微信支付刷臉核身，盯上屏幕共享。

財付通《刷臉核身服務協議》迎來新一輪修訂，設備狀態信息被納入刷臉核身風控場景。

支付之家注意到，財付通支付科技有限公司近日發布關于修訂《刷臉核身服務協議》的公告。新版協議最新修改日期為2026年6月15日，生效日期為2026年7月15日。

這次修訂最明顯的變化，是刷臉核身不再只圍繞人臉信息本身展開，而是進一步寫入設備類型信息、設備狀態信息。其中，協議明確舉例稱，財付通可能收集用戶設備是否開啟屏幕共享的狀態信息，以核實確認是否存在通過屏幕共享方式進行的非本人操作、遠程操作風險。

刷臉核身正在從單點身份驗證，延伸到操作環境核驗。

屏幕共享被寫進了刷臉核身協議，它對應的是支付反詐場景的變化。

過去，刷臉核身更多解決的是“是不是本人”的問題。用戶辦理微信支付相關業務，發出賬戶資金管理、賬戶密碼管理、賬單管理、銀行卡管理、信息授權等操作指令，或者平臺履行實名制管理、反洗錢、反恐怖主義融資管理、風險管理、商家信息核驗等義務時，需要通過人臉比對確認用戶身份。

但近幾年支付風險形態已經發生變化。很多風險場景中，賬戶本人確實在場，手機也在本人手里，刷臉動作也由本人完成。問題出在操作過程已經被外部話術影響，甚至處于屏幕共享、遠程指導、遠程控制等異常環境中。

在屏幕共享詐騙中，真正被挑戰的不是“是不是本人”，而是“本人操作是否代表本人真實意愿”。

詐騙分子不一定需要盜取賬戶，也不一定需要冒充用戶本人。他們可能通過冒充客服、平臺審核人員、執法人員、金融機構工作人員等身份，以賬戶異常、征信修復、退款理賠、取消扣費等名義，誘導用戶開啟屏幕共享，隨后一步步引導用戶打開支付賬戶、查看銀行卡、輸入密碼、接收驗證碼、完成刷臉或確認授權。

在這種場景下，刷臉通過不等于風險通過。人臉是真的，設備是真的，操作也可能由本人完成，但交易意圖可能已經被他人操縱。

財付通把這一設備狀態寫入協議，指向的正是遠程操作和非本人真實操作風險。

刷臉核身需要識別的不只是鏡頭前的人，還包括這次刷臉發生在什么樣的設備環境中。尤其是在涉及賬戶資金、銀行卡管理、信息授權、業務開通等高風險操作時，屏幕共享狀態本身就是一個值得被風控系統識別的異常變量。

這一點不能被誤讀。

協議寫明的是“設備是否開啟屏幕共享的狀態信息”，并非收集用戶屏幕內容。前者是對設備狀態的風險識別，后者涉及更敏感的內容信息，兩者不能混同。

屏幕共享之外，新版協議還細化了人臉信息范圍。

2025版協議中，用戶授權財付通采集并保存“臉部信息”。2026版進一步明確，臉部信息包括人臉照片、包含用戶臉部信息的活體檢測視頻，以及基于人臉圖像或視頻提取的人臉特征值信息。

與此同時，2026版刪除了此前“你應確認你已通過實名認證”的表述，相關條款更聚焦于財付通僅使用用戶本人的臉部信息為本人辦理相關業務。

刷臉核身協議的告知顆粒度，由此變得更細。

人臉照片通常用于身份比對，活體檢測視頻通常用于判斷是否為真實活體，人臉特征值信息則是生物識別比對中的關鍵數據。

把這些信息類型寫清楚，有助于用戶理解刷臉核身過程中到底會涉及哪些信息，也有助于支付機構進一步明確自身的信息處理邊界。

設備狀態信息的加入，則讓刷臉核身承擔了更多交易風險識別功能。

按照新版協議，為保障刷臉核身結果的真實性、準確性及安全性，識別、防范非本人操作、冒用身份、遠程控制、惡意程序攻擊、黑灰產欺詐等風險，維護用戶賬戶安全、資金安全及交易安全，財付通可在用戶使用服務過程中，根據實際核身場景和風險控制需要，處理與使用服務相關的設備類型信息、設備狀態信息。

