本刊記者 焦艷

近年來，從智慧城市建設(shè)到手機(jī)客戶端登錄解鎖，人臉識(shí)別技術(shù)得到廣泛運(yùn)用。在此過程中，其存在的安全風(fēng)險(xiǎn)不容忽視。2025年3月21日，國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合公布《人臉識(shí)別技術(shù)應(yīng)用安全管理辦法》(以下簡(jiǎn)稱《辦法》)，《辦法》自2025年6月1日起施行。《辦法》對(duì)人臉識(shí)別技術(shù)處理人臉信息的基本要求、處理規(guī)則及應(yīng)用安全規(guī)范和監(jiān)督管理責(zé)任進(jìn)行了明確。

明確人臉識(shí)別技術(shù)應(yīng)用基本原則

在推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展、提升人民生活質(zhì)量的同時(shí)，人臉識(shí)別技術(shù)已廣泛應(yīng)用于消費(fèi)、金融、出行等多領(lǐng)域。人臉識(shí)別技術(shù)大大提高了身份驗(yàn)證效率和準(zhǔn)確性，在為人們生活帶來諸多便利的同時(shí)，也引發(fā)了公眾對(duì)個(gè)人肖像、行動(dòng)軌跡、行為習(xí)慣等敏感信息泄露的擔(dān)憂，使得“要不要刷”“該不該刷”“能不能刷”成為公眾討論的焦點(diǎn)。

中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心主任何波說，人臉信息作為“敏感個(gè)人信息”中的生物識(shí)別信息，是生物識(shí)別信息中社交屬性最強(qiáng)、最易采集的個(gè)人信息，具有唯一性、不可更改性等天然特性，關(guān)系到每個(gè)人的人格尊嚴(yán)，一旦泄露或者非法使用，將對(duì)個(gè)人人身和財(cái)產(chǎn)安全造成極大危害，甚至可能威脅公共安全。

在很多日常應(yīng)用場(chǎng)景中，人臉識(shí)別設(shè)備的部署和應(yīng)用往往未明確告知用戶，也未征得用戶同意，導(dǎo)致用戶的人臉信息在不知不覺中被收集和使用，甚至未經(jīng)授權(quán)被挪作他用。

2024年6月，杭州警方成功破獲一起“AI換臉侵犯隱私案”。犯罪分子利用先進(jìn)的人工智能技術(shù)偽造視頻，繞過了一些主要網(wǎng)絡(luò)平臺(tái)的登錄認(rèn)證機(jī)制，非法獲取了大量受害者的私人數(shù)據(jù)和敏感信息，并通過出售這些信息牟取利益。

“《辦法》進(jìn)一步落實(shí)個(gè)人信息保護(hù)法、數(shù)據(jù)安全法等法律在人臉識(shí)別領(lǐng)域的規(guī)定，同時(shí)也回應(yīng)了人們對(duì)人臉識(shí)別技術(shù)濫用的擔(dān)憂。在嚴(yán)格規(guī)范人臉識(shí)別技術(shù)的應(yīng)用方式、應(yīng)用場(chǎng)景，保護(hù)好公民人臉信息的同時(shí)，引導(dǎo)和促進(jìn)相關(guān)產(chǎn)業(yè)的良性發(fā)展?！北本┖娇蘸教齑髮W(xué)法學(xué)院副教授趙精武說。

《辦法》在個(gè)人信息處理者應(yīng)履行告知義務(wù)等方面劃定邊界。何波指出，基于人臉識(shí)別技術(shù)應(yīng)用的特殊性，《辦法》明確了“非強(qiáng)制”原則要求。比如《辦法》第十條規(guī)定，實(shí)現(xiàn)相同目的或者達(dá)到同等業(yè)務(wù)要求，存在其他非人臉識(shí)別技術(shù)方式的，不得將人臉識(shí)別技術(shù)作為唯一驗(yàn)證方式。

此外，《辦法》還強(qiáng)調(diào)了人臉信息處理中應(yīng)當(dāng)遵循最小必要原則。特別是在處理殘疾人、老年人等特殊群體的人臉信息時(shí)，需符合國(guó)家有關(guān)無(wú)障礙環(huán)境建設(shè)相關(guān)規(guī)定。

明確公共場(chǎng)所設(shè)備安裝要求

當(dāng)前，數(shù)字技術(shù)應(yīng)用正成為社會(huì)發(fā)展和時(shí)代進(jìn)步的趨勢(shì)。在此背景下，刷臉技術(shù)應(yīng)用的安裝使用必須遵循合法、合理和安全的原則，以實(shí)現(xiàn)技術(shù)進(jìn)步與個(gè)人權(quán)利保護(hù)之間的平衡。

《辦法》對(duì)在公共場(chǎng)所安裝人臉識(shí)別設(shè)備時(shí)必須遵循的安全規(guī)范作出回應(yīng)。以2024年上海某游泳館更衣室采用人臉識(shí)別技術(shù)開啟更衣柜為例，經(jīng)過當(dāng)?shù)鼐W(wǎng)信部門的核實(shí)和檢查，該游泳館因違規(guī)使用人臉識(shí)別技術(shù)受到警告處罰。

那么，在健身房、游泳館、商超、旅游景區(qū)等公共場(chǎng)所安裝人臉識(shí)別設(shè)備時(shí)，《辦法》又是如何規(guī)定的?

