2025年1月26日，《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——人臉識(shí)別支付場(chǎng)景個(gè)人信息安全保護(hù)要求》（以下簡(jiǎn)稱《實(shí)踐指南》）發(fā)布，《實(shí)踐指南》是全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）、《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱《數(shù)據(jù)安全法》）等法律法規(guī)與中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、螞蟻科技集團(tuán)股份有限公司、中國(guó)銀聯(lián)股份有限公司等共同編制，旨在宣傳網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)及知識(shí)，對(duì)開展人臉識(shí)別場(chǎng)景個(gè)人信息處理工作提供標(biāo)準(zhǔn)化實(shí)踐指引。

　　本文將介紹《實(shí)踐指南》的法律政策背景和現(xiàn)實(shí)意義，梳理《實(shí)踐指南》的核心要點(diǎn)，并討論其對(duì)企業(yè)的潛在影響和企業(yè)的應(yīng)對(duì)策略。

　　2020年5月頒布的《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱《民法典》）第111條規(guī)定自然人的個(gè)人信息受法律保護(hù)，第1034條將生物識(shí)別信息納入受保護(hù)個(gè)人信息的范疇。自此，我國(guó)進(jìn)入個(gè)人信息強(qiáng)保護(hù)時(shí)代。2021年6月，最高人民法院頒布《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》，該規(guī)定圍繞人格權(quán)益保護(hù)構(gòu)建了侵權(quán)行為樣態(tài)、責(zé)任承擔(dān)、舉證方式、財(cái)產(chǎn)損失界定等規(guī)則，從多角度為人臉識(shí)別技術(shù)的運(yùn)用提供法律保障。2021年6月，《數(shù)據(jù)安全法》為數(shù)據(jù)處理劃定了不得違反法律法規(guī)、尊重倫理公德、遵守商業(yè)和職業(yè)道德的底線月，《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）出臺(tái)，將生物識(shí)別信息列入敏感個(gè)人信息范疇，為包括生物識(shí)別信息在內(nèi)的個(gè)人信息保護(hù)制度構(gòu)建了基本框架。此外，人臉識(shí)別、個(gè)人信息保護(hù)相關(guān)的法規(guī)政策及國(guó)家標(biāo)準(zhǔn)等也相繼出臺(tái)。

　　對(duì)于包括人臉數(shù)據(jù)信息在內(nèi)的個(gè)人信息安全保護(hù)問題，我國(guó)正逐步構(gòu)建并完善以《民法典》為引領(lǐng)，以《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》等法律為基礎(chǔ)，以各項(xiàng)具體行業(yè)或者場(chǎng)景的法規(guī)政策及國(guó)家標(biāo)準(zhǔn)為具體要求的個(gè)人信息安全保護(hù)法律體系。新出臺(tái)的《實(shí)踐指南》依托于我國(guó)現(xiàn)行法律體系，結(jié)合人臉識(shí)別支付的技術(shù)特征和應(yīng)用現(xiàn)狀，將個(gè)人信息安全保護(hù)制度要求落實(shí)到人臉識(shí)別支付場(chǎng)景。

　　以人臉數(shù)據(jù)信息為代表的生物識(shí)別信息屬于敏感個(gè)人信息，具有唯一性、可識(shí)別性、高度敏感性特征，一旦被不當(dāng)獲取、使用，將會(huì)嚴(yán)重?fù)p害個(gè)人人格權(quán)及財(cái)產(chǎn)權(quán)。[1]近年來(lái)，人臉識(shí)別支付技術(shù)以“無(wú)感交互”的便捷性快速滲透消費(fèi)領(lǐng)域，從商超結(jié)賬到地鐵通行，刷臉支付逐步重塑現(xiàn)代生活場(chǎng)景。用戶擺脫手機(jī)依賴，僅憑生物特征秒速完成交易，技術(shù)革新顯著提升了消費(fèi)效率與體驗(yàn)。然而，其背后的安全隱憂亦如影隨形：人臉數(shù)據(jù)作為不可更改的生物密碼，一旦遭黑客攻擊或非法倒賣，將引發(fā)身份盜用、金融詐騙等連鎖風(fēng)險(xiǎn)；3D面具偽造、動(dòng)態(tài)視頻攻擊等技術(shù)漏洞的存在，更暴露出認(rèn)證系統(tǒng)的潛在脆弱性。與此同時(shí)，公眾對(duì)過度采集人臉信息的隱私焦慮持續(xù)發(fā)酵，人臉識(shí)別支付個(gè)人信息安全保護(hù)的現(xiàn)實(shí)必要性和緊迫性不言而喻，《實(shí)踐指南》在此現(xiàn)實(shí)背景下應(yīng)運(yùn)而生。

