规范人脸识别技术应用 保护个人信息安全

本刊记者 焦艳

人脸识别是基于人的面部特征信息进行身份识别的一种生物识别技术。这种技术具有高效、准确的特性，已在安全监控、金融服务、社交媒体、交通出行等多个行业领域得到广泛应用。然而，该技术在带来效率与便利的同时，在保护个人信息安全、人身财产安全等方面也带来潜在风险。因此，如何保护人脸信息不被滥用、以达到“人脸识别”技术善用善治，并实现个人信息保护与利用平衡发展是各界关注的重要议题。

使用人脸识别技术应遵循“最少使用”

随着科技的进步，人脸识别技术已经在金融、交通、公共场所管理等多个领域发挥了重要作用。通过人脸识别技术实现身份验证，不仅提高了效率和安全性，也为社会治理提供了新的手段。与之相伴的是人脸信息被采集的频率提高，在一些景点、商业楼宇、健身馆出入口，让“要不要刷”“该不该刷”“能不能刷”频繁进入人们视野，这种过度使用“刷脸”认证真的有必要吗?

近日，上海市某区游泳馆以办理业务、提升服务质量名义强制采集消费者人脸信息，被该区网信部门处以警告的行政处罚。该案也是当地网信部门开展人脸识别技术领域执法的首案。专业人士认为，人脸信息属于个人敏感信息，进出健身场所、存取物品时并非必须使用人脸识别的场景，强制以人脸识别作为单一方式，合法性存疑。

为规范人脸识别技术应用，2023年8月，国家网信办发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《征求意见稿》)中提到，使用人脸识别技术必须遵循“最少使用”和“最小存储”。“最少使用”是指只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求，存在其他非生物特征识别技术方案的，应当优先选择非生物特征识别技术方案。2024年7月1日起施行的《消费者权益保护法实施条例》第二十三条指出，经营者在提供商品或服务时，不得过度收集消费者个人信息，不得采用一次概括授权、默认授权等方式，强制或者变相强制消费者同意收集、使用与经营活动无直接关系的个人信息。

南开大学法学院教授陈兵认为，目前就制度设计上而言，我国民法典、个人信息保护法等相关法律制度的设计已经相对完备，许多地方已取消了人脸识别系统，但是仍有部分主体还没有完全落实制度。陈兵提醒，在人脸采集、使用中仍应秉持“非必要不采集、不使用”原则，当前在《征求意见稿》出台前，行政监管部门应加强对人脸识别技术使用的监督检查，可以对一些本不必使用人脸识别系统的场景予以制止，严格规制人脸识别系统的使用，只有出于公共利益目的、国家安全目的，才可以采集、使用人脸信息。

“知情—同意”落地存难点

打着简单快捷、便于管理的名义，人脸识别的功能及应用随着设备技术商的推广悄悄蔓延到多种场景。

记者注意到，目前一些分布在公共场所的售货机、商超的自助收费设备会通过优先推荐使用刷脸支付，将刷脸支付作为默认支付选项等方式，或以“优惠折扣”名义诱导消费者使用人脸识别功能。此外，人脸识别技术的应用还普遍存在“不同意则无服务”“不知情已收集” 等问题，实际操作中“知情—同意”较难规范实行。

“企业主体应当加强自身规范化建设，建立与法律法规相适应的规章制度。”中国电子技术标准化研究院网安中心测评实验室副主任何延哲以景区应用为例指出，景区可以通过不同颜色地标设置以区分自动身份核验设备、普通检票闸机口，为游客提供多元化入园方式。同时充分履行告知义务使游客能够了解个人信息处理规则，并对“刷脸”入园的游客设置数据删除期限，如在游客游玩结束后自动删除人脸信息，以做到对人脸识别技术使用于法有据。

陈兵说，“人脸”信息作为生物识别数据，属于个人敏感信息的范畴，因此，即便是基于自愿原则，人脸识别系统的应用也应当更加审慎。与此同时，公民个人应不断提升保护自身敏感信息的安全意识。他进一步强调，在商业场景中应用人脸自愿认证时，需充分关注分类分级使用规则的设计，避免采取“一刀切”的方式。特别是在用户完成自愿认证后，如何依法依规地保护和使用这些信息，成为一个关键问题。这不仅需要充分保障用户知情同意的权利，还应赋予用户清除自愿认证时所提供信息的权利。

信息保护与规范发展并重

当下，数字技术的创新应用成为社会发展、时代进步不可逆的潮流，在此背景下，使用刷脸技术应合法、合理、安全，实现技术发展与权利保护的平衡。

何延哲提到，从个人信息处理者的角度来看，个人信息保护影响评估制度是一个积极举措。该制度要求个人信息处理者在处理特别是敏感个人信息、利用信息进行自动化决策等各个环节都能遵循法律法规要求，确保企业做到安全措施与所面临的风险相匹配，个人信息合法处理。

陈兵认为，对于人脸识别技术的应用，要统筹安全与发展的关系，安全是前提，但是不能以安全为由而不发展。探索人脸识别技术的应用规律、适用场景及制定相关规则，也是应对人工智能时代的必经之路。在技术浪潮面前，有智慧且积极的应对，做好沙盒监管，分级分类推动人脸识别技术的应用。“要充分意识到，随着人工智能技术的开发、应用，对人类生物信息的研究和认识也到达了新的高度。在当下和未来，对于人脸这一重要的生物识别信息，其定位和价值或许要重新审视”，陈兵强调，当前的技术发展可能已经或正在引发对个人生物识别信息采集、获取、储存及使用的变革，在此背景下，人脸作为一种个人生物识别信息，与指纹、手纹、声纹、体态、步态等生物识别信息已经具有高度一致性，而后者的获取早已更加普遍。面对技术变革，任何生物识别信息都已然成为一种机读代码，既然“严防死守”不可取，那么要做到对开发者、使用者的科学规范和引导。