新版協議列出的風險類型，已經超出了傳統身份冒用范疇。

非本人操作、冒用身份，屬于傳統身份核驗要解決的問題。遠程控制、惡意程序攻擊、黑灰產欺詐，則更接近當下支付反詐和賬戶安全面臨的新型風險。屏幕共享只是協議舉出的例子，設備狀態信息的價值在于幫助識別遠程控制、惡意程序攻擊、異常操作環境等風險。

設備狀態信息的意義，不在于單個屏幕共享狀態，而在于把用戶操作環境納入核身判斷。

刷臉核身的風控重心正在從身份比對，轉向身份、設備和場景的綜合判斷。

對支付機構來說，這是風控前移的一種體現。

過去，一些風險識別可能發生在交易發起后、資金流轉中或異常交易監測環節。現在，風控動作正在前移到核身環節。用戶準備進行敏感操作時，平臺就需要判斷當前設備是否存在高風險狀態，是否存在被遠程指導或被惡意程序影響的可能。

設備狀態信息參與核身風控后，協議告知也需要同步跟上。

在具體服務流程中，設備狀態信息可能會影響核身流程、風險提示或服務是否繼續提供。至于是否提示關閉屏幕共享、是否要求重新核驗、是否改用其他驗證方式，應以實際頁面提示和服務流程為準。

風控邊界擴大之后，用戶權利安排也需要更清楚。

新版協議提到，用戶享有關閉本服務，以及查閱、復制、更正、補充、刪除臉部信息等個人信息的權利。如果財付通是基于取得用戶同意處理臉部信息等個人信息的，還會保障用戶撤回單獨同意的權利。

“單獨同意”這個表述并不意外。人臉信息屬于敏感個人信息范疇，刷臉核身涉及人臉照片、活體檢測視頻、人臉特征值信息等內容。對這類信息的處理，既要有明確目的和必要性，也要有相應的告知、同意和權利保障安排。

新版協議還新增了與《財付通隱私政策》的銜接規則。協議稱，本協議未盡的個人信息處理規則，以《財付通隱私政策》的約定為準；如本協議與《財付通隱私政策》就刷臉核身服務項下個人信息處理事項存在不一致，在不違反法律法規強制性規定的前提下，以本協議的特別約定為準。

這意味著，刷臉核身服務中的個人信息處理，被放在了更具體的專項規則之下。一般個人信息處理規則看隱私政策，刷臉核身場景下的特別規則則看本協議。

這次修訂也提醒用戶，刷臉核身服務的便利性背后，是身份核驗、設備狀態識別、賬戶安全和交易風控共同組成的判斷機制。

對普通用戶來說，刷臉可能只是打開攝像頭、眨眼、轉頭、完成驗證。對支付機構來說，刷臉背后連接的是賬戶安全、資金安全、交易安全、反洗錢、反詐和黑灰產治理。

尤其是在屏幕共享、遠程控制等詐騙手法頻繁出現在反詐提示中的背景下，平臺不能只看“是不是本人”，還要判斷“本人是否處在安全、真實、可控的操作環境中”。

這并不意味著刷臉核身會無限擴大信息處理范圍。相反，越是涉及人臉信息、設備狀態等敏感內容，支付機構越需要把處理目的、處理范圍、使用場景、用戶權利和退出機制說清楚。

支付安全升級不能脫離個人信息保護。個人信息保護也不能忽視真實存在的賬戶盜用、遠程操控和資金損失風險。支付機構既要攔住遠程操控風險，也要讓用戶清楚知道，哪些信息會被處理、為什么被處理、怎樣行使權利。

財付通此次修訂《刷臉核身服務協議》，對應的是支付風險從“冒用賬戶”向“操縱本人”遷移。

當詐騙分子通過屏幕共享、遠程控制和話術誘導，讓用戶本人完成刷臉、綁卡、授權和轉賬，刷臉核身就需要識別更多環境變量。

刷臉核身的下一步，要把“識別一張臉”和“識別一次安全操作”放在同一個風控框架里。

屏幕共享狀態進入協議，說明支付反詐正在進入更細顆粒度的核身風控階段。

這里是支付之家。我們關注支付表象之下的規則差異與邏輯變化，提供支付科技領域增量信息。觀點內容僅供參考。