人脸识别不能作唯一验证方式，App个人信息保护新规重点解读

5月11日，随着2026年个人信息保护系列专项行动进入纵深推进阶段，关于人脸识别技术应用安全管理的合规要求持续引发业界高度关注。从2025年《人脸识别技术应用安全管理办法》正式施行，到2026年多部门联合开展全领域专项治理，App个人信息保护的监管框架正从“普遍性规范”迈向“深水区攻坚”。

2025年6月1日起施行的《人脸识别技术应用安全管理办法》作出了明确制度安排。办法要求，实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式；个人不同意通过人脸信息进行身份验证的，应当提供其他合理、便捷的方式。该办法同时规定，任何组织和个人不得以办理业务、提升服务质量等为由，误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。这标志着我国人脸识别技术应用正式进入规范化发展的新阶段。

在此基础上，2026年4月2日，中央网信办、工业和信息化部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》，将治理范围扩展至APP、SDK服务产品以及互联网广告、教育、交通、卫生健康、金融等七大重点领域。值得关注的是，在教育、医疗、金融三大领域中，“将人脸识别技术作为唯一验证方式”均被列为重点治理问题，凸显了监管部门对生物识别信息滥用问题的高度重视。

在App个人信息收集使用方面，专项行动重点整治未经用户同意收集使用个人信息、强制用户同意收集非必要个人信息，以及在无关场景收集位置、通讯录、短信等个人信息等违规行为。针对金融领域，公告进一步明确指出，相关机构线下业务审核和运营的网站、App等，使用非人脸识别技术方式可实现验证用户身份，将人脸识别技术作为唯一验证方式的，属于违规行为，须落实人脸识别技术应用安全管理相关要求。

业界分析指出，人脸信息属于敏感个人信息中的生物识别信息，具有唯一性和不可更改性，一旦泄露将造成不可逆的风险。目前，国内已出现多起因将人脸识别作为唯一通行验证方式而引发的纠纷案件，部分券商App也因类似违规问题被要求整改。随着专项行动的持续推进，各行业主体应尽快建立多元身份验证体系，严格落实单独同意要求，确保人脸识别技术应用的安全性与合规性。