近年来，人脸识别技术不断取得突破，因其高效便捷而被广泛使用，并迅速融入人们的日常生活，然而，人脸识别技术在广泛应用过程中，也存在着不容忽视的安全隐患。6月1日起，《人脸识别技术应用安全管理办法》将正式实施。其中规定，实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。基于个人同意处理人脸信息的，应当取得个人在充分知情的前提下自愿、明确作出的单独同意。专家表示，该办法的出台，有利于推进人脸识别技术应用规范发展，将促进人脸识别技术的合法使用，降低安全风险；明确人脸识别技术的非强制原则，防止技术滥用；细化个人信息保护法律规范，提升保护水平。

不得将人脸识别技术作为唯一验证方式

2019年11月，国内消费者起诉商家的“人脸识别第一案”引发关注。起诉状显示，消费者郭兵购买了杭州野生动物世界年卡后突然收到一条短信：“园区年卡系统已升级为人脸识别入园，未注册人脸识别的用户将无法正常入园”。当他前往园区后，对方表示，如果不进行人脸识别注册将无法入园，也无法办理退卡退费手续。郭兵认为，被告在未经原告同意的情况下，通过升级年卡系统强制收集原告个人生物识别信息，严重违反了《消费者权益保护法》。

2020年，该案正式宣判。法院认为，我国法律强调对个人信息处理过程中的监督和管理，即个人信息的收集要遵循“合法、正当、必要”的原则和征得当事人同意；野生动物世界在合同履行期间将原指纹识别入园方式变更为人脸识别方式，属于单方变更合同的违约行为，郭某对此明确表示不同意；双方在办理年卡时，约定采用的是以指纹识别方式入园，野生动物世界采集郭某及其妻子的照片信息，超出了法律意义上的必要原则要求，故不具有正当性。最终，法院判决野生动物世界赔偿郭某合同利益损失及交通费共计1038元，删除郭某办理指纹年卡时提交的包括照片在内的面部特征信息。

与郭兵一样，如今，越来越多的消费者对“刷脸”烦不胜烦——去哪儿都要留下自己的面部信息，商家怎么保存？不知道，会不会被拿来滥用？更不放心。新实施的《人脸识别技术应用安全管理办法》则明确了应用人脸识别技术处理人脸信息的处理规则。

国家网信办数据与技术保障中心副主任王志成介绍，针对强制使用人脸识别技术问题，例如国内某小区物业强制业主使用人脸识别技术作为唯一出入方式，某银行App强制人脸验证登录，某健身房强制会员刷脸入场等，《办法》确立非唯一验证原则，第十条明确规定“实现相同目的或者达到同等业务求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式”。同时，为了减少人脸信息收集、存储，第十一条明确规定：“应用人脸识别技术验证个人身份、辨识特定个人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务平台等渠道实施，减少人脸信息收集、存储，保护人脸信息安全”。

针对社会反映强烈的部分弱势群体的人脸信息权益受损的问题，例如国内某在线教育平台通过摄像头采集学生课堂表情数据用于“学习效果分析”，某保姆利用人脸识别技术诈骗老人等，《办法》第五条明确规定：“处理残疾人、老年人人脸信息的，还应当符合国家有关无障碍环境建设的规定”，第七条明确要求“基于个人同意处理不满十四周岁未成年人人脸信息的，应当取得未成年人的父母或者其他监护人的同意”。

针对社会广泛关注的公共场所、私密空间滥用人脸识别技术的问题，例如国内某酒店在客房内安装人脸识别门锁，《办法》第十三条明确规定：“在公共场所安装人脸识别设备，应当为维护公共安全所必需，依法合理确定人脸信息采集区域，并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备”。

应当取得个人单独同意

北青报记者发现，在一些售楼处，悄悄设置了摄像头，潜在购房人一旦进入，就被记录面容，与“渠道”相绑定，后续不论购房人从哪里买房，分成都要算在第一次进入的售楼处头上，这也意味着无法拿到其他服务更好的渠道的折扣价——这令不少购房人恼火，“凭什么在不知情的情况下，偷偷记录我的脸？”

此次《办法》也规定，人脸识别的应用，一是应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格保护措施。二是应当履行告知义务。三是基于个人同意处理人脸信息的，应当取得个人在充分知情的前提下自愿、明确作出的单独同意。

中国法学会网络与信息法学研究会常务副秘书长周辉表示，《办法》明确规定了人脸识别技术应用的基本原则，为整个规范体系奠定了坚实基础。其一，只有满足“具有特定的目的和充分的必要性”的基本条件，才能应用人脸识别技术处理人脸信息，并且应当采取对个人权益影响最小的方式，并实施严格保护措施。其二，明确实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式，避免过度依赖人脸识别技术。其三，重申了“单独同意”原则。基于个人同意处理人脸信息的，应当取得个人在充分知情的前提下自愿、明确作出的单独同意。这些基本原则共同构成了人脸识别技术应用的规范框架，明确国家对人脸识别技术应用的基础导向。

人脸信息不得通过互联网对外传输

一旦存储人脸信息的数据库遭到黑客攻击或者被内部人员非法盗取，大量用户的人脸信息将面临泄露的危险。人脸信息泄露可能会导致用户遭遇诈骗、身份被盗用等严重后果。2024年6月，杭州市网警分局破获了国内首起“AI换脸技术”侵犯隐私案，犯罪团伙通过使用境外多模态专用大模型，通过文字对话，输出活体视频，突破平台人脸认证，获取了大量受害人个人信息包括敏感个人信息并出售获利。

此次《办法》也明确规定，除法律、行政法规另有规定或者取得个人单独同意外，人脸信息应当存储于人脸识别设备内，不得通过互联网对外传输。除法律、行政法规另有规定外，人脸信息的保存期限不得超过实现处理目的所必需的最短时间。技术层面，鼓励和支持相关机构不断提升人脸识别技术的安全性和可靠性。加强对数据加密技术的研究，确保人脸信息在收集、存储、传输等环节的安全，防止数据被窃取或篡改。通过优化算法，提高识别系统的抗干扰和防伪鉴真能力。

国家工业信息安全发展研究中心总工程师张格表示，《办法》为个人信息处理者合规使用人脸识别技术提供了具体指引，在推动技术发展的同时，强调了安全保障的重要性，确保技术进步与风险防控并重。在应用管理方面，《办法》确立了告知、个人同意、未成年人保护、人脸信息存储、个人信息保护影响评估和非唯一验证等六项基本要求，对人脸识别技术的具体应用场景进行了规范，确保其应用安全可控，防止侵害个人权益。在安全防护方面，《办法》明确强化人脸识别技术应用系统的网络和数据安全要求。人脸识别技术应用系统是个人信息处理者处理人脸信息的关键载体，是开展人脸信息保护的核心所在，个人信息处理者应采取必要的安全措施强化应用系统安全防护。在监督管理方面，《办法》建立了相应的监督管理机制，确保相关规定的执行和落实，明确责任主体和监管措施。

文/北京青年报记者 温婧
编辑/李涛