法治号 手机版| 站内搜索

网上有害信息举报

首页> 法治参考频道>

两部门出台人脸识别技术应用安全管理办法

非必要不得将“刷脸”作为唯一验证方式

2025-05-10 17:44:48 来源:法治参考 -标准+

本刊记者 焦艳

近年来,从智慧城市建设到手机客户端登录解锁,人脸识别技术得到广泛运用。在此过程中,其存在的安全风险不容忽视。2025年3月21日,国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》(以下简称《办法》),《办法》自2025年6月1日起施行。《办法》对人脸识别技术处理人脸信息的基本要求、处理规则及应用安全规范和监督管理责任进行了明确。

明确人脸识别技术应用基本原则

在推动数字经济发展、提升人民生活质量的同时,人脸识别技术已广泛应用于消费、金融、出行等多领域。人脸识别技术大大提高了身份验证效率和准确性,在为人们生活带来诸多便利的同时,也引发了公众对个人肖像、行动轨迹、行为习惯等敏感信息泄露的担忧,使得“要不要刷”“该不该刷”“能不能刷”成为公众讨论的焦点。

中国信息通信研究院互联网法律研究中心主任何波说,人脸信息作为“敏感个人信息”中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性、不可更改性等天然特性,关系到每个人的人格尊严,一旦泄露或者非法使用,将对个人人身和财产安全造成极大危害,甚至可能威胁公共安全。

在很多日常应用场景中,人脸识别设备的部署和应用往往未明确告知用户,也未征得用户同意,导致用户的人脸信息在不知不觉中被收集和使用,甚至未经授权被挪作他用。

2024年6月,杭州警方成功破获一起“AI换脸侵犯隐私案”。犯罪分子利用先进的人工智能技术伪造视频,绕过了一些主要网络平台的登录认证机制,非法获取了大量受害者的私人数据和敏感信息,并通过出售这些信息牟取利益。

“《办法》进一步落实个人信息保护法、数据安全法等法律在人脸识别领域的规定,同时也回应了人们对人脸识别技术滥用的担忧。在严格规范人脸识别技术的应用方式、应用场景,保护好公民人脸信息的同时,引导和促进相关产业的良性发展。”北京航空航天大学法学院副教授赵精武说。

《办法》在个人信息处理者应履行告知义务等方面划定边界。何波指出,基于人脸识别技术应用的特殊性,《办法》明确了“非强制”原则要求。比如《办法》第十条规定,实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。

此外,《办法》还强调了人脸信息处理中应当遵循最小必要原则。特别是在处理残疾人、老年人等特殊群体的人脸信息时,需符合国家有关无障碍环境建设相关规定。

明确公共场所设备安装要求

当前,数字技术应用正成为社会发展和时代进步的趋势。在此背景下,刷脸技术应用的安装使用必须遵循合法、合理和安全的原则,以实现技术进步与个人权利保护之间的平衡。

《办法》对在公共场所安装人脸识别设备时必须遵循的安全规范作出回应。以2024年上海某游泳馆更衣室采用人脸识别技术开启更衣柜为例,经过当地网信部门的核实和检查,该游泳馆因违规使用人脸识别技术受到警告处罚。

那么,在健身房、游泳馆、商超、旅游景区等公共场所安装人脸识别设备时,《办法》又是如何规定的?

《办法》第十三条规定,在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。同时规定,任何组织和个人不得以办理业务、提升服务为由,误导、欺诈、胁迫个人接受人脸识别技术、验证个人身份。

对于一些居民小区仍采用“刷脸”代替“刷卡”所引发的争议,受访学者认为,尽管《办法》并未明确禁止物业采用人脸识别技术,但规定必须提供其他替代方案,否则将被视为违规。

保护个人隐私权益

实践中,数据滥用与泄露已成为个人隐私权遭受侵犯的主要原因。江苏省市场监督管理局曾发布侵害消费者案例显示,苏州某科技公司及其客户未经消费者同意,擅自通过人脸识别技术抓拍、采集消费者人脸信息,识别消费者身份,并利用身份的差异“大数据杀熟”经营获利。值得注意的是,技术开发使用者非法收集和使用人脸信息往往是长期的,收集人脸信息数量也在持续不断增长,一旦数据被不法分子获取或滥用,将给个人带来难以估量的损失。

《办法》规定了应用人脸识别技术处理人脸信息活动的基本要求,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。

在赵精武看来,“事前环节的必要性评估是《办法》的创新之处”,即个人信息处理者应用人脸识别技术处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录,评估报告和处理情况记录应当至少保存3年。此外,《办法》还规定网信部门会同公安机关以及其他履行个人信息保护职责部门,建立健全信息共享和通报工作机制,协同开展相关工作。

“个人信息处理者实现自我监管、行业自律,需要认识到《办法》不是为了施加额外的义务负担,而是为了在最基本的技术安全水平基础上实现产业创新发展。”赵精武认为,个人信息处理者不应持有“收集的人脸信息越多越好”或“为了简便操作,要求所有用户必须接受刷脸验证”等不当观念,应树立正确的个人信息安全意识。只有安全可靠的信息技术服务,才能吸引大量用户。因此,个人信息处理者的业务合规重点应放在提升信息服务的质量上,而不是通过强制或变相强制手段让用户接受刷脸验证服务。


编辑:白楚玄

友情链接