2025年1月26日,《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》(以下简称《实践指南》)发布,《实践指南》是全国网络安全标准化技术委员会秘书处依据《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)等法律法规与中国电子技术标准化研究院、蚂蚁科技集团股份有限公司、中国银联股份有限公司等共同编制,旨在宣传网络安全相关标准及知识,对开展人脸识别场景个人信息处理工作提供标准化实践指引。
本文将介绍《实践指南》的法律政策背景和现实意义,梳理《实践指南》的核心要点,并讨论其对企业的潜在影响和企业的应对策略。
2020年5月颁布的《中华人民共和国民法典》(以下简称《民法典》)第111条规定自然人的个人信息受法律保护,第1034条将生物识别信息纳入受保护个人信息的范畴。自此,我国进入个人信息强保护时代。2021年6月,最高人民法院颁布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,该规定围绕人格权益保护构建了侵权行为样态、责任承担、举证方式、财产损失界定等规则,从多角度为人脸识别技术的运用提供法律保障。2021年6月,《数据安全法》为数据处理划定了不得违反法律法规、尊重伦理公德、遵守商业和职业道德的底线月,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)出台,将生物识别信息列入敏感个人信息范畴,为包括生物识别信息在内的个人信息保护制度构建了基本框架。此外,人脸识别、个人信息保护相关的法规政策及国家标准等也相继出台。
对于包括人脸数据信息在内的个人信息安全保护问题,我国正逐步构建并完善以《民法典》为引领,以《数据安全法》《网络安全法》《个人信息保护法》等法律为基础,以各项具体行业或者场景的法规政策及国家标准为具体要求的个人信息安全保护法律体系。新出台的《实践指南》依托于我国现行法律体系,结合人脸识别支付的技术特征和应用现状,将个人信息安全保护制度要求落实到人脸识别支付场景。
以人脸数据信息为代表的生物识别信息属于敏感个人信息,具有唯一性、可识别性、高度敏感性特征,一旦被不当获取、使用,将会严重损害个人人格权及财产权。[1]近年来,人脸识别支付技术以“无感交互”的便捷性快速渗透消费领域,从商超结账到地铁通行,刷脸支付逐步重塑现代生活场景。用户摆脱手机依赖,仅凭生物特征秒速完成交易,技术革新显著提升了消费效率与体验。然而,其背后的安全隐忧亦如影随形:人脸数据作为不可更改的生物密码,一旦遭黑客攻击或非法倒卖,将引发身份盗用、金融诈骗等连锁风险;3D面具伪造、动态视频攻击等技术漏洞的存在,更暴露出认证系统的潜在脆弱性。与此同时,公众对过度采集人脸信息的隐私焦虑持续发酵,人脸识别支付个人信息安全保护的现实必要性和紧迫性不言而喻,《实践指南》在此现实背景下应运而生。
人脸识别技术应用的场景化法律规制以隐私保护场景理论[2]为基础,根据人脸识别技术应用场景的不同而对其施以不同的法律规制手段,在具体应用场景中实现个人信息安全保护与数据流通的动态平衡,而这种平衡需要符合特定场景中各利益相关方的合理预期。《实践指南》正是聚焦人脸识别支付这一特定场景,对该特定场景下各相关方的权责进行合理分配,是人脸识别技术应用场景化法律规制的有益探索。
《实践指南》具体适用于人脸识别支付场景下数据的收集、存储、传输、导出、删除等各个环节,适用主体包括人脸识别支付服务提供方、人脸验证服务方、场所管理方、设备运营方。
《实践指南》第4条明确了相关方开展人脸识别支付相关工作的基本要求,这些基本要求与我国个人信息处理的基本原则—合法、正当、必要原则[3]一脉相承,是个人信息保护制度要求在人脸识别支付场景下的具体适用。
《实践指南》的基本要求明确,相关方开展人脸识别支付相关工作,涉及网络安全、数据安全、个人信息安全、系统安全、密码应用等,应符合相关法律法规要求并参考有关国家标准实施。
人脸识别的技术特征决定了对人脸识别数据的保护也必须构建包括技术保护在内的多维度保护体系。《实践指南》对相关方提出了各项针对性的技术保护要求,而第4条基本要求着重对人脸验证服务方使用人脸识别支付技术提出两个核心安全要求,即人脸特征不可逆性(无法通过存储的人脸特征恢复至人脸原始图像)和不可链接性(同一主体的不同人脸特征无法被关联识别)。
