《人脸识别支付场景个人信息安全保护要求》下人脸识别支付的合规路径

​​人脸识别支付技术因其便捷性和高效性，在支付领域得到了广泛应用，支付宝、微信支付等主流支付平台均已推出人脸识别支付功能，在各种支付场景中，用户可以通过“刷脸”完成支付操作，极大地提高了支付效率和用户体验。此外，银行等金融机构也在柜员机、网点等场景中引入人脸识别技术，用于身份验证和交易授权。尽管人脸识别支付技术为用户带来了诸多便利，但其广泛应用也引发了诸多个人信息安全风险。为了应对人脸识别支付技术所带来的风险，全国网络安全标准化技术委员会（以下简称“网安标委”）于2025年1月26日发布了《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》（以下简称“《保护要求》”），针对人脸识别支付场景下的不同责任主体在数据收集、存储、传输、导出、删除等环节提出了相应的合规要求，为相关责任主体提供了明确的合规指引。本文将对该《保护要求》的核心内容进行分析，并结合案例提供合规建议。

 

一、《保护要求》的适用范围及其效力

 

《保护要求》适用于人脸识别支付场景下数据收集、存储、传输、导出和删除等环节，主要面向人脸识别支付服务提供方、人脸验证服务方、场所管理方以及设备运营方等责任主体。不同主体的角色定义和典型示例如下表所示：

 

 

此外，根据支付场景的不同，责任主体可能也会存在角色重叠的情况。当出现角色重叠的场景时，明确各责任主体在不同场景下的义务与职责显得尤为重要。

 

值得注意的是，虽然《保护要求》作为技术文件，并不具有强制性法律效力，但作为网安标委编制的权威性指引文件，其对于有关安全标准的应用具有重要的指导意义，不仅为企业和相关机构提供了明确的合规方向，也为监管部门的执法活动提供了重要的参考依据。随着人脸识别支付技术的快速发展和应用场景的不断拓展，该领域的个人信息保护问题日益受到关注。《保护要求》一定程度上代表着人脸识别支付领域的安全标准的制定方向，其文本可能成为相关国家标准的基础。因此，相关主体应重视《保护要求》的要求，将其作为合规运营的重要依据来实施。

 

二、不同责任主体的安全义务
 

《保护要求》对人脸识别支付服务提供方、人脸验证服务方、场所管理方、设备运营方等各责任主体的责任与义务进行了详细规定。主要义务包括：

 

人脸识别支付服务提供方及人脸验证服务方应事前开展个人信息保护影响评估；

人脸识别支付服务提供方需对人脸验证服务方进行监督，核实人脸验证服务方是否符合《保护要求》；

人脸验证服务方需提前取得个人单独授权同意后方可开展人脸数据处理活动；

场所管理方应检查设备是否符合《保护要求》；

设备运营方需确保数据收集、存储、传输环节的安全性，并采取必要的技术措施，不得强制要求用户使用人脸识别支付方式等。

 

 

《保护要求》按照数据全生命周期的顺序，分别规范了各责任主体在数据收集、存储、传输、导出、删除等环节的安全要求：

 

1、人脸识别支付服务提供方的安全义务与要求

 

人脸识别支付服务提供方作为通过网络支付服务平台提供人脸识别支付服务的组织，其安全义务主要集中在数据收集和存储环节。

 

在数据收集环节，必须向用户明确告知收集人脸识别数据的相关事项及潜在影响，并取得用户的单独同意，针对不满十四周岁的未成年人，人脸识别支付服务提供方如需使用人脸识别方式对其进行身份识别的，应取得其监护人单独同意；若在未获得用户同意的情况下意外收集到人脸图像，应立即删除且不得进行其他处理，确保数据不可恢复。

 

在数据存储环节，原则上不应存储人脸识别数据，除非法律法规明确要求留存相关存证数据，且这些存证数据不得用于存证之外的其他用途。

 

此外，人脸识别支付服务提供方如需集成人脸验证服务方提供的SDK或云服务进行人脸识别，应监督、核实人脸验证服务方是否符合《保护要求》的规定，确保整个支付流程符合安全标准。

 

2、人脸验证服务方的安全义务与要求
 

人脸验证服务方负责执行人脸识别的各个环节，包括数据收集、特征处理、存储、比对及结果决策等，安全义务则贯穿数据收集、存储、传输、导出和删除的全过程，并以提前取得个人单独授权同意为开展人脸数据处理活动的前提与合法性基础。

 