　　人臉識(shí)別技術(shù)應(yīng)用的場(chǎng)景化法律規(guī)制以隱私保護(hù)場(chǎng)景理論[2]為基礎(chǔ)，根據(jù)人臉識(shí)別技術(shù)應(yīng)用場(chǎng)景的不同而對(duì)其施以不同的法律規(guī)制手段，在具體應(yīng)用場(chǎng)景中實(shí)現(xiàn)個(gè)人信息安全保護(hù)與數(shù)據(jù)流通的動(dòng)態(tài)平衡，而這種平衡需要符合特定場(chǎng)景中各利益相關(guān)方的合理預(yù)期?！秾?shí)踐指南》正是聚焦人臉識(shí)別支付這一特定場(chǎng)景，對(duì)該特定場(chǎng)景下各相關(guān)方的權(quán)責(zé)進(jìn)行合理分配，是人臉識(shí)別技術(shù)應(yīng)用場(chǎng)景化法律規(guī)制的有益探索。

　　《實(shí)踐指南》具體適用于人臉識(shí)別支付場(chǎng)景下數(shù)據(jù)的收集、存儲(chǔ)、傳輸、導(dǎo)出、刪除等各個(gè)環(huán)節(jié)，適用主體包括人臉識(shí)別支付服務(wù)提供方、人臉驗(yàn)證服務(wù)方、場(chǎng)所管理方、設(shè)備運(yùn)營(yíng)方。

　　九游體育 九游體育官網(wǎng)入口

　　《實(shí)踐指南》第4條明確了相關(guān)方開展人臉識(shí)別支付相關(guān)工作的基本要求，這些基本要求與我國(guó)個(gè)人信息處理的基本原則—合法、正當(dāng)、必要原則[3]一脈相承，是個(gè)人信息保護(hù)制度要求在人臉識(shí)別支付場(chǎng)景下的具體適用。

　　《實(shí)踐指南》的基本要求明確，相關(guān)方開展人臉識(shí)別支付相關(guān)工作，涉及網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息安全、系統(tǒng)安全、密碼應(yīng)用等，應(yīng)符合相關(guān)法律法規(guī)要求并參考有關(guān)國(guó)家標(biāo)準(zhǔn)實(shí)施。

　　人臉識(shí)別的技術(shù)特征決定了對(duì)人臉識(shí)別數(shù)據(jù)的保護(hù)也必須構(gòu)建包括技術(shù)保護(hù)在內(nèi)的多維度保護(hù)體系?！秾?shí)踐指南》對(duì)相關(guān)方提出了各項(xiàng)針對(duì)性的技術(shù)保護(hù)要求，而第4條基本要求著重對(duì)人臉驗(yàn)證服務(wù)方使用人臉識(shí)別支付技術(shù)提出兩個(gè)核心安全要求，即人臉特征不可逆性（無(wú)法通過存儲(chǔ)的人臉特征恢復(fù)至人臉原始圖像）和不可鏈接性（同一主體的不同人臉特征無(wú)法被關(guān)聯(lián)識(shí)別）。

　　《個(gè)人信息保護(hù)法》第6條[4]被認(rèn)為是個(gè)人信息處理中的最小必要原則在我國(guó)立法中的首次明確規(guī)定。最小必要原則指?jìng)€(gè)人信息的處理限于實(shí)現(xiàn)處理目的所必要的最小范圍且應(yīng)采取對(duì)個(gè)人權(quán)益影響最小的方式進(jìn)行。人臉識(shí)別支付場(chǎng)景下，相關(guān)方對(duì)人臉識(shí)別數(shù)據(jù)的收集、存儲(chǔ)、使用等處理都應(yīng)當(dāng)遵循最小必要原則，《實(shí)踐指南》第4條基本要求中明確設(shè)備運(yùn)營(yíng)方、場(chǎng)所管理方不應(yīng)處理因人臉識(shí)別支付產(chǎn)生的人臉識(shí)別數(shù)據(jù)，正是該原則的具體體現(xiàn)。