《辦法》第十三條規(guī)定，在公共場(chǎng)所安裝人臉識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，依法合理確定人臉信息采集區(qū)域，并設(shè)置顯著提示標(biāo)識(shí)。任何組織和個(gè)人不得在賓館客房、公共浴室、公共更衣室、公共衛(wèi)生間等公共場(chǎng)所中的私密空間內(nèi)部安裝人臉識(shí)別設(shè)備。同時(shí)規(guī)定，任何組織和個(gè)人不得以辦理業(yè)務(wù)、提升服務(wù)為由，誤導(dǎo)、欺詐、脅迫個(gè)人接受人臉識(shí)別技術(shù)、驗(yàn)證個(gè)人身份。

對(duì)于一些居民小區(qū)仍采用“刷臉”代替“刷卡”所引發(fā)的爭(zhēng)議，受訪學(xué)者認(rèn)為，盡管《辦法》并未明確禁止物業(yè)采用人臉識(shí)別技術(shù)，但規(guī)定必須提供其他替代方案，否則將被視為違規(guī)。

保護(hù)個(gè)人隱私權(quán)益

實(shí)踐中，數(shù)據(jù)濫用與泄露已成為個(gè)人隱私權(quán)遭受侵犯的主要原因。江蘇省市場(chǎng)監(jiān)督管理局曾發(fā)布侵害消費(fèi)者案例顯示，蘇州某科技公司及其客戶未經(jīng)消費(fèi)者同意，擅自通過人臉識(shí)別技術(shù)抓拍、采集消費(fèi)者人臉信息，識(shí)別消費(fèi)者身份，并利用身份的差異“大數(shù)據(jù)殺熟”經(jīng)營(yíng)獲利。值得注意的是，技術(shù)開發(fā)使用者非法收集和使用人臉信息往往是長(zhǎng)期的，收集人臉信息數(shù)量也在持續(xù)不斷增長(zhǎng)，一旦數(shù)據(jù)被不法分子獲取或?yàn)E用，將給個(gè)人帶來難以估量的損失。

《辦法》規(guī)定了應(yīng)用人臉識(shí)別技術(shù)處理人臉信息活動(dòng)的基本要求，應(yīng)當(dāng)遵守法律法規(guī)，尊重社會(huì)公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠(chéng)實(shí)守信，履行個(gè)人信息保護(hù)義務(wù)，承擔(dān)社會(huì)責(zé)任，不得危害國(guó)家安全、損害公共利益、侵害個(gè)人合法權(quán)益。

在趙精武看來，“事前環(huán)節(jié)的必要性評(píng)估是《辦法》的創(chuàng)新之處”，即個(gè)人信息處理者應(yīng)用人臉識(shí)別技術(shù)處理人臉信息，應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄，評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存3年。此外，《辦法》還規(guī)定網(wǎng)信部門會(huì)同公安機(jī)關(guān)以及其他履行個(gè)人信息保護(hù)職責(zé)部門，建立健全信息共享和通報(bào)工作機(jī)制，協(xié)同開展相關(guān)工作。

“個(gè)人信息處理者實(shí)現(xiàn)自我監(jiān)管、行業(yè)自律，需要認(rèn)識(shí)到《辦法》不是為了施加額外的義務(wù)負(fù)擔(dān)，而是為了在最基本的技術(shù)安全水平基礎(chǔ)上實(shí)現(xiàn)產(chǎn)業(yè)創(chuàng)新發(fā)展。”趙精武認(rèn)為，個(gè)人信息處理者不應(yīng)持有“收集的人臉信息越多越好”或“為了簡(jiǎn)便操作，要求所有用戶必須接受刷臉驗(yàn)證”等不當(dāng)觀念，應(yīng)樹立正確的個(gè)人信息安全意識(shí)。只有安全可靠的信息技術(shù)服務(wù)，才能吸引大量用戶。因此，個(gè)人信息處理者的業(yè)務(wù)合規(guī)重點(diǎn)應(yīng)放在提升信息服務(wù)的質(zhì)量上，而不是通過強(qiáng)制或變相強(qiáng)制手段讓用戶接受刷臉驗(yàn)證服務(wù)。