
图文|Akon

一、这个问题是怎么来的
最近帮一个做社交产品的朋友做合规,他问了一个很实际的问题——
“我们的用户注册时已经做了手机号实名,充值走微信/支付宝,这两个渠道本身也是实名的。那用户大额充值的时候,我还要不要再做一次人脸识别?法律有没有强制要求?不做的话出了事谁担责?”
这个问题背后是几层焦虑:怕监管处罚、怕被诈骗团伙利用、怕未成年人冒用家长账号充值后被起诉退款。三座大山压在法务头上,每座都不轻。
我花了两天时间做了系统研究——把相关法条逐条用API核验了一遍,翻了黑猫投诉上五家头部社交App的用户投诉,看了近期的监管文件和司法判例。结论先放这里:法律没有强制要求对所有大额充值用户做二次人脸识别,但在特定场景下不做会有实实在在的法律风险。 关键不是“做不做”,是“什么时候做、做到什么程度”。
二、法律规定到底怎么说
先说最重要的结论:现行法律没有一条规定“用户单笔充值超过X元,平台必须做二次实名认证”。 没有这种一刀切的条款。
但有几条法律离这个问题很近,值得逐条看。
2.1 基础实名:网安法第24条
《网络安全法》第24条要求网络运营者在提供服务时必须让用户提供真实身份信息。不提供就不能服务。罚则也不轻——违反的话五万到五十万罚款,甚至可以停业整顿。
但这条只要求“提供真实身份信息”,没说必须用什么方式验证。实践中手机号实名(通过运营商三要素校验)通常被视为满足要求。换句话说,你让用户绑了手机号,基础实名义务就尽到了——法律没有要求你必须再加一道人脸。
2.2 关键授权:反电诈法第33条
这是整部法律里离“二次认证”最近的一条。《反电信网络诈骗法》第33条规定:对存在涉诈异常的账号,平台可以通过国家网络身份认证公共服务对用户身份重新进行核验。
注意两个关键词:一是“涉诈异常”——触发条件不是“充值金额大”,而是“这个账号的行为看起来像诈骗”。二是“可以”——是授权,不是强制义务。你不做这个核验,不会因为违反第33条被处罚;但如果账号确实涉诈而你没做核验,可能在其他法律路径下承担责任。
2.3 敏感信息门槛:个保法第28条
如果你决定做人脸识别,就触发了《个人信息保护法》第28条。人脸信息属于“生物识别”——是最敏感的几类个人信息之一。要合法处理人脸信息,你得同时满足:特定目的+充分必要性+严格保护措施+单独同意。
“用户充值金额大”这个理由来说服“充分必要性”——论证基础偏弱。“这个账号有涉诈嫌疑”——论证基础就强得多。所以人脸识别最好跟风险挂钩,而不是跟金额挂钩。
2.4 未成年人保护:未保法第74条+网信办2026通知
《未成年人保护法》第74条要求网络社交服务设置“消费管理”功能——这是法定义务。但法律没规定消费管理必须用什么技术实现。
更具体的依据在中央网信办2026年4月的《关于加强网络直播打赏规范管理的通知》里。第7条规定:疑似未成年人用成年人账号打赏的,平台须进行必要核验。 “必要核验”这四个字,是目前最接近“二次认证”的明确法律依据——但范围限定在“疑似未成年人”场景,不是所有用户。
三、同行都在做什么
我翻了黑猫投诉上探探、Soul、伊对、陌陌、抖音直播的用户投诉,从投诉内容反推这些平台的实名认证实践,结论挺有意思:
探探——支付环节有刷脸验证,但主要是支付快捷授权,不是充值前的风险告知。有用户投诉“弹窗→点击→刷脸→付款一气呵成,连反悔的机会都没有”。
Soul——主要靠手机号实名,没发现针对大额充值的人脸识别。有投诉说5岁娃用家长手机刷了7180元,平台不退。
伊对——宣称“实名还得刷脸,比谁都严格”。但红娘诱导消费的情况严重——实名严不等于消费保护做得好。
抖音直播——部分场景有扫脸扣款,但存在未成年人长期打赏26万元未被拦截的案例。
关键发现:这些平台的人脸识别主要用于支付验证(付款时确认是你本人在操作),而不是消费保护(充值前告诉你你到底花了多少钱、提醒你可能存在的风险)。两者看起来很像是同一件事,实际上目的完全不同——前者保护的是支付安全,后者保护的是消费者权益。
四、法律没有强制,但什么情况下不做会有风险?
虽然法律没有“一刀切”要求二次认证,但不做在以下场景确实有风险:
涉诈异常账号。如果你知道或应当知道某个账号存在诈骗嫌疑,但没有做任何额外核验——反电诈法第33条给了你“可以核验”的授权,你选择不用。一旦出事了,司法机关会问:法律都给你工具了,你为什么不用?
