张建民：《人脸识别支付场景个人信息安全保护要求》解读

​​

 

 

人脸识别支付（FRP——Facial Recognition Payment）又称刷脸支付（Scan the face to pay），是在传统密码、指纹、二维码支付之后衍生的一种新型支付方式，伴随着5G、IoT等前沿科技的落地应用，刷脸支付产业正加速崛起。刷脸支付的发展及普及，对于提升用户支付体验、改善商户经营效率、带动经济社会智能化发展具有重要价值。然而，人脸信息属于个人独有的生物识别信息，一旦被不当获取、泄露或者滥用，将严重威胁个人的人格尊严或者人身、财产安全。《哪吒2》电影彩蛋中，无量仙翁刷脸失败，被迫以物理方式将面部暴力重塑才通过验证。这个充满荒诞色彩的桥段，实则额外隐喻了技术嬗变中的一个核心矛盾——如何在效率与安全之间构建动态平衡？

为回应社会关切，总结最佳实践，指导相关方开展人脸识别支付场景个人信息安全保护工作，全国网络安全标准化技术委员会（以下简称“网安标委”）于2023年5月23日发布《网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求（征求意见稿）》（以下简称“《征求意见稿》”），并于2025年1月26日发布其正式稿——《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》（网安秘字〔2025〕19号）（以下简称“《要求》”）。《要求》系统梳理了人脸识别支付场景数据收集、存储、传输、导出、删除等各环节的安全要求，为人脸识别支付服务提供方、人脸验证服务方、场所管理方、设备运营方处理个人信息提供指引参考。

本文将从《要求》出台背景以及对比征求意见稿与正式发布稿两个版本的核心差异（详见文末新旧对照表）角度，结合监管逻辑与市场实践，解读立法意图的变化及实务合规要点。

一

《要求》出台的背景

2017年施行的《中华人民共和国网络安全法》（以下简称“《网安法》”）第四十条、第四十一条、第四十二条、第四十三条及第四十四条明确规定，网络运营者应当建立健全用户信息保护制度[1]，收集、使用个人信息遵循合法、正当、必要原则且经被收集者同意[2]，按照个人要求及时删除或者更正个人信息[3]，并采取技术措施和其他必要措施确保其收集的个人信息安全[4]。

2020年1月，为规范支付应用技术创新，防范刷脸支付安全风险，中国支付清算协会组织制定了《人脸识别线下支付行业自律公约（试行）》。

2020年10月，国家标准《信息安全技术 个人信息安全规范（GB/T 35273-2020）》正式发布，作为我国个人信息保护领域的重要标准之一，对个人敏感信息的保护提出了要求，其中明确规定个人敏感信息包含面部识别特征。

2021年，《中华人民共和国个人信息保》（以下简称“《个保法》”）《中华人民共和国数据安全法》（以下简称“《数安法》”）先后正式生效，敏感个人信息的处理规则得到进一步明确，同时细化了个人信息处理者履行义务的相关规定。

2021年10月，国家标准《信息安全技术 生物特征识别信息保护基本要求（GB/T 40660-2021）》正式发布，规定了各类生物特征识别信息控制者开展收集、存储、使用、委托处理共享、转让、公开披露、删除等生物特征识别信息处理活动应遵循的基本原则和安全要求。

进一步地，于2022年10月12日发布的国家标准《信息安全技术 人脸识别数据安全要求（GB/T 41819-2022）》进一步梳理了对于人脸识别数据的安全通用要求，以及收集、存储、使用、传输、提供、公开、删除等具体处理活动的安全要求。同日发布的国家标准《信息安全技术 网络支付服务数据安全要求（GB/T 42015-2022）》特别规定了网络支付服务典型场景下对数据安全的要求，即网络支付服务提供者通过生物特征实现支付、身份认证的，应遵守GB/T 40660、GB/T 41819中规定的要求即其他生物特征识别信息安全相关国家标准的要求。

2023年5月23日，网安标委秘书处就《征求意见稿》公开征求意见。

历经一年多的酝酿，覆盖人脸识别支付场景下各个处理环节的正式版《要求》发布，《要求》基于社会的回应意见对《征求意见稿》进行了系统性优化，为支付场景中人脸数据的安全处理与合规应用提供了符合《网安法》《个保法》《数安法》要求的标准化实践指引。

