，其一旦泄露就处于不可逆转的暴露状态。

故“行走的密码”自然容易导致个人资金及相关信息被窃取，甚至出现被他人刷脸进入小区甚至房间等危及人身安全的极端事件。特别是，当小区或经营者都能通过刷脸方式搜集面部信息时，面部信息的安全性已然受到威胁。

不刷脸为原则，非必要不刷脸

2024年，上海市网信办曾表示，针对部分地铁站内自动售货机存在诱导使用“刷脸”支付等违法违规收集人脸信息问题，已会同上海市市场监管局、上海市国资委，联合约谈申通地铁及3家涉事自动售货机运营企业，要求企业立整立改。同时，指导申通地铁对全市范围地铁站内自动售货机的人脸识别技术滥用问题进行全面整治。

经过排查，申通地铁发现全市地铁站内共有1462台由14家企业运营的自动售货机，其中829台存在问题的设备已暂停人脸支付功能，待整改完成后方可重新启用。

2023年，国家网信办发布的《人脸识别技术应用安全管理规定（试行）（征求意见稿）》中也提到，使用人脸识别技术必须遵循“最少使用”和“最小存储”。

根据消费者权益保护法相关规定，消费者有权自主选择商品或服务。采取诱导，以及优惠的方式吸引用户选择刷脸支付，实际上限制了消费者的自主选择权，还可能对消费者个人信息的安全造成潜在威胁。

我国刑法、民法典、网络安全法、数据安全法、个人信息保护法等法律均对个人信息保护和数据安全作出规定。人脸生物信息属于敏感个人信息，应受到法律特殊保护。按照个人信息保护法的规定，使用人脸识别技术时，应坚持两个重要原则：合法性和必要性。合法性是指要有法律依据。个人信息保护法明确了两个合法性依据，一是告知同意，即取得公民的同意；二是基于公共安全需要（比如乘坐飞机、高铁等，这些场景不需要单独取得个人同意，因为这是民航、铁路机构在履行保障公共安全的法定义务）。必要性尤为重要，即使合法使用人脸识别技术，也要遵从必要性原则——只有那些特定的、必须通过获取人脸信息来实现身份识别的业务场景才可使用这一技术。因此，必要性原则可以概括为“非必要不刷脸”，或“不刷脸为原则、刷脸为例外”。

依据上述原则，在网球场、游泳馆等体育健身场所消费及在自动售货柜购物等，属于非必须使用人脸识别技术的消费场景。经营方可以通过传统的会员卡、门禁卡、密码支付等方式用于身份识别或收费服务等。经营方不得以消费者不同意处理其人脸信息或撤回同意为由，拒绝提供相应的产品或服务。

所以，面对这些隐患，用户在使用刷脸支付功能时，应提高警惕，保护好个人信息，如遇到类似问题，应及时联系相关平台的客服团队进行处理。

（文中部分内容综合自正在新闻、浙江日报、中国质量报等媒体）