疑似未成年人冒用成年人账号。网信办2026通知第7条明确要求“须进行必要核验”。这是目前最硬的依据。如果平台对明显异常的消费行为(深夜持续大额打赏、消费模式与成年人画像不符)无动于衷,被起诉后的败诉风险很高。多个法院判例中——包括成都中院那个17岁少女打赏45万的案子——法院认定平台“只采取电话确认等简单方式,未采用更严格的身份核实手段”,判决平台承担53%的责任。
异常充值模式。反洗钱法规要求支付机构对异常交易做客户身份重新识别。虽然这个义务主要落在支付机构头上,但App平台作为交易场景的提供者,如果对明晃晃的异常模式视而不见——比如同一个支付账号关联的多个App账号都在疯狂充值——监管问到你头上,你说“那是支付机构的事”,不一定好使。
五、一个分层次的合规方案
基于以上分析,我建议采用“风险为本”的分层策略——不是所有用户一刀切,而是根据风险等级匹配不同的验证强度。
第一层:基础防御(所有人的法定义务)
这四件事不做好,基本合规都站不住。
第二层:风险触发(强烈建议,降低诉讼/监管风险)
阈值不是法定的——是根据行业实践和用户消费分布建议的值。你的App如果ARPU高,阈值可以相应调高;如果用户投诉多、诉讼多,阈值应该调低。
第三层:行业领先(可选的加分项)
接入国家网络身份认证公共服务(网号/网证)——最合规、最隐私友好的方案 大额充值冷静期——充值≥5,000元后15分钟内可撤销 月度消费报告主动推送——帮助用户自我管理
为什么人脸识别最好对风险触发,而不是对金额触发?
两个原因。第一,法律上,“充值金额大”来论证处理人脸信息的“充分必要性”——论证链比较弱;“这个账号有涉诈嫌疑”或“疑似未成年人操作”——论证链就强得多。第二,用户体验上,正常用户大额充值被你拦下来扫脸——他会觉得你在妨碍他花钱;异常用户被你拦住——他会感谢你帮他省了钱。两种场景的用户感受天差地别。
六、研究过程中发现的一个结构性矛盾
做这个研究时我注意到一个有意思的矛盾——
支付机构和App平台之间有一个“责任真空”。微信/支付宝作为支付机构,本身有KYC义务和反洗钱义务。但它们的KYC是在开立支付账户时完成的——验证的是“这个支付账户属于谁”。而App端面临的问题是:操作这个支付账户的人,是账户主人本人,还是盗用账户的诈骗分子、还是偷拿家长手机的未成年人?
这个问题的答案,支付机构的KYC给不了。支付机构只知道“钱从谁的账户出的”,不知道“谁在手机上按的付款键”。而App平台有这个场景信息——它知道用户的使用时间、消费模式、行为特征——可以做更精准的风险判断。
目前的监管框架还没有明确划分这个场景下的责任边界。但趋势很清楚——法院在判决中越来越倾向于要求平台对“平台能力范围内可识别的风险”承担责任。什么意思?就是你能知道、你应该知道、你就该管。
七、一句话总结
对社交/直播App来说,二次实名认证不是一道“做还是不做”的选择题,而是一道“在什么场景下对哪些用户做到什么程度”的设计题。
法律画了底线——基础实名必须做、未成年人必须保护、涉诈异常可以核验。行业实践反映趋势——头部平台已经在用AI能力做风险判断和分级响应。而法院判例正在不断抬高“平台应该知道”的认定标准。
如果你的产品涉及大额充值场景,现在该做的事不是等着法律出一个明确的“二次认证强制标准”——大概率不会有这样的标准。该做的是:把风险场景梳理清楚,把分级策略设计好,先把明显的漏洞堵上。
📚 参考文献
法律法规
《中华人民共和国网络安全法》第24条、第61条 《中华人民共和国反电信网络诈骗法》第21条、第33条 《中华人民共和国个人信息保护法》第28条、第29条 《中华人民共和国未成年人保护法》第74条 《国家网络身份认证公共服务管理办法》(2025年7月15日施行) 中央网信办《关于加强网络直播打赏规范管理的通知》(2026年4月4日) 《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法》(2026年1月1日施行)
成都中院17岁少女打赏45万元案(平台承担53%责任) 初中生冒用外婆身份打赏16万元案(2026)
黑猫投诉平台:探探、Soul、伊对、陌陌、抖音直播用户投诉分析 法治日报·堵住身份核验与消费管控的制度漏洞(2026-05-31)
⚠️ 免责声明:本文内容仅为提供信息之目的,不构成法律建议。文中提及的金额阈值为基于行业实践的建议值,非法律规定。各平台应根据自身产品特征、用户群体和风险状况制定适合的合规方案。读者在做出合规决策前应咨询持有中华人民共和国律师执业证书的专业律师。本文作者及平台不对因依赖本文内容而导致的任何损失承担责任。