二

《要求》的核心修订

（一）明确扩大适用范围

1. 适用场景的拓宽

《征求意见稿》第一条将适用场景限定为“室内外各区域中的人脸识别支付场景”，同时排除了“用户在其自有手机或其他自有智能移动终端上进行的人脸识别支付”的场景；而《要求》第一条概括性地规定了“人脸识别支付场景数据收集、存储、传输、导出、删除等环节的安全要求”，同时第三条明确了适用场景包括两大类，即通过用户所拥有的设备（以下简称“用户设备”）提供的人脸识别支付服务、通过经营主体布放的设备（以下简称“经营主体布放设备”）提供的人脸识别支付服务。

2. 适用对象的增加

《征求意见稿》第三条规定其适用对象为人脸识别支付的服务提供方、相关场所管理方；在此基础上，《要求》第一条增加了人脸验证服务方和相关设备的运营方两个相关主体，明确文件给出的安全要求“可为人脸识别支付服务提供方、人脸验证服务方、相关场所管理方、相关设备的运营方处理个人信息提供参考”，并将以上主体统称为“相关方”。

（二）增强人脸数据处理活动的透明度

《征求意见稿》除了在第四条阐明人脸识别支付场景个人信息保护的基本要求外，第六条明确了人脸识别支付使用的摄像头固定朝向情形下，区域入口应设置显著标识。

相比而言，《要求》细化了人脸识别支付过程中相关方的告知提示义务。具体而言，第四条增加了对于授权协议的内容及形式要求，第五条明确了收集人脸识别数据时的告知义务，第六条要求人脸验证服务方明确告知用户其人脸数据的保存期限。此外，《要求》第八条细化了《征求意见稿》中对于显著标识设置的形式要求，即设备应采用亮屏、亮灯、屏幕提示等方式对外提示摄像头已开启，且该提示应明显易察觉。

（三）增强个人对人脸数据的控制力

1. 取得个人单独授权同意

《征求意见稿》第五条规定，“不应收集人脸识别期间之外的数据：应仅在人工做出点击等明确交互动作后开始收集数据”。在此基础上，《要求》基于《个保法》第二十九条[5]的规定，于第四条增加了开展人脸数据处理活动的前置条件，即“人脸验证服务方提前取得个人单独授权同意后方可开展人脸数据处理活动”；更严格地，对于不满十四周岁未成年人的身份识别，人脸识别支付服务提供方如需使用人脸识别方式，应取得其监护人单独同意。

2. 采取需要用户主动配合的措施

《征求意见稿》第五条要求人工做出点击等明确交互动作，而《要求》第五条则进一步细化了“用户主动配合的措施”的具体形式，即要求用户直视收集设备并做出目光注视、特定姿势、表情，或进入明确标注了人脸识别应用的专用收集通道等，此外第六条明确了人脸识别支付摄像头只有在支付用户临近并进行了支付启动的相关操作后方可开启。

3. 提供非人脸识别支付选项

与最高人民2021年8月1日施行的《最高人民关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（法释〔2021〕15号）第四条[6]相呼应，《要求》第八条明确相关方不应拒绝用户使用其他方式进行支付，具体表现为：（1）用户通过经营主体布放设备使用人脸识别支付服务时，用户不同意收集人脸识别数据的，不应拒绝用户使用其他方式进行支付；（2）不应强制要求用户在人脸识别支付过程中绑定手机号；（3）设备运营方不应将人脸识别作为支付的默认选项；（4）设备运营方不应通过关注公众营销账号等附加流程增加用户选择其他非人脸识别支付方式的难度；（5）设备运营方为用户提供人脸识别支付及非人脸识别支付选择时，人脸识别支付选项的表现形式不应显著优于非人脸识别支付选项的表现形式，例如按钮更大、颜色更突出、点击更便捷等。

