《网络安全标准实践指南—人脸识别支付场景个人信息安全保护要求》解读 .pdfVIP

《网络安全标准实践指南一人脸识别支付场景个人信息安全保

护要求》解读

225年1月26日，《网络安全标准实践指南一一人脸识别支付

场景个人信息安全保护要求》（以下简称《实践指南》）发布，《实

践指南》是全国网络安全标准化技术委员会秘书处依据《中华人民共

和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国

数据安全法》（以下简称《数据安全法》）等法律法规与中国电子技

术标准化研究院、蚂蚁科技集团股份有限公司、中国银联股份有限公

司等共同编制，旨在宣传网络安全相关标准及知识，对开展人脸识别

场景个人信息处理工作提供标准化实践指引。

本文将介绍《实践指南》的法律政策背景和现实意义，梳理《实

践指南》的核心要点，并讨论其对企业的潜在影响和企业的应对策略。

一、引言：《实践指南》的法律政策背景与现实意义

（一）《实践指南》的法律政策背景

22年5月颁布的《中华人民共和国民法典》（以下简称《民

法典》）第111条规定自然人的个人信息受法律保护，第134条将

生物识别信息纳入受保护个人信息的范畴。自此，我国进入个人信息

强保护时代。221年6月，最高人民法院颁布《关于审理使用人脸

识别技术处理个人信息相关民事案件适用法律若干问题的规定》，该

规定围绕人格权益保护构建了侵权行为样态、责任承担、举证方式、

财产损失界定等规则，从多角度为人脸识别技术的运用提供法律保障。

221年6月，《数据安全法》为数据处理划定了不得违反法律法规、

尊重伦理公德、遵守商业和职业道德的底线。221年8月，《中华

人民共和国个人信息保护法》（以下简称《个人信息保护法》）出台，

将生物识别信息列入敏感个人信息范畴，为包括生物识别信息在内的

个人信息保护制度构建了基本框架。此外，人脸识别、个人信息保护

相关的法规政策及国家标准等也相继出台。

对于包括人脸数据信息在内的个人信息安全保护问题，我国正逐

步构建并完善以《民法典》为引领，以《数据安全法》《网络安全法》

《个人信息保护法》等法律为基础，以各项具体行业或者场景的法规

政策及国家标准为具体要求的个人信息安全保护法律体系。新出台的

《实践指南》依托于我国现行法律体系，结合人脸识别支付的技术特

征和应用现状，将个人信息安全保护制度要求落实到人脸识别支付场

景。

（二）《实践指南》的现实意义

以人脸数据信息为代表的生物识别信息属于敏感个人信息，具有

唯一性、可识别性、高度敏感性特征，一旦被不当获取、使用，将会

严重损害个人人格权及财产权。［1］近年来，人脸识别支付技术以“无

感交互”的便捷性快速渗透消费领域，从商超结账到地铁通行，刷脸

支付逐步重塑现代生活场景。用户摆脱手机依赖，仅凭生物特征秒速

完成交易，技术革新显著提升了消费效率与体验。然而，其背后的安

全隐忧亦如影随形：人脸数据作为不可更改的生物密码，一旦遭黑客

攻击或非法倒卖，将引发身份盗用、金融诈骗等连锁风险；3D面具

伪造、动态视频攻击等技术漏洞的存在，更暴露出认证系统的潜在脆

弱性。与此同时，公众对过度采集人脸信息的隐私焦虑持续发酵，人

脸识别支付个人信息安全保护的现实必要性和紧迫性不言而喻，《实

践指南》在此现实背景下应运而生。

二、《实践指南》核心要点解读

（一）适用范围

人脸识别技术应用的场景化法律规制以隐私保护场景理论［2］为

基础，根据人脸识别技术应用场景的不同而对其施以不同的法律规制

手段，在具体应用场景中实现个人信息安全保护与数据流通的动态平

衡，而这种平衡需要符合特定场景中各利益相关方的合理预期。《实

践指南》正是聚焦人脸识别支付这一特定场景，对该特定场景下各相

关方的权责进行合理分配，是人脸识别技术应用场景化法律规制的有

益探索。

《实践指南》具体适用于人脸识别支付场景下数据的收集、存储、

传输、导出、删除等各个环节，适用主体包括人脸识别支付服务提供

方、人脸验证服务方、场所管理方、设备运营方。

（二）基本原则

《实践指南》第4条明确了相关方开展人脸识别支付相关工作的

基本要求，这些基本要求与我国个人信息处理的基本原则一合法、正

当、必要原则［3］一脉相承，是个人信息保护制度要求在人脸识别支

付场景下的具体适用。