📚 往期回顾
🌐 平台合规
企业法务应对政府机关投诉调查实务指南:市监局、公安机关、街道办的沟通与处置
跨境数据合规管辖冲突的体系化应对:GDPR、CCPA与PIPL的交叉适用|法如山
首例“搜索提示词”算法侵权案宣判!平台已履行算法解释说明义务,不构成侵权|法如山
仲裁协议不能排除人民法院受理垄断民事纠纷 反垄断案件的管辖问题|法如山
信息展示错误,天某查被判赔!企业征信数据使用者不正当竞争行为认定|法如山
在抖音刷流量,被判赔400万元! 组织刷量、制造虚假流量的虚假宣传行为构成不正当竞争|法如山
外卖员之死,平台需要承担什么责任?外卖员与平台的法律关系及责任承担|法如山
抖音等视频平台账号可以买卖吗?买卖抖音、快手等视频平台账号的法律效力|法如山
了解你同意的服务协议吗?揭秘网络平台格式条款 网络平台“用户服务协议”的相关法律问题(一)|法如山
信息网络传播权遭侵犯,平台责任在哪里?互联网平台侵犯信息网络传播权的责任界定|法如山
向下滑动查看所有内容
🤖 AI / 直播 / 短视频
法律MCP配置指南:用AI直接调取判例、审查合同、生成文书3
《人工智能应用伦理安全指引1.0》:AI治理进入"场景落地"时代
MCN、主播必读!账号昵称头像的商标抢注风险与避坑指南|法如山
用别人声音也能侵犯人格权?从影视剧台词声音侵权第一案和AI声音侵权第一案看侵犯声音权益的司法判断|法如山
AIGC数字人形象风波:你的"数字分身"可能在无权使用?AIGC数字人“形象”的授权问题|法如山
AIGC生成的内容著作权归谁?AIGC生成内容著作权的归属|法如山
用ai生成的内容赚的钱归谁?人工智能生成作品的收益分配问题|法如山
工作时间私自做自媒体,公司可以辞退吗?员工工作时间处理与工作无关的信息可能需要承担的责任|法如山
主播离职后不返还广告收益怎么办?主播离职后需要返还的款项有哪些|法如山
给主播刷礼物可以要求返还吗?给主播直播打赏的行为属于什么法律关系?是否无效或可以撤销?|法如山
主播/视频创作者能随便暴露我的隐私吗?主播/视频创作者需要注意的个人隐私和信息保护问题|法如山
抖音等视频平台账号可以买卖吗?买卖抖音、快手等视频平台账号的法律效力|法如山
向下滑动查看所有内容
📢 广告营销
主播离职后不返还广告收益怎么办?主播离职后需要返还的款项有哪些|法如山
向下滑动查看所有内容
🔐 数据合规
跨境电商数据合规实务(2026):从平台运营到全球多法域适配
企业出海数据合规路径与可行性分析(2026):产品出海vs服务出海的双轨策略
企业出海数据合规路径与可行性分析(2026):产品出海vs服务出海的双轨策略
智能硬件公司数据合规实务(2026):从产品设计到全球上市的全流程指引
向下滑动查看所有内容
⚖️ 民商事纠纷
两家中国香港公司能否约定适用中国大陆法律?其他国家呢?——涉外合同法律选择
“假离婚” 真能逃债?一文读懂法律认定标准与债权人救济途径|法如山
村民可以互换宅基地吗?互换宅基地的具体法律程序?农村宅基地互换:法律程序与条件解析|法如山
和网约车/出租车撞了,对方要误工费?与营运性车辆发生交通事故的赔偿问题|法如山
撞车后,车贬值了?啥情况下能要这笔钱!车辆贬损价值赔偿的法律依据与条件|法如山
吃了月饼身体不舒服,可以要求赔偿吗?食品消费者权益保护的司法实践|法如山
买宠物遇到“星期宠”,怎么办?“星期宠”的司法认定及处理措施|法如山
网店价格设置错误,顾客疯狂下单怎么办?价格标示错误的性质和司法认定|法如山
代孕违法吗?代孕涉及什么法律问题?需要承担什么责任?|法如山
周杰伦败诉!周杰伦起诉网易等不正当竞争二审被驳回 公众人物对网络上提及之话题的容忍限度在哪里?|法如山
1.8万拍下估值上亿厂房后遭法院撤销,是有猫腻吗?法院执行拍卖的价格过低,可以撤销吗?|法如山
投喂流浪猫需要承担责任吗?投喂流浪动物是否构成“实际饲养人”及需要承担的责任|法如山
一个外地女孩在出租屋去世被批不实 发布失实文章要承担什么责任?|法如山
国产首部3A游戏黑神话发售 开发一款游戏,涉及哪些法律问题?|法如山
非法医疗美容致损害,能得到哪些赔偿?非法行医类之医美纠纷的赔偿责任|法如山
向下滑动查看所有内容
📝 律师实务
两家中国香港公司能否约定适用中国大陆法律?其他国家呢?——涉外合同法律选择
法律人AI入门:Agent、MCP、RAG、Token到底是什么
执行程序中追加被执行人配偶或原配偶作为共同执行人的可行性|法如山
突发!深圳某律所因未及时通知当事人缴纳诉讼费,被判赔当事人140余万元|法如山
向下滑动查看所有内容

夜雨聆风