划定边界 让人脸识别更安全

数字经济已经成为引领未来的发展新动力。基于数字经济逐渐成熟，人脸识别等相关技术已经迅速拓展到经济社会发展的方方面面，由此也引发了公众对安全性、隐私性等问题的疑虑。任何新技术都存在从野蛮生长到规范治理的过程，人脸识别技术同样走到了在监管中消除隐患、规范发展的阶段。

近日，“网信中国”微信公众号信息显示，为规范人脸识别技术应用，国家互联网信息办公室根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，起草了《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（以下简称《征求意见稿》），并向社会公开征求意见。

此次《征求意见稿》从自愿原则、使用场景、使用存储原则等方面做出了规定，对此前《个人信息保护法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等法律法规关于人脸识别技术的要求进行了细化和填补，为人脸识别技术的发展框定了底线。

知情同意应是通行证

在《个人信息保护法》中，以人脸识别为代表的生物识别信息被定义为敏感个人信息，一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。因此，在使用人脸识别技术过程中坚持知情并同意原则应该是保护个人合法权益的基本准则。

《征求意见稿》对这种知情权做出了规定，即要明确告知个人即将或正在使用人脸识别技术。《征求意见稿》第七条要求，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，设置显著提示标识。

保证知情权的同时，自愿使用也是《征求意见稿》提出的必要原则。根据《征求意见稿》第五条，使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外。第九条则提出，个人自愿选择使用人脸识别技术验证个人身份的，应当确保个人充分知情并在个人主动参与的情况下进行，验证过程中应当以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的。

值得一提的是，伴随着人脸识别应用场景越来越广泛，未成年人的人脸信息被采集的场景也逐渐增多。在业内看来，未成年人个人信息保护意识相对较弱，被采集人脸信息的概率相对较大。再加之人脸识别技术已经成为网络游戏防沉迷工作的重要一环，如何在保护未成年人的维度上规范人脸识别技术、保证数据及隐私安全也是当前的重要议题。

有业内专家认为，未成年人的人脸信息一旦泄露，侵权影响甚至可能伴随其一生，特别是技术歧视或算法偏见所导致的不公平待遇，会直接影响未成年人发展。

对此，《征求意见稿》明确提出了关于未成年人人脸信息保护的要求。根据《征求意见稿》第十三条，人脸识别技术使用者处理不满十四周岁未成年人人脸信息的，应当取得未成年人的父母或者其他监护人的单独同意或者书面同意。未成年人的父母或者其他监护人应当正确履行监护职责，教育引导不满十四周岁未成年人增强个人信息保护意识和能力。

规制场景避免过度使用

和数字密码与证件信息不同，人脸信息更多暴露在公共场景中，很容易被无感知采集和使用。因此，如何在公共场合对人脸信息采集和使用进行规制是治理人脸识别技术的重要内容。

对此，《征求意见稿》提出了最少使用原则，即非必要不使用人脸识别技术。《征求意见稿》第四条明确，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求，存在其他非生物特征识别技术方案的，应当优先选择非生物特征识别技术方案。使用人脸识别技术验证个人身份、辨识特定自然人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。

在规定最少使用人脸识别技术的前提下，《征求意见稿》针对不同使用场景进行了细分。根据《征求意见稿》第六条，旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备。

同时，第九条提出，宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所，除法律、行政法规规定应当使用人脸识别技术验证个人身份的，不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。

不仅如此，《征求意见稿》规避了部分场景下人脸识别技术使用的唯一性。例如，《征求意见稿》第十二条提出，涉及社会救助、不动产处分等个人重大利益的，不得使用人脸识别技术替代人工审核个人身份，人脸识别技术可以作为验证个人身份的辅助手段。

第十四条则要求，物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式，个人不同意通过人脸信息进行身份验证的，物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。

值得一提的是，在物业等场景内使用人脸识别技术的情况在监管层面早有规定。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》指出：“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。”

有律师认为，如果《征求意见稿》得以实施，生活场景和经营场所强制消费者“刷脸”出入、商家抓拍消费者人脸信息、售楼处及居住小区普遍安装人脸识别设备等将受到规制，人脸信息采集乱象将得到进一步遏制。

信息保存使用应合规合法

除了最少使用外，最小储存也是此次《征求意见稿》提出的原则之一。最小储存原则意味着使用者应该避免保存大量人脸信息，防止信息流出或被滥用。

根据《征求意见稿》第十七条，除法定条件或者取得个人单独同意外，人脸识别技术使用者不得保存人脸原始图像、图片、视频，经过匿名化处理的人脸信息除外。第十八条则要求使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息，无法避免的，应当及时删除或者进行匿名化处理。

同时，《征求意见稿》要求在公共场所使用人脸识别技术，或者存储超过1万人人脸信息的人脸识别技术使用者，应当在30个工作日内向所属地市级以上网信部门备案。

《征求意见稿》的要求并非偶然。人脸识别技术发展以来，已出现多起人脸信息流出的事件。随着生成式人工智能的发展，利用深度学习模型“换脸”甚至“造脸”都成为现实。“换脸”“造脸”重新应用于人脸识别技术、数字人、虚拟现实等领域都将带来突破性发展。但是，生成式人工智能的学习和生成过程基于大量数据和算法，未经匿名处理的人脸信息很有可能成为生成式人工智能或算法模型的训练数据。这不仅可能会造成个人隐私泄露，在承担法律风险的同时，还会侵害公民人身权益和财产安全。

例如，8月10日，公安部在新闻发布会通报全国公安机关打击整治侵犯公民个人信息违法犯罪行为的举措成效时透露，公安机关紧盯ChatGPT、云计算、区块链、“AI换脸”等新技术、新应用、新业态，边研究边打击，侦破一批利用人工智能技术侵犯公民个人信息的新型案件。

同时，公安机关开展相关安全测评，及时发现人脸识别验证系统存在的风险隐患，并组织专项会战严打泄露身份证照片等图像信息的犯罪源头，目前已侦破相关案件79起、抓获“AI换脸”犯罪嫌疑人515名。

业内人士认为，《征求意见稿》意在发展人脸识别技术的同时最大程度地保护信息和数据安全，让人脸识别技术向善发展，在保障安全的前提下服务社会经济发展。文/李濛