　　“正當(dāng)原則”要求個(gè)人信息處理必須出于特定、明確、合理的目的[5]，禁止為了不正當(dāng)目的處理個(gè)人信息。《實(shí)踐指南》第4條的基本要求中規(guī)定的“人臉驗(yàn)證服務(wù)方不應(yīng)將人臉識(shí)別數(shù)據(jù)用于除驗(yàn)證該個(gè)人身份外的任何其他目的”即是正當(dāng)原則的體現(xiàn)。

　　以信息自決權(quán)為理論基礎(chǔ)的“知情—同意”原則是世界各國(guó)法律規(guī)定的處理個(gè)人信息的通用原則，我國(guó)《個(gè)人信息保護(hù)法》[6]等相關(guān)法律中也對(duì)該原則予以明確規(guī)定。“知情—同意”原則是指信息業(yè)者在收集、處理個(gè)人信息之時(shí)，應(yīng)當(dāng)對(duì)信息主體就有關(guān)個(gè)人信息被收集、處理和利用的情況進(jìn)行充分告知，并征得信息主體明確同意的原則。[7]《個(gè)人信息保護(hù)法》中對(duì)于包括人臉識(shí)別在內(nèi)的敏感個(gè)人信息規(guī)定了更為嚴(yán)格的“單獨(dú)同意”原則。上述原則在《實(shí)踐指南》第4條的基本要求中得到重申，即人臉驗(yàn)證服務(wù)方提前取得個(gè)人單獨(dú)授權(quán)同意（不滿十四周歲的未成年人，應(yīng)取得其監(jiān)護(hù)人單獨(dú)同意）后方可開展人臉數(shù)據(jù)處理，授權(quán)協(xié)議中應(yīng)包含使用人臉識(shí)別技術(shù)處理人臉數(shù)據(jù)的必要性以及對(duì)個(gè)人權(quán)益的影響，且應(yīng)清晰易讀，便于用戶查閱。

　　《實(shí)踐指南》在前述基本原則或基本要求的基礎(chǔ)上，對(duì)人臉識(shí)別支付場(chǎng)景下涉及到的各相關(guān)方提出了更為嚴(yán)格和全面的要求，明確了相關(guān)方個(gè)人信息安全保護(hù)的具體義務(wù)。

　　人臉識(shí)別支付服務(wù)提供方是通過網(wǎng)絡(luò)支付服務(wù)平臺(tái)，提供人臉識(shí)別支付服務(wù)的組織。

　　人臉識(shí)別支付服務(wù)提供方就數(shù)據(jù)的收集和存儲(chǔ)應(yīng)當(dāng)堅(jiān)持最小必要原則，因意外收集到的人臉數(shù)據(jù)應(yīng)立即刪除、不進(jìn)行其他處理；除按照法律法規(guī)明確要求進(jìn)行留存的人臉識(shí)別相關(guān)存證數(shù)據(jù)（不應(yīng)用于存證外其他用途）外，不應(yīng)儲(chǔ)存人臉識(shí)別數(shù)據(jù)。

　　人臉識(shí)別支付服務(wù)提供方應(yīng)在收集人臉識(shí)別數(shù)據(jù)時(shí)貫徹“知情—單獨(dú)同意”原則，告知用戶收集人臉識(shí)別數(shù)據(jù)的相關(guān)事項(xiàng)以及可能的影響，并取得個(gè)人的單獨(dú)同意。

　　在技術(shù)要求上，人臉識(shí)別支付服務(wù)提供方應(yīng)采取需要用戶主動(dòng)配合的措施收集人臉識(shí)別數(shù)據(jù)，并采取安全措施保證人臉識(shí)別數(shù)據(jù)的真實(shí)性、完整性和一致性，防止人臉識(shí)別數(shù)據(jù)在收集過程中泄露或篡改。

