背景新闻:
国家互联网信息办公室、公安部前不久联合公布了《人脸识别技术应用安全管理办法》,该办法自2025年6月1日起施行。办法进一步完善了人脸识别技术应用安全管理规则,规范了技术应用方式和应用场景,旨在为维护公民个人信息权益提供有力保障。
为人脸识别技术长远发展提供有力支撑
■ 李慧颖
党的二十届三中全会通过的《中共中央关于进一步全面深化改革,推进中国式现代化的决定》明确提出了“提升数据安全治理监管能力”的要求。当前,人脸信息安全问题得到了广泛关注,亟需通过合理的监管措施来实现技术创新、数据安全和公民权益保护之间的有效平衡。
规范技术应用是推动新技术高质量发展、形成新质生产力的关键环节。办法为人脸识别技术应用设立了规范性要求,促使个人信息处理者在追求经济效益的同时,兼顾社会效益,履行社会责任,推动行业规范化发展。特别值得注意的是,办法规定在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用本办法的规定,妥善处理了发展与安全的关系,在严格规范技术应用的同时,促进人脸识别技术创新,为技术的长远发展提供了重要保障。
办法明确了人脸识别技术应用的基本原则。一是合法合理原则。办法体现了人脸识别技术应用的合法性与合理性要求,更是应用人脸识别技术不可动摇的前提和基础。二是最小必要原则。办法强调应用人脸识别技术处理人脸信息,应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。三是单独同意原则。办法规定基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意,与个人信息保护法规定的单独同意原则相衔接,进一步凸显了个人同意在人脸信息处理中的重要性。此外,办法还特别指出,基于个人同意处理不满14周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意,以充分保护未成年人的合法权益。
在处理人脸信息这一敏感个人信息时,个人信息处理者的责任尤为重要。办法强化了个人信息处理者在人脸信息各个处理环节的责任义务。要求个人信息处理者在处理人脸信息前,应当以显著方式、清晰易懂的语言,真实、准确、完整地向个人履行告知义务。
办法要求个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续,并对备案材料作出了具体规定。备案制度将有利于促进人脸识别技术的应用符合法律法规的要求,并便于相关部门进行必要的监管。
办法明确了人脸识别技术在典型场景下的特别应用要求。规定在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。此外,任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备,从而保护个人的隐私权不受侵犯。
办法是我国个人信息保护立法的又一重要成果,有效回应了当前人脸识别技术应用带来的实践挑战。未来,随着办法的施行,人脸识别新技术的健康发展将得到更有力的支撑,我国个人信息保护工作也将迈向更高水平。
人脸识别技术应用安全深系人民安全和幸福
■ 张 格
从机场、火车站的快速安检,到小区门禁系统的便捷出入;从移动支付的刷脸认证,到学校课堂的考勤管理,这项技术正以前所未有的速度重塑着人们的生活方式,极大地提升了社会运行效率。然而,人脸识别技术在广泛应用过程中,也存在着不容忽视的安全隐患。
人脸识别技术在便利人们生活的同时,被滥用的趋势愈发严重,引发的个人信息保护问题也日益凸显。一方面,部分企业、行业机构在未经用户明确同意的情况下,擅自收集、使用用户的人脸信息,侵犯了用户的隐私权,引发社会关注和担忧。另一方面,一旦存储人脸信息的数据库遭到黑客攻击或者被内部人员非法盗取,大量用户的人脸信息将面临泄露的危险。2024年6月,浙江省杭州市网警分局破获了国内首起“AI换脸技术”侵犯隐私案,犯罪团伙通过使用境外多模态专用大模型,通过文字对话,输出活体视频,突破平台人脸认证,获取了大量受害人个人信息包括敏感个人信息并出售获利。
《中华人民共和国个人信息保护法》第六十二条中明确,国家网信部门统筹协调有关部门,针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。此次出台的办法为个人信息处理者合规使用人脸识别技术提供了具体指引,在推动技术发展的同时,强调了安全保障的重要性,确保技术进步与风险防控并重。在应用管理方面,办法确立了告知、个人同意、未成年人保护、人脸信息存储、个人信息保护影响评估和非唯一验证六项基本要求,对人脸识别技术的具体应用场景进行了规范,确保其应用安全可控,防止侵害个人权益。在安全防护方面,办法明确强化人脸识别技术应用系统的网络和数据安全要求。人脸识别技术应用系统是个人信息处理者处理人脸信息的关键载体,是开展人脸信息保护的核心所在,个人信息处理者应采取必要的安全措施强化应用系统安全防护。在监督管理方面,办法建立了相应的监督管理机制,确保相关规定的执行和落实,明确责任主体和监管措施。