《个人信息保护法》第6条[4]被认为是个人信息处理中的最小必要原则在我国立法中的首次明确规定。最小必要原则指个人信息的处理限于实现处理目的所必要的最小范围且应采取对个人权益影响最小的方式进行。人脸识别支付场景下,相关方对人脸识别数据的收集、存储、使用等处理都应当遵循最小必要原则,《实践指南》第4条基本要求中明确设备运营方、场所管理方不应处理因人脸识别支付产生的人脸识别数据,正是该原则的具体体现。
“正当原则”要求个人信息处理必须出于特定、明确、合理的目的[5],禁止为了不正当目的处理个人信息。《实践指南》第4条的基本要求中规定的“人脸验证服务方不应将人脸识别数据用于除验证该个人身份外的任何其他目的”即是正当原则的体现。
以信息自决权为理论基础的“知情—同意”原则是世界各国法律规定的处理个人信息的通用原则,我国《个人信息保护法》[6]等相关法律中也对该原则予以明确规定。“知情—同意”原则是指信息业者在收集、处理个人信息之时,应当对信息主体就有关个人信息被收集、处理和利用的情况进行充分告知,并征得信息主体明确同意的原则。[7]《个人信息保护法》中对于包括人脸识别在内的敏感个人信息规定了更为严格的“单独同意”原则。上述原则在《实践指南》第4条的基本要求中得到重申,即人脸验证服务方提前取得个人单独授权同意(不满十四周岁的未成年人,应取得其监护人单独同意)后方可开展人脸数据处理,授权协议中应包含使用人脸识别技术处理人脸数据的必要性以及对个人权益的影响,且应清晰易读,便于用户查阅。
《实践指南》在前述基本原则或基本要求的基础上,对人脸识别支付场景下涉及到的各相关方提出了更为严格和全面的要求,明确了相关方个人信息安全保护的具体义务。
人脸识别支付服务提供方是通过网络支付服务平台,提供人脸识别支付服务的组织。
人脸识别支付服务提供方就数据的收集和存储应当坚持最小必要原则,因意外收集到的人脸数据应立即删除、不进行其他处理;除按照法律法规明确要求进行留存的人脸识别相关存证数据(不应用于存证外其他用途)外,不应储存人脸识别数据。
人脸识别支付服务提供方应在收集人脸识别数据时贯彻“知情—单独同意”原则,告知用户收集人脸识别数据的相关事项以及可能的影响,并取得个人的单独同意。
在技术要求上,人脸识别支付服务提供方应采取需要用户主动配合的措施收集人脸识别数据,并采取安全措施保证人脸识别数据的真实性、完整性和一致性,防止人脸识别数据在收集过程中泄露或篡改。
人脸验证服务方是通过执行人脸识别的各个环节(包括人脸识别数据采集、人脸特征处理、人脸识别数据存储、人脸识别数据比对、人脸识别结果决策)提供身份验证服务的组织。
人脸验证服务方就数据的收集、存储、传输、导出同样应坚持最小必要原则,在数据收集方面,应仅收集生成人脸特征所需的最小数据、最少图像类型的人脸图像;在数据存储和传输方面应仅留存或者传输具备不可逆、不可链接特性的人脸比对模板,不保留其他数据(有关管理部门有明确要求保留存证的除外);在数据导出方面,不应导出其留存的人脸识别数据(有关管理部门有明确要求的除外);在数据删除方面,除注册时保留的人脸识别数据外,人脸识别全部过程数据在当次人脸识别结果产生后全部删除(法律法规规定的数据除外)。
在技术要求上,人脸验证服务方应采取安全措施保证人脸识别数据的真实性、完整性和一致性,防止人脸识别数据在收集过程中泄露或篡改;应采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等并采取加密安全措施,保证信息安全;应采取双向身份鉴别、数据完整性校验、数据加密等措施保障人脸识别数据传输安全。
人脸验证服务方应在法律规定的情况下进行个人信息保护影响评估,如因业务需要确需提供或委托第三方处理人脸识别数据的,应进行个人信息保护影响评估;在对人脸识别数据删除或匿名化处理时,应对处理效果进行评估,确保已删除或匿名化处理的人脸识别数据不具备还原能力。
场所管理方是对人脸识别支付场景的设置、应用、管理起到决定性作用的组织或个人,如写字楼物业、园区物业、营业厅、小区居委会等,场所管理方不直接进行数据的采集、存储、传输等,其主要义务是对相应场所的摄像头等设备进行检查,以保证相关设备符合法律规定的安全要求。