　　人臉驗(yàn)證服務(wù)方是通過執(zhí)行人臉識(shí)別的各個(gè)環(huán)節(jié)（包括人臉識(shí)別數(shù)據(jù)采集、人臉特征處理、人臉識(shí)別數(shù)據(jù)存儲(chǔ)、人臉識(shí)別數(shù)據(jù)比對(duì)、人臉識(shí)別結(jié)果決策）提供身份驗(yàn)證服務(wù)的組織。

　　人臉驗(yàn)證服務(wù)方就數(shù)據(jù)的收集、存儲(chǔ)、傳輸、導(dǎo)出同樣應(yīng)堅(jiān)持最小必要原則，在數(shù)據(jù)收集方面，應(yīng)僅收集生成人臉特征所需的最小數(shù)據(jù)、最少圖像類型的人臉圖像；在數(shù)據(jù)存儲(chǔ)和傳輸方面應(yīng)僅留存或者傳輸具備不可逆、不可鏈接特性的人臉比對(duì)模板，不保留其他數(shù)據(jù)（有關(guān)管理部門有明確要求保留存證的除外）；在數(shù)據(jù)導(dǎo)出方面，不應(yīng)導(dǎo)出其留存的人臉識(shí)別數(shù)據(jù)（有關(guān)管理部門有明確要求的除外）；在數(shù)據(jù)刪除方面，除注冊(cè)時(shí)保留的人臉識(shí)別數(shù)據(jù)外，人臉識(shí)別全部過程數(shù)據(jù)在當(dāng)次人臉識(shí)別結(jié)果產(chǎn)生后全部刪除（法律法規(guī)規(guī)定的數(shù)據(jù)除外）。

　　在技術(shù)要求上，人臉驗(yàn)證服務(wù)方應(yīng)采取安全措施保證人臉識(shí)別數(shù)據(jù)的真實(shí)性、完整性和一致性，防止人臉識(shí)別數(shù)據(jù)在收集過程中泄露或篡改；應(yīng)采用物理或邏輯隔離方式分別存儲(chǔ)人臉識(shí)別數(shù)據(jù)和個(gè)人身份信息等并采取加密安全措施，保證信息安全；應(yīng)采取雙向身份鑒別、數(shù)據(jù)完整性校驗(yàn)、數(shù)據(jù)加密等措施保障人臉識(shí)別數(shù)據(jù)傳輸安全。

　　人臉驗(yàn)證服務(wù)方應(yīng)在法律規(guī)定的情況下進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，如因業(yè)務(wù)需要確需提供或委托第三方處理人臉識(shí)別數(shù)據(jù)的，應(yīng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估；在對(duì)人臉識(shí)別數(shù)據(jù)刪除或匿名化處理時(shí)，應(yīng)對(duì)處理效果進(jìn)行評(píng)估，確保已刪除或匿名化處理的人臉識(shí)別數(shù)據(jù)不具備還原能力。

　　場(chǎng)所管理方是對(duì)人臉識(shí)別支付場(chǎng)景的設(shè)置、應(yīng)用、管理起到?jīng)Q定性作用的組織或個(gè)人，如寫字樓物業(yè)、園區(qū)物業(yè)、營(yíng)業(yè)廳、小區(qū)居委會(huì)等，場(chǎng)所管理方不直接進(jìn)行數(shù)據(jù)的采集、存儲(chǔ)、傳輸?shù)?，其主要義務(wù)是對(duì)相應(yīng)場(chǎng)所的攝像頭等設(shè)備進(jìn)行檢查，以保證相關(guān)設(shè)備符合法律規(guī)定的安全要求。

　　設(shè)備運(yùn)營(yíng)方是通過布放人臉識(shí)別支付設(shè)備為用戶提供支付服務(wù)的經(jīng)營(yíng)主體，如運(yùn)營(yíng)自動(dòng)售貨機(jī)提供自動(dòng)售貨服務(wù)的企業(yè)或個(gè)人。