人脸识别技术应用安全绝非小事,它深系人民的安全与幸福,牵一发而动全身,必须多管齐下,构建全方位的安全保障体系。
在法律层面,办法作为《中华人民共和国个人信息保护法》的关键配套制度,为人脸识别技术应用安全管理工作提出了具体要求。通过规范性制度约束,有利于进一步规范企业和相关机构行为,为人脸识别技术的合规应用提供坚实的法律依据。
在技术层面,鼓励和支持相关机构不断提升人脸识别技术的安全性和可靠性。加强对数据加密技术的研究,确保人脸信息在收集、存储、传输等环节的安全,防止数据被窃取或篡改。通过优化算法,提高识别系统的抗干扰和防伪鉴真能力。
在社会层面,要加强公众宣传教育,提高人们对人脸识别技术安全风险的认识和防范意识。让公众了解如何保护自己的人脸信息,在面对人脸识别应用时,能够理性判断,谨慎授权。同时,鼓励公众积极参与监督,对发现的人脸识别技术滥用行为及时举报,形成全社会共同维护技术应用安全的良好氛围。
以法治防范人脸识别技术应用风险
■ 赵精武
当下,人脸识别技术应用于生产生活诸多领域,刷脸支付、刷脸进出等应用场景随处可见。这类技术应用因其便捷性和准确性显著提升了工作效率和服务质量,同时也暴露出一些问题:部分服务提供者出于不同目的强制要求用户“自愿接受”刷脸服务,却不告知用户收集信息的去向,公众对于这项技术应用的安全性和可靠性产生了质疑与担忧。
办法的出台,标志着我国人脸识别技术治理步入新阶段。办法与个人信息保护法、《公共安全视频图像信息系统管理条例》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,共同构筑起预防人脸识别技术滥用的“权益保护网”。在办法施行后,公众可以理直气壮地拒绝任何不合理的刷脸要求,并可要求这些服务提供者说明人脸信息处理活动的相关情况。例如,小区物业向业主收集人脸信息时,不仅要主动明确告知人脸信息处理目的、方式和范围,特别是实际处理主体,还应在业主拒绝提供人脸信息时,提供其他具有相同身份核验效果的方式。
之所以在这个时间点出台办法,是因为人脸识别技术应用的治理实践已较为充分,且《公共安全视频图像信息系统管理条例》于2025年2月发布,明确了基于公共安全目的收集处理人脸等信息的合法性边界。针对公众不胜其烦的刷脸服务强制绑定、超范围收集人脸信息等行业乱象,办法予以明确禁止或者限制,再次强调人脸信息处理活动应当遵循最小必要原则。特别是在处理残疾人、老年人等特殊群体的人脸信息时,还需符合国家有关无障碍环境建设相关规定。此外,办法明确禁止任何组织和个人以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证身份。
对公众而言,办法的亮点主要体现在以下三个方面:
第一,细化了个人信息处理者告知义务的履行标准。办法规定,在采集人脸信息时,需以显著方式、清晰易懂的语言,真实、准确、完整地向个人告知处理者名称、处理目的、处理方式等事项。这是因为技术滥用多表现为在个人不知情的情况下过度收集信息。办法再次强调告知义务,就是为了避免部分经营者在未告知的情况下直接收集人脸信息。
第二,细化了公共场所安装人脸识别设备的安全监管要求。办法禁止在宾馆客房、公共浴室等公共场所中的私密空间内部安装人脸识别设备。当然,在公共场所公共区域基于公共安全等目的安装不在此列。同时,安装人脸识别设备需依法合理确定信息采集区域,并设置显著提示标识。
第三,细化了人脸信息存储备案手续的实施细则。伴随着人脸识别技术的广泛应用,部分个人信息处理者所持人脸信息呈指数式增长。为防范信息泄露引发重大安全风险,办法要求人脸信息存储数量达到10万人的个人信息处理者,向所在地省级以上网信部门备案。备案内容包括处理者的基本情况、处理目的和方式、存储数量和安全保护措施、处理规则、影响评估报告等,旨在明确重点监管对象,避免发生不可挽回的个人信息安全事件。
总体来看,办法并未实质性增加个人信息处理者的法定义务和业务合规成本,而是在现有个人信息保护立法体系下,进一步明确了人脸信息保护要求和技术应用监管标准,确保人脸识别技术合法合理地应用。相信办法的实施将有效遏制强制或变相强制收集人脸信息乱象,保障公民个人信息安全,使“刷脸”不再成为使用信息服务的“不合理负担”。