在数据收集环节，该方须确保符合最小必要原则，应仅收集生成人脸特征所需的最小数据量，且人脸识别摄像头的开启必须基于用户的临近及支付启动操作，完成识别后应立即关闭摄像头，同时采取安全措施确保数据的真实性、完整性和一致性，防止数据泄露或篡改。

 

在数据存储环节，仅留存具备不可逆、不可链接特性的人脸比对模板，采用物理或逻辑隔离方式存储人脸识别数据和个人身份信息，并采取加密存储等安全措施。

 

在数据传输环节，需确保传输数据具备不可逆、不可链接等特点，并采取双向身份鉴别、数据完整性校验和加密等措施保障传输安全。

 

在数据导出环节，应严格限制数据导出行为，除非有管理部门的明确要求，否则不得向第三方提供或委托处理人脸识别数据。因业务需要确需提供或委托处理的，应进行个人信息保护影响评估并按照法律要求取得相应的合法性基础。

 

在数据删除环节，当人脸识别过程结束后，除注册时保存的特征信息和主管部门要求保留的数据外，其他过程数据应全部删除，并对删除或匿名化处理的效果进行评估，确保数据不具备还原能力。

 

3、场所管理方的安全义务与要求

 

场所管理方作为对人脸识别支付场景的设置、应用和管理起决定性作用的组织或个人，其安全义务主要体现在摄像头设置和设备检查管理方面。场所管理方应检查设备是否符合相关要求，如是否存在强制用户使用人脸识别支付，支付方式是否正当合理。

 

在摄像头设置方面，对于人脸识别支付设备的摄像头安装高度、参数设置等应检查其是否遵循最小化采集人脸的原则，避免过度收集用户信息。同时，应防止摄像头的非正常调用，确保摄像头的拍摄范围合理，不得朝向更衣室、厕所、浴室等隐私区域，以及个人进行敏感交互操作的区域（如账号输入、口令输入等区域），除非交互过程已被持续遮挡隐蔽。

 

在设备合规性检查方面，场所管理方应检查设备是否符合《保护要求》，确保设备运营方不会因用户拒绝使用人脸识别支付而拒绝其使用其他支付方式，监督设备运营方提供多种支付方式供用户选择，避免强制或诱导用户使用人脸识别支付。

 

4、设备运营方的安全义务与要求
 

设备运营方作为通过布放人脸识别支付设备为用户提供支付服务的经营主体，安全义务主要集中在数据收集、存储和传输环节。

 

在数据收集环节，设备运营方需提前检查设备摄像头情况，确保摄像头的安装和参数设置遵循最小化采集人脸的原则；用于人脸识别的摄像头开启时，设备应通过亮屏、亮灯、屏幕提示等方式明确告知用户摄像头已开启，且该提示应明显易察觉。除用于人脸识别的摄像头外，设备上不应设置其他朝向设备周边环境的摄像头，已安装但无法拆除的应通过停止供电、软件禁用等方式停止其功能。人脸采集摄像头应仅能被特定的支付App调用，且采集链路应具备防止旁路或劫持的安全措施，如数据加密传输等。

 

在数据存储环节，设备运营方应确保不存储人脸识别数据。这一要求既适用于设备本身，也适用于设备运营方的后台系统。具体而言，在设备层面，设备运营方在人脸识别支付设备（如自动售货机、柜员机等）上不应存储人脸识别数据。设备在完成人脸识别任务后，应立即将相关数据删除，确保设备上不保留任何人脸识别数据。在后台系统层面，设备运营方的后台系统也不应存储人脸识别数据。即使数据在设备上被短暂处理，也不应传输到设备运营方的服务器或其他后台系统进行存储。后台系统应仅处理必要的交易信息，而不涉及人脸识别数据的存储。

 

在数据传输环节，设备运营方不应通过旁路、镜像等方式获取人脸识别数据，确保数据传输的安全性和合规性。

 

此外，设备运营方还应尊重用户的选择权，当用户不同意收集人脸识别数据时，不应拒绝其使用其他支付方式；不应强制要求用户在人脸识别支付过程中绑定手机号，且不应将人脸识别作为支付的默认选项，也不应通过附加流程增加用户选择其他非人脸识别支付方式的难度。在为用户提供人脸识别支付和非人脸识别支付选项时，人脸识别支付选项的表现形式不应显著优于非人脸识别支付选项，避免强迫或误导用户使用人脸识别支付的支付方式。

 

三、与人脸识别支付服务的执法案例

 