　　設(shè)備運(yùn)營(yíng)方在數(shù)據(jù)收集、存儲(chǔ)、運(yùn)輸時(shí)也應(yīng)堅(jiān)持最小必要原則。在數(shù)據(jù)收集方面，安裝高度選擇、人臉采集攝像頭參數(shù)設(shè)置等應(yīng)遵循最小化采集人臉原則，內(nèi)部貨物攝像頭應(yīng)通過調(diào)整拍攝的角度和清晰度等，僅識(shí)別用戶取貨的動(dòng)作；在數(shù)據(jù)存儲(chǔ)方面，用戶通過經(jīng)營(yíng)主體布放設(shè)備使用人臉識(shí)別支付服務(wù)時(shí)，設(shè)備運(yùn)營(yíng)方不應(yīng)存儲(chǔ)人臉識(shí)別數(shù)據(jù)；在數(shù)據(jù)傳輸方面，用戶通過經(jīng)營(yíng)主體布放設(shè)備使用人臉識(shí)別支付服務(wù)時(shí)，設(shè)備運(yùn)營(yíng)方不應(yīng)存儲(chǔ)人臉識(shí)別數(shù)據(jù)或者通過旁路、鏡像等方式獲取人臉識(shí)別數(shù)據(jù)。

　　設(shè)備運(yùn)營(yíng)方在數(shù)據(jù)處理時(shí)應(yīng)當(dāng)嚴(yán)格遵循“知情—單獨(dú)同意”原則，如：不應(yīng)強(qiáng)制人臉識(shí)別支付，也不應(yīng)通過增加非人臉識(shí)別支付方式的難度、默認(rèn)人臉支付選項(xiàng)、突出人臉支付選項(xiàng)等方式變相強(qiáng)制用戶選擇人臉支付方式。

　　在技術(shù)上，設(shè)備運(yùn)營(yíng)方應(yīng)保證人臉采集攝像頭僅能被特定的支付App調(diào)用；人臉采集攝像頭采集鏈路宜具備防止旁路或劫持的安全措施，可采取的手段包括但不限于數(shù)據(jù)加密傳輸?shù)取?/p>

　　《實(shí)踐指南》通過規(guī)范人臉數(shù)據(jù)的采集、存儲(chǔ)、傳輸、刪除等全生命周期管理，要求相關(guān)企業(yè)須從“粗放式數(shù)據(jù)利用”轉(zhuǎn)向“精細(xì)化合規(guī)治理”。例如，《實(shí)踐指南》規(guī)定，數(shù)據(jù)采集需基于用戶明確交互動(dòng)作（如點(diǎn)擊確認(rèn)），且在識(shí)別完成后立即刪除過程數(shù)據(jù)，這迫使企業(yè)強(qiáng)化實(shí)時(shí)處理能力，對(duì)依賴長(zhǎng)期數(shù)據(jù)留存進(jìn)行算法優(yōu)化的企業(yè)而言，需調(diào)整商業(yè)模式，轉(zhuǎn)向基于數(shù)據(jù)合規(guī)的有限分析。由此，企業(yè)需構(gòu)建全生命周期數(shù)據(jù)治理體系，建立動(dòng)態(tài)合規(guī)機(jī)制，通過專項(xiàng)團(tuán)隊(duì)定期審查數(shù)據(jù)合規(guī)問題，將合規(guī)壓力轉(zhuǎn)化為系統(tǒng)化治理的契機(jī)。

　　《實(shí)踐指南》對(duì)人臉數(shù)據(jù)的收集、存儲(chǔ)、傳輸、導(dǎo)出、刪除均提出了技術(shù)安全要求，標(biāo)志著企業(yè)人臉數(shù)據(jù)安全建設(shè)須從基礎(chǔ)防護(hù)邁向技術(shù)深水區(qū)，相關(guān)企業(yè)（尤其是直接處理人臉數(shù)據(jù)的企業(yè)）必須主動(dòng)更新技術(shù)以符合數(shù)據(jù)安全的要求。技術(shù)創(chuàng)新與數(shù)據(jù)安全也將可能重塑相關(guān)企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力，技術(shù)先進(jìn)、數(shù)據(jù)安全性高的企業(yè)將可能通過強(qiáng)化隱私保護(hù)提升用戶信任，而技術(shù)落后或數(shù)據(jù)安全性低的企業(yè)可能被擠出市場(chǎng)。此外，中小型企業(yè)因技術(shù)投入不足，可能面臨更高安全風(fēng)險(xiǎn)，依賴第三方技術(shù)服務(wù)商實(shí)現(xiàn)合規(guī)轉(zhuǎn)型可能成為必要路徑。

