微信小程序如何安全合规地实现人脸识别功能？

一、现象层：小程序人脸识别的“不可为”边界

• 微信小程序运行于 WebView + JSCore 沙箱环境，无权限直接调用 navigator.mediaDevices.getUserMedia 获取原始摄像头流（iOS 微信限制更严）；
• 无法集成 ArcSoft、Face++、SeetaFace 等原生 SDK（需 JNI/OC 桥接，小程序无 native 层）；
• 微信《平台运营规范》第 3.6 条明令禁止：“不得收集、传输、存储、使用用户人脸、声纹等生物识别信息原始图像或特征向量”；
• 前端截图上传 → 后端比对方案，实质构成《个人信息保护法》第 28 条定义的“敏感个人信息处理”，但缺失单独同意、加密传输（TLS 1.2+）、最小存储周期（如 24 小时自动销毁）等法定要件。

二、归因层：技术受限与合规失焦的双重根因

三、解法层：基于微信可信实名的合规四阶架构

1. 前置可信锚定：调用微信官方 openId + unionId 绑定已实名的微信支付账户（需用户主动触发“微信实名认证”按钮）；
2. 活体代理验证：由微信服务端在安全环境（TEE）内完成活体检测 + 人脸比对，仅返回 {result: true, verify_id: "wxv_abc123"}；
3. 本地最小化交互：小程序仅调用 wx.openCustomerServiceConversation 或 wx.chooseImage（仅限证件照，非人脸）作为辅助材料；
4. 审计闭环设计：所有验证请求携带业务流水号、时间戳、设备指纹（wx.getSystemInfoSync().model），日志留存 ≥ 6 个月。

四、实施层：可落地的代码范式与流程控制

// ✅ 合规调用示例：仅触发微信原生实名流程
wx.openCustomerServiceConversation({
  extInfo: { 
    scene: 'realname_verify', 
    bizId: 'your_biz_id' // 用于后端审计关联
  },
  success: (res) => {
    console.log('已进入微信实名通道，小程序无任何图像接触');
  }
});

五、演进层：面向监管的技术治理框架

六、避坑层：高频违规场景对照表

• ❌ 使用 uni-app 的 uni.chooseImage({sourceType: ['camera']}) 拍摄人脸 → 违反原始图像采集禁令；
• ❌ 将 face-api.js 部署到小程序中做前端特征提取 → 特征向量仍属生物信息，且无加密保护；
• ❌ 调用非微信白名单 OCR 接口（如某云身份证识别 API）→ 触发审核驳回（依据《小程序第三方服务接口管理规则》第 5.2 条）；
• ✅ 正确路径：仅使用 wx.login + wx.getAccountInfoSync + 微信实名认证组件，全程不持有任何生物数据。