2024年10月，上海市网信办进行专项执法行动，对上海地铁站内的无人售货机普遍存在“未经同意收集人脸信息”、“诱导收集个人信息”等问题进行整治。涉及的问题包括在售货机上诱导消费者使用“人脸支付”、“刷脸付”等功能，并在识别后要求授权获取性别、手机号、生日等与支付无关的信息。上海市网信办督导地铁公司对全市地铁站内的1400余台无人售货机进行排查整改并对运营自动售货机的企业进行了约谈。

 

结合《保护要求》来看上述案例，地铁公司作为地铁站的场所管理方，负责自动售货机的设置和管理，不仅应当检查自动售货机的摄像机设置、防止设备摄像头的非正常调用以及确保摄像头拍摄范围合理，还应当检查自动售货机是否存在强制或诱导用户进行人脸识别支付的行为，以及是否保障用户自主选择其他支付方式的权利。地铁站内的自动售货机普遍存在诱导使用“刷脸”支付、未经同意收集人脸信息等问题，表明场所管理方并未履行对设备运营方提供设备的合规性的检查职责与义务。

 

自动售货机运营者作为设备运营方，负责设备的具体运营和数据管理。根据《保护要求》，设备运营方不应在用户不同意收集人脸识别数据时，拒绝其使用其他支付方式，也不得诱导用户使用人脸识别支付，更不得强制要求用户在人脸识别支付过程中绑定手机号。然而，部分自动售货机运营企业不仅诱导消费者使用“刷脸”支付，还在识别后要求授权获取手机号或提供性别、生日等其他与支付无关的信息，这些行为均违反了《保护要求》。

 

为自动售货机提供支付服务的人脸识别支付服务提供方，也承担着重要的责任。根据《保护要求》，人脸识别支付服务提供方在收集人脸识别数据时，必须向用户告知收集的相关事项并取得单独同意。例如，支付宝已在进行人脸识别支付的页面中，添加了提示用户阅读并同意《生物识别服务通用规则》的机制，让用户了解其人脸识别信息的收集使用范围，并得到用户的明确授权。这种做法确保了在充分告知用户的基础上获得其单独同意，遵从了《保护要求》的规范。

 

四、合规建议

 

在人脸识别支付的应用场景中，建议各责任主体遵循《保护要求》的规范，从合规体系建设、技术措施落实、用户知情同意以及建立协作机制等多方面入手，以保障个人信息安全，维护用户合法权益，进而在人脸识别支付业务中实现合规运营。

 

1、合规体系建设

 

各责任主体应建立完善的个人信息保护合规体系，根据《保护要求》的规范明确数据收集、存储、传输、删除等环节的操作规范和责任分工。人脸识别支付服务提供方需加强对人脸验证服务方的监督，明确与人脸验证服务方的合作边界，通过合同条款约束合作方的数据处理行为。特别地，人脸识别支付服务提供方和人脸验证服务方应事前开展个人信息保护影响评估，确保履行《个人信息保》项下的法定义务。同时，作为个人信息处理者，应定期开展内部审计，检查数据处理流程的合规性，定期开展个人信息保护培训，提升员工对个人信息保护的意识。

 

2、技术措施落实
 

人脸验证服务方应重点落实人脸识别特征的不可逆和不可链接性，确保人脸识别技术的实现符合《保护要求》规范。具体而言，应采用先进的加密技术和数据匿名化处理手段，对人脸特征数据进行加密存储，防止数据在存储和传输过程中被篡改或泄露。同时，应确保人脸特征数据不可逆，无法从存储的数据中还原出原始的人脸图像，从而降低数据被滥用的风险。设备运营方需优化摄像头的安装高度和拍摄角度，遵循最小化采集原则，避免采集到非必要的用户信息。此外，设备运营方应采用数据加密传输技术，防止采集链路被旁路或劫持，通过SSL/TLS等加密协议确保数据在设备与服务器之间的传输安全。

 

3、用户知情同意
 

为确保人脸识别支付场景下的用户权益，人脸识别支付服务提供方需制定规范的收集使用规则，明确告知用户人脸识别信息处理的目的、方式、范围及对个人权益的影响。在用户授权过程中，应避免默认勾选或强制用户同意，确保用户在充分知情的前提下自主做出选择。设备运营方应注意，不应将人脸识别作为支付的默认选项，保障用户选择其他支付方式的权利，并且也不应强制要求用户在人脸识别支付过程中绑定手机号或提供其他与完成支付操作无关的个人信息。同时，在相应的收集使用规则中，应当向用户公布投诉、举报方式，及时处理用户的投诉与意见。

 

4、建立协作机制