　　《實(shí)踐指南》將人臉識(shí)別支付這一場(chǎng)景下與人臉識(shí)別數(shù)據(jù)直接或間接相關(guān)主體的行為均納入其規(guī)制范圍，并全面規(guī)定了相關(guān)主體的各自的法定義務(wù)，覆蓋了人臉識(shí)別數(shù)據(jù)從收集到刪除的全生命周期，體現(xiàn)出濃厚的“用戶保護(hù)”色彩。這就要求相關(guān)法律主體須明確自身定位，嚴(yán)格按照法律法規(guī)及相關(guān)技術(shù)標(biāo)準(zhǔn)的要求履行法定義務(wù)。因?yàn)樵谀承┣闆r下，某一個(gè)人信息保護(hù)安全事件可能與多個(gè)法律主體的違法行為（作為或不作為）存在因果關(guān)系，多個(gè)法律責(zé)任主體將因此承擔(dān)連帶責(zé)任或者按份責(zé)任。

　　人臉識(shí)別支付技術(shù)蘊(yùn)藏著推動(dòng)社會(huì)進(jìn)步的巨大潛力，但也隱藏較高的信息安全風(fēng)險(xiǎn)。我們?cè)趯?duì)人臉識(shí)別支付技術(shù)的應(yīng)用和發(fā)展保持開放包容心態(tài)的同時(shí)，也必須保持理性、審慎的態(tài)度，平衡技術(shù)創(chuàng)新、數(shù)據(jù)利用與個(gè)人信息安全保護(hù)之間的關(guān)系，確保人臉識(shí)別支付技術(shù)在合法的軌道上運(yùn)行，讓技術(shù)真正成為推動(dòng)社會(huì)進(jìn)步的有力工具，而不是引發(fā)新的社會(huì)問題的源頭。

　　此次《實(shí)踐指南》的實(shí)施標(biāo)志著人臉識(shí)別數(shù)據(jù)的個(gè)人信息保護(hù)從“原則性規(guī)范”邁向“場(chǎng)景化落地”。而隨著針對(duì)人臉識(shí)別技術(shù)應(yīng)用的各類場(chǎng)景的個(gè)人信息保護(hù)法律體系不斷完善，相關(guān)法律法規(guī)及技術(shù)標(biāo)準(zhǔn)的銜接和協(xié)調(diào)問題值得我們進(jìn)一步關(guān)注。在此背景下，相關(guān)企業(yè)應(yīng)當(dāng)盡快將數(shù)據(jù)合規(guī)治理納入企業(yè)長(zhǎng)期戰(zhàn)略以適應(yīng)我國(guó)數(shù)據(jù)治理現(xiàn)代化的要求。

　　[2]該理論認(rèn)為，“場(chǎng)景正義”（contextual integrity）意味著，信息保護(hù)與信息流動(dòng)在特定的情景中應(yīng)符合各方的預(yù)期。轉(zhuǎn)引自邢會(huì)強(qiáng).人臉識(shí)別的法律規(guī)制[J].比較法究,2020,(05):51-63.

　　[3]如《民法典》第1035條規(guī)定：“處理自然人個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則?！?；《個(gè)人信息保護(hù)法》第5條規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠(chéng)信原則，不得通過誤導(dǎo)、欺詐、脅迫等方式處理個(gè)人信息?！?/p>

　　[4]《個(gè)人信息保護(hù)法》第6條：處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息。

　　[6]《個(gè)人信息保護(hù)法》第14條：基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意或者書面同意的，從其規(guī)定。個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意。

　　[7]參見齊愛民：《信息法原論》，武漢大學(xué)出版社2010年版，第76頁(yè)。