作者:周永勇、曾雪
前言 人脸识别技术作为生物识别领域的核心应用,已深度融入金融服务、商业消费、物业安保、交通出行等各类场景,成为数字化生活的重要组成部分。在技术规模化应用的同时带来了隐私泄露、数据滥用等安全隐患,而人脸数据属于敏感生物信息,密码泄露可以重置,人脸无法“重置”。我国正加速完善个人信息、人脸信息保护立法体系。国家互联网信息办公室、公安部联合印发的《人脸识别技术应用安全管理办法》将于2025年6月1日起实施,为人脸识别技术的合规应用划定清晰边界。 本文聚焦商业银行场景需求,通过梳理人脸识别技术相关监管政策、国家标准及行业规范,提炼人脸识别技术应用的合规要点,供业界参考: 1. 处理人脸信息的原则:特定目的、充分必要、影响最小。 2. 用户单独同意 (1)用户充分知悉、自愿使用、单独同意。单独同意是一种增强的“同意”方式,例如:由个人查看弹窗提示的人脸信息处理规则后,点击同意。 违规情形示例: a. 通过一揽子告知同意、与其他授权捆绑同意; b. 不点击同意就不提供服务(与该服务直接相关的除外); c. 强迫或者变相强迫用户同意. 3. 禁止误导、欺诈、胁迫 禁止误导、欺诈、胁迫用户接受人脸识别技术。 违规情形示例: a. 将人脸识别方式作为身份识别首选方式或默认方式,误导用户选择人脸识别; b. App更新时将用户设置的验证方式自动恢复到默认状态; c. 以办理业务、提升服务质量等为由,误导、欺诈、胁迫用户接受人脸识别技术验证个人身份; d. 未提供便捷的不予同意或撤回同意的方式。 4. 人脸信息采集的非强制性、非唯一性(非必经程序) (1)实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式(或必经验证流程)。除法律、行政法规另有规定外。 (2)验证途径 国家鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施身份验证,减少人脸信息收集、存储。鼓励商业银行通过中国银联、清算总中心等跨行银行账户信息验证渠道核实用户在其他银行的有关信息。《中国人民银行关于进一步加强银行卡风险管理的通知》中提及符合《金融电子认证规范》(JR/T 0118)的数字证书、交易密码、符合《动态口令密码应用技术规范》(GM/T 0021)的动态令牌设备、动态验证码、基于用户行为的动态挑战应答等身份认证方式,以及语音、短信、数据(如手机银行,即时通讯、邮件)等通信渠道。 商业银行可以结合业务实际情况、用户风险程度、交易风险程度、技术水平等因素据实确认验证方式;如拟将“人脸识别”作为必经验证程序的,建议充分论证说理以达到符合“特定目的、充分必要、影响最小”的原则与“其他验证方式均无法达到人脸验证目的和要求”的要求。法律法规、监管要求应当进行人脸识别的,可直接依据该法律法规、监管要求执行。 (3)用户不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。 违规情形示例: a.设置障碍使用户难以选择使用非人脸识别方式; b.用户选择其他验证方式,操作复杂; c.用户拒绝使用人脸识别方式后,频繁提示以获取用户对人脸识别方式的同意。 5. 处理人脸信息的告知要求:显著、清晰、易懂、真实、准确、完整。 6. 处理人脸信息的告知内容 (1)个人信息处理者的名称和联系方式; (2)人脸信息的处理目的、处理方式,处理的人脸信息保存期限; (3)处理人脸信息的必要性以及对用户权益的影响; (4)用户依法行使权利的方式和程序; (5)处理残疾人、老年人人脸信息的,注意通过配合语音、调大字体等友好便利的方式告知。 7. 在公共场所使用人脸识别设备的合规要点 (1)范围:宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所; (2)条件:为维护公共安全所必需; (3)要求:设置显著的提示标识; (4)禁止:在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。 8. 人脸信息储存要求 (1) 禁止传输:人脸信息存储于人脸识别设备内,不得通过互联网对外传输。 (2) 最短期限:人脸信息的保存期限不得超过实现处理目的所必需的最短时间,除法律、行政法规另有规定外。人脸信息储存期限,需要结合具体业务的实际需求、监管规定、反洗钱要求,以及用户风险程度、交易风险程度等综合分析,按照“必要”、“最短”、“不短于法律法规规定或监管要求”几项原则确定。 9. 人脸识别SDK风险防控 (1) 遵循合法合规、特定目的、充分必要、影响最小的原则选择SDK供应商; (2) 集成前对SDK进行安全性评估,集成后持续动态监测或定期开展安全评估;SDK自身行为具有较强的隐蔽性,建议加强SDK处理人脸信息情况的监督; (3) 向用户告知SDK供应商名称、联系方式、人脸信息处理目的、处理方式、共享给 SDK 供应商的个人信息类型,并征求用户授权同意; (4) 与SDK供应商签署书面协议,明确各方权利义务,尤其注意明晰人脸信息处理与信息泄露风险的责任划分; (5) 风险防控措施可参考全国信息安全标准化技术委员会秘书处发布的《网络安全标准实践指南——移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》。 10. 个人信息保护影响评估 应用人脸识别技术处理人脸信息的,需事前进行个人信息保护影响评估,并对处理情况进行记录。评估报告和处理记录至少保存3年。 评估报告应包含内容:(1)人脸信息处理目的、处理方式是否合法、正当、必要;(2)对个人权益带来的影响,以及降低不利影响的措施是否有效;(3)发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害;(4)保护措施是否合法、有效并与风险程度相适应。 11. 人脸信息处理备案手续 (1) 条件:储存量达10万人; (2) 时间要求:30个工作日内; (3) 备案机关:所在地省级以上网信部门 (4) 备案资料:a.基本情况;b.处理目的和处理方式;c.存储数量和安全保护措施;d.处理规则和操作规程;e.个人信息保护影响评估报告。 12. 责任豁免情形 (1)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的; (2)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的; (3)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的; (4)在自然人或者其监护人同意的范围内合理处理人脸信息的; (5)符合法律、行政法规规定的其他情形。 13. 合规审计 根据2025年5月1日起实施的《个人信息保护合规审计管理办法》规定,处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计;处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。 14. 国家标准及技术指南 下列标准为国家推荐性标准(非强制性),国家鼓励适用,商业银行可结合自身实际情况,据实参考纳入内规。另外,全国信息安全标准化技术委员会秘书处发布的《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》、《网络安全标准实践指南——移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》等相关技术指导性文件,也对人脸信息处理实践提供了经验和技术指导。 人脸识别技术在商业银行业务场景的应用,既是科技赋能金融的生动实践,更是检验金融机构合规治理水平的重要标尺之一。随着《人脸识别技术应用安全管理办法》等法规的落地实施,商业银行需以“特定目的、充分必要、影响最小” 为准则,将合规要求嵌入数据采集、使用、存储全链条,在保障用户信息权益的基础上探索技术创新边界。未来,行业需持续强化科技伦理建设,通过完善内控制度、加强技术风险防控、深化合规文化培育,推动人脸识别技术在金融场景中实现安全、有序、可持续发展,让科技真正成为服务实体经济、提升金融服务质效的“安全引擎”,而非触碰法律红线的“风险开关”。
声 明 本文仅代表作者观点,不得视为发现律师事务所或其律师出具的正式法律意见或建议。如需转载或引用,请注明出处。
蜀ICP备:17000577号-1