2023年5月21日，北京地鐵大興機場線刷掌乘車發佈會舉行，標誌着北京軌道交通開啓“刷掌”乘車時代。北京市交通委在接受媒體採訪時稱，此次刷掌乘車服務在大興機場線的試點是掌紋生物識別技術首次在軌道交通場景進行應用。

大興機場線“刷掌”支付技術由微信支付提供。5月21日，騰訊正式發佈微信“刷掌”支付，這是繼掃碼支付、指紋支付、刷臉支付後，微信推出的又一新支付方式。

微信方面介紹稱，“刷掌”支付採用“掌紋+掌靜脈”識別技術，具備無介質、非接觸、高便捷、高安全等特點。

其實，“刷掌”支付並非新技術。早在2020年9月，亞馬遜已研發出手掌掌紋識別技術Amazon One，最初應用於零售實體店的繳費環節，實現刷“手”結賬。2023年3月，據路透社報道，亞馬遜的手掌識別支付技術“Amazon One”已經推廣至全球200多個地點。

在國內，移動支付服務主要提供商阿里、騰訊等在掌紋識別領域均有佈局和嘗試。2021年8月，“刷掌”支付開始進行微信內部技術預研。天眼查APP顯示，2022年3月，騰訊公司申請了“刷掌設備”專利，7月26日獲得授權，預估在2032年3月24日到期。2022年10月14日，“微信刷掌支付”小程序上線，在深圳部分商家接入刷掌支付設備進行測試。

2022年2月，國家知識產權局公開了一份阿里的發明專利，專利名稱爲“身份識別方法、裝置、終端以及存儲介質”，申請保護一種掌靜脈識別的方法和運用這種方法的設備。天眼查App顯示，近期，支付寶（杭州）信息技術有限公司多個掌紋支付專利已獲授權，包括掌紋識別設備、收銀設備等。

西安交通大學自動化學院教授鍾德星告訴界面新聞，掌紋識別技術在學術層面的研究進行已久，“刷掌”支付的技術優勢首先體現在其安全性。

“掌紋識別依賴的是掌紋和掌靜脈結合所實現的多模識別，即雙重驗證。”鍾德星稱，“從硬件設備上來說，識別設備採用可見光補光和紅外補光技術，兼具可見光和近紅外攝像頭，用戶只需將手掌出示到攝像頭前，設備就能同步採集到掌紋和掌靜脈數據。這兩種數據難以被同時僞造。”

鍾德星還提到“刷掌”支付高精度的特點，“掌紋識別技術比虹膜識別的精度還要高，更不容易出錯。”但同時，他認爲，儘管“刷掌”支付在安全性方面具有優勢，而要實現大規模推廣，還是有較大難度。

“在第三方支付領域，掌紋識別很難取代二維碼，它在性價比和效率方面都缺乏優勢。”鍾德星指出，也就是“具體到不同的應用場景中，這種支付方式可以給大家提供多一種選擇。”

早在“刷掌”支付技術落地之前，業內就不乏聲音認爲，生物識別支付方式是未來移動支付的重要趨勢。當前，掌紋識別技術應用到支付領域，也引發人們對信息安全和隱私保護的擔憂。

“掌靜脈識別確實比人臉更安全，但是這一領域的立法和監管完善了嗎？”日前，有網友針對“刷掌”支付技術的監管問題提出疑問。對此，騰訊支付相關負責人日前表示，“刷掌”乘車服務通過採用數據脫敏和數據加密技術，可有效地保證用戶的安全使用，騰訊方面也將嚴格按照國家的相關法律要求進行管理。

三位美國參議院議員曾在給亞馬遜CEO的公開信中指出，掌紋是和麪部特徵一樣的生物識別信息，不能像賬戶、密碼等信息一樣被隨意改變，和用戶個人是唯一對應的，如果泄漏很可能影響到用戶。

北京觀韜中茂（上海）律師事務所合夥人、律師吳丹君告訴界面新聞，美國至今尚未在聯邦層面對生物標識和生物識別信息的保護作出統一規定，但對該領域的立法和實踐探索隨着生物識別技術的落地應用而不斷發展。

美國於2019年頒佈《商業人臉識別隱私法案》，對人臉識別信息的商業化使用進行規制。美國參議院曾於2020年審議《國家生物識別信息隱私法案》，擬通過該法案對生物標識和生物識別信息的收集和披露進行規制，保障個人信息主體的訴權，並明確企業對生物標識和生物信息的保護義務。

“近日，美國聯邦貿易委員會發布了一份關於規範生物識別數據的使用以及《美國聯邦貿易委員會法》第五條的政策聲明，強調打擊利用消費者生物識別信息進行商業欺詐的行爲。”吳丹君介紹。

中國信息通信研究院等曾在2020年發佈《生物識別隱私保護研究報告》指出，隨着生物識別信息的大規模應用，用戶隱私與安全保護問題逐漸暴露，引發在用戶個人信息收集和使用方面的風險。生物識別信息與個人身份高度綁定，且具有不易變更的特點，生物信息泄露、信息缺乏授權、深度僞造等問題嚴重威脅廣大用戶的切身利益，生物識別信息的濫用將帶來嚴重的社會問題。

目前，我國尚未專門制定針對掌紋和掌靜脈信息的管理規範。此前在2021年11月正式施行的個人信息保護法對敏感個人信息設專節保護。根據國家標準《信息安全技術 個人信息安全規範》，掌紋、掌靜脈信息是個人生物識別信息，正屬於敏感信息的範疇。

界面新聞也注意到，2023年4月，全國信息技術標準化技術委員會在其官方公衆號發佈消息稱，該委員會正在推動《人體生物特徵識別多模態識別 掌紋掌靜脈融合識別系統技術規範》的標準立項工作。

除了目前在交通場景的應用，“刷掌”支付還在向辦公、校園、健身、零售、餐飲等領域拓展。在技術相關標準尚未完善的情況下，技術服務提供者、監管方應採取哪些措施、行動規避和監管“刷掌”支付可能帶來的信息安全風險？

吳丹君認爲，服務提供者首先需保障生物識別信息的安全，事前開展個人信息保護影響評估，遵循最小必要原則明確該場景下的生物識別信息的處理目的、處理方式、採集範圍和應採取的保障措施。其次，需保障個人信息主體的合法權益，按照個人信息保護法向擬使用“刷掌”支付的個人信息主體進行明確告知並獲取單獨同意。同時，其還需明確告知個人信息主體撤回同意的方式，及時響應其權利請求。最後，其需及時應對個人信息侵害風險，在開展生物識別信息處理活動時加強風險監測，發現數據安全缺陷、漏洞等風險時，及時採取補救措施。

“監管方需結合‘刷掌’支付的技術特點和潛在風險儘快出臺及切實執行相應法律文件，規範服務提供者的生物識別信息處理行爲。另一方面，亦需採取措施加強與‘刷掌’支付優勢和風險防範相關的法治宣傳，提高個人信息主體的保護意識和保護能力。”吳丹君稱。

吳丹君還建議，用戶和消費者在選擇使用“刷掌”支付前應謹慎考慮自身採取該支付方式的必要性，並仔細考察服務提供者是否具備相應資質及是否在隱私政策等文件中清晰披露個人信息處理規則。

“當不再使用‘刷掌’支付時，建議用戶及時聯繫服務提供者或按照服務提供者提供的方式撤回同意，刪除相應生物識別信息。”吳丹君建議，“用戶和消費者應提高信息敏感性和權利保護意識，在自身個人信息權益受到侵害時，積極根據個人信息保護法等法律規定維護自身權益。”