首先说明几点
- 上一个帖子,因为特殊原因,十分钟没有修改成功。
- 脑残粉直接无视。
- 不推荐任何扫码支付,看好的是 Apple Pay、Samsong Pay、Android Pay、银联闪付、京东闪付、华为 Pay 这种走银行渠道的 NFC 支付。二者的区别,请看我另外一个帖子: https://www.v2ex.com/t/446316。
关键字
强制刷脸
背景
某支付,一开始是一直用的。后来其 Andorid 应用端改名叫……钱包,权限膨胀,随删除。再后来,接触某东,不久后某东取消了某支付,原因据说是避免销售数据被对方利用。再后来,办了信用卡,水电费都能用卡交,某支付不能。此时,手机已换成 lumia,电商用某东(有 APP ),生活用银行应用,偶尔用某支付的移动网页支付。再后来,微信支付出来了,基于对腾讯的偏见,从来不用。再后来,迫于占便宜的商家,用了一个不经常使用的借记卡开了微信支付,只在不得不用的时候使用,并且是现充现用。
这次报销的钱要转给同事,只接受钉钉或某宝,选择了钉钉发起支付,某宝执行支付。
过程还原
- 装某宝。登录。
- 钉钉发起支付,输了密码后,要求打开相机权限,拒绝,支付被终止。
- 打开某宝,确认刷脸登录关闭,然后添加了 Apple Id 指纹登录方式。
- 再次支付,仍然需要输入密码,接着仍然要开相机权限,继续拒绝,支付被终止。
- 以为开了相机权限后能跳过刷脸。开了相机权限,发现不能跳过,支付被终止。
- 打开某宝,仔细查找配置,找到了指纹支付的选项,打开。
- 再次支付,输入 Apple ID 指纹后,要求刷脸,支付被终止。
- 重复尝试了几次,告知支付异常,要求手机验证码解锁。
- 解锁后再次尝试,要求刷脸,支付被终止。
- 卸载某宝 APP,用某宝移动网页支付,支付成功。
- 刚刚 Google “某宝强制刷脸”,发现不是个例。
- 某宝客服屁用没有。
- 知乎一个帖子,某宝说是为了“安全”,并附加长篇官话(我标题都没看完)。确认了该情况并不会必然出现。
- NGA 一个帖子,脑残粉连楼主的帖子都不认真看就开始嘲讽楼主(楼主截图明示没有开刷脸登录,脑残粉嘲讽楼主开了刷脸登录)。通过该帖子,确认了:在一个新 APP 上首次支付(不是登录)时,可能要求刷脸;刷脸的目的不是确认是本人操作,而是留下这次操作人的脸部特征。
分析
- 登录时不需要刷脸;以前没刷过脸作为基准;移动网页支付不刷脸就可用:所以刷脸不是为了确认“本人在新设备上支付”,与身份认证无关。(移动网页端是能检测异常设备的,Android 模拟器上 APP 和移动网页是都不能用的)
- 强制刷脸的目的,是高清拍照留证据,是事后补救的需要。当某宝被盗刷时,方便查找盗刷的人,顺便也方便推卸责任(参见信用卡若密码支付则盗刷时银行零责任)。拍照留证据的方式,某宝越界了(即不是执法机关又没做明显的提示)。普通监控摄像头是非高清的,限于容量也无法长期保存,而某宝刷脸是可以长期保存的。某宝也没明说保存多久,可以认为是永久保存。
- 不排除强行搜集隐私的可能性。
- 不能等同于银行开户、办手机卡时的拍照。银行和移动运营商受人行或工信部监管,同时也有法律法规赋予它们检查身份证的权利。
- 不能等同于 Window Hello、Apple Face Id 这样的面部识别登录。它们的面部特征信息是存储在设备上,不上传到服务器,并且很有可能是不可逆的密钥(只能判断某张脸是否匹配特征,不能从特征还原脸)。
结论和决定
运营某宝的商业公司,不是受监管的金融机构,便利性、安全性,以及二者的平衡点还没有做到商业银行的地步,以隐私换安全、盗刷责任往用户身上推等等的脾性,比国有银行还任性。某宝本来能做成中国的支付标准,却手深得太长做成了毒瘤。
愿这辈子别再见,某付宝。
后续线上商城京东、线下商城 Apple Pay、小商店微信支付,网页支付从某宝换成微信(两害相比取其轻)。