设备运营方是通过布放人脸识别支付设备为用户提供支付服务的经营主体,如运营自动售货机提供自动售货服务的企业或个人。
设备运营方在数据收集、存储、运输时也应坚持最小必要原则。在数据收集方面,安装高度选择、人脸采集摄像头参数设置等应遵循最小化采集人脸原则,内部货物摄像头应通过调整拍摄的角度和清晰度等,仅识别用户取货的动作;在数据存储方面,用户通过经营主体布放设备使用人脸识别支付服务时,设备运营方不应存储人脸识别数据;在数据传输方面,用户通过经营主体布放设备使用人脸识别支付服务时,设备运营方不应存储人脸识别数据或者通过旁路、镜像等方式获取人脸识别数据。
设备运营方在数据处理时应当严格遵循“知情—单独同意”原则,如:不应强制人脸识别支付,也不应通过增加非人脸识别支付方式的难度、默认人脸支付选项、突出人脸支付选项等方式变相强制用户选择人脸支付方式。
在技术上,设备运营方应保证人脸采集摄像头仅能被特定的支付App调用;人脸采集摄像头采集链路宜具备防止旁路或劫持的安全措施,可采取的手段包括但不限于数据加密传输等。
《实践指南》通过规范人脸数据的采集、存储、传输、删除等全生命周期管理,要求相关企业须从“粗放式数据利用”转向“精细化合规治理”。例如,《实践指南》规定,数据采集需基于用户明确交互动作(如点击确认),且在识别完成后立即删除过程数据,这迫使企业强化实时处理能力,对依赖长期数据留存进行算法优化的企业而言,需调整商业模式,转向基于数据合规的有限分析。由此,企业需构建全生命周期数据治理体系,建立动态合规机制,通过专项团队定期审查数据合规问题,将合规压力转化为系统化治理的契机。
《实践指南》对人脸数据的收集、存储、传输、导出、删除均提出了技术安全要求,标志着企业人脸数据安全建设须从基础防护迈向技术深水区,相关企业(尤其是直接处理人脸数据的企业)必须主动更新技术以符合数据安全的要求。技术创新与数据安全也将可能重塑相关企业的市场竞争力,技术先进、数据安全性高的企业将可能通过强化隐私保护提升用户信任,而技术落后或数据安全性低的企业可能被挤出市场。此外,中小型企业因技术投入不足,可能面临更高安全风险,依赖第三方技术服务商实现合规转型可能成为必要路径。
《实践指南》将人脸识别支付这一场景下与人脸识别数据直接或间接相关主体的行为均纳入其规制范围,并全面规定了相关主体的各自的法定义务,覆盖了人脸识别数据从收集到删除的全生命周期,体现出浓厚的“用户保护”色彩。这就要求相关法律主体须明确自身定位,严格按照法律法规及相关技术标准的要求履行法定义务。因为在某些情况下,某一个人信息保护安全事件可能与多个法律主体的违法行为(作为或不作为)存在因果关系,多个法律责任主体将因此承担连带责任或者按份责任。
人脸识别支付技术蕴藏着推动社会进步的巨大潜力,但也隐藏较高的信息安全风险。我们在对人脸识别支付技术的应用和发展保持开放包容心态的同时,也必须保持理性、审慎的态度,平衡技术创新、数据利用与个人信息安全保护之间的关系,确保人脸识别支付技术在合法的轨道上运行,让技术真正成为推动社会进步的有力工具,而不是引发新的社会问题的源头。
此次《实践指南》的实施标志着人脸识别数据的个人信息保护从“原则性规范”迈向“场景化落地”。而随着针对人脸识别技术应用的各类场景的个人信息保护法律体系不断完善,相关法律法规及技术标准的衔接和协调问题值得我们进一步关注。在此背景下,相关企业应当尽快将数据合规治理纳入企业长期战略以适应我国数据治理现代化的要求。
[2]该理论认为,“场景正义”(contextual integrity)意味着,信息保护与信息流动在特定的情景中应符合各方的预期。转引自邢会强.人脸识别的法律规制[J].比较法究,2020,(05):51-63.
[3]如《民法典》第1035条规定:“处理自然人个人信息的,应当遵循合法、正当、必要原则。”;《个人信息保护法》第5条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”
[4]《个人信息保护法》第6条:处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
[6]《个人信息保护法》第14条:基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
[7]参见齐爱民:《信息法原论》,武汉大学出版社2010年版,第76页。