（四）增强人脸数据处理活动的安全性

1. 实施安全技术保障

第一，《要求》第四条明确了人脸验证服务方采用人脸识别技术的，应实现人脸特征不可逆、不可链接等特性。第二，《要求》第六条规定了人脸验证服务方在数据存储环节中，应采取加密存储等安全措施保证人脸识别数据的真实性、完整性和一致性，并采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等，防止人脸识别数据在收集过程中泄露或篡改；规定了人脸验证服务方在数据存储环节中，应采取双向身份鉴别、数据完整性校验、数据加密等措施保障人脸识别数据传输安全。第三，《要求》第八条增加了对设备运营方采取安全技术保障的要求，即人脸采集摄像头采集链路宜具备防止旁路或劫持的安全措施，可采取的手段包括但不限于数据加密传输等。

此外，《要求》第四条整合了各参与主体的信息安全保护义务，明确相关方应共同保障非人脸识别数据，确保不传出设备。

2. 开展个人信息保护影响评估

作为对《个保法》第五十五条[7]的落实，《要求》第四条规定了人脸识别支付服务提供方及人脸验证服务方应事前开展个人信息保护影响评估。具体地，第六条明确了用户通过用户设备或经营主体布放设备使用人脸识别服务时，人脸验证服务方不应向第三方提供或委托处理人脸识别数据，因业务需要确需提供或委托处理的，应进行个人信息保护影响评估并按照法律要求取得相应的合法性基础。

3. 履行监督核实义务

相较于《征求意见稿》，《要求》第四条增加规定了人脸识别支付服务提供方的监督核实义务，即人脸识别支付服务提供方如果需要集成人脸验证服务方提供的SDK或云服务进行人脸识别的，应监督、核实人脸验证服务方是否满足《要求》所提出的要求。

三

监管趋势的总体变化分析

（一）从“单一规范”到“全景覆盖”

通过放宽用户设备提供人脸识别支付服务的适用场景、增加人脸验证服务方和设备运营方作为适用对象、囊括人脸识别支付场景数据收集、存储、传输、导出、删除等环节，监管部门将资源覆盖至涉及人脸识别支付的各个场景，避免了单一化、限制性的监管路径。基于此，人脸数据处理活动中所涉的相关方均受到该要求的合规指引，有助于企业在开展活动初期进行风险预测与评估。

（二）强化数据治理的权责分配

首先，通过细化人脸识别支付过程中相关方的告知提示义务及其告知形式，要求提升人脸数据处理活动的透明度，保护用户个人对其人脸数据处理的知情权；其次，将取得个人单独授权同意、采取需要用户主动配合的措施、提供非人脸识别支付选项作为相关方开展人脸数据处理活动的前置条件，加强用户个人对其人脸数据的控制力，保护用户的数据所有权以及支付方式选择权；最后，要求相关方实施安全技术保障、开展个人信息保护影响评估、履行监督核实义务，防止人脸识别数据的泄露或篡改，维护用户人脸数据的安全性。

《人脸识别支付场景个人信息安全保护要求》新旧对照表

说明：xx为删减，xx为新增，xx为征求意见稿表述调整部分，xx为正式稿表述调整或细化部分。

 

 

 

 

 

 

 

 

 

 

●注释：

[1]《中华人民共和国网络安全法》第四十条：网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

[2]《中华人民共和国网络安全法》第四十一条：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。第四十四条：任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

[3]《中华人民共和国网络安全法》第四十三条：个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

[4]《中华人民共和国网络安全法》第四十二条：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

[5]《中华人民共和国个人信息保》第二十九条：处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

[6]《最高人民关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第四条：有下列情形之一，信息处理者以已征得自然人或者其监护人同意为由抗辩的，人民不予支持：（一）信息处理者要求自然人同意处理其人脸信息才提品或者服务的，但是处理人脸信息属于提品或者服务所必需的除外；（二）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；（三）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。

[7]《中华人民共和国个人信息保》第五十五条：有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。

特别声明：

大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。

 

 

1. 张建民：以授权运营促开发利用——《公共数据资源授权运营实施规范（试行）》（公开征求意见稿）之解读
 

2.张建民：《民航领域数据分类分级要求（征求意见稿）》之解读
 

3. 张建民：“以审促规，以规固本”——《个人信息保护合规审计管理办法》解读
 

 

 

本文作者