《人脸识别技术应用安全管理办法》正式施行 不妨给“人脸识别验证”建立清单

2025年6月1日起,《人脸识别技术应用安全管理办法》(以下简称《办法》)正式施行。《办法》明确规定,应用人脸识别技术处理人脸信息,应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。

如今是个刷脸时代,不管重不重要、紧不紧要、必不必要,采集人脸、上马人脸识别系统似乎成为时髦。刷脸虽能让人们享受到技术革新带来的便捷高效,还可提高重要场合的安全性,却隐藏着面部信息泄露等安全隐患。要知道,人脸、指纹等个体生物信息高度敏感,伴随终生,不可更改,一旦泄露,几乎不可挽回,会对个人隐私权甚至人身、财产安全造成严重损害。因此近年来,“谁动了我的脸”等案例与追问并不少见,专家学者纷纷呼吁必须防止人脸识别被泛化、滥化,防止了泛化、滥化,才可能防止恶化,最关键的是加强相关立法,建立全国性的监管制度。

关于个人信息保护,我国《网络安全法》《数据安全法》《个人信息保护法》和《网络数据安全管理条例》等法律、行政法规均有相关规定。但没有针对越用越广的人脸识别技术制定专门的人脸信息保护规则。此次,两部门联合发布《办法》,就是顺应民众的迫切需要,系统规定了人脸识别技术应用安全管理的制度框架,开启人脸识别技术应用安全治理新篇章,意义重大。

《办法》对人脸识别的合法性、正当性和必要性,以及包括伦理责任、制度责任、技术责任在内的相关责任均作出了明确要求。尤其是《办法》第十条规定:“实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。”该规定剑指群众普遍关心的强制刷脸问题,此前多地多领域曾发生这类侵权案件,它们已经表明,刷脸必须遵循最小化原则,有替代方式,就要少用慎用乃至不用刷脸。

有替代不刷脸、非必要不强制的道理很简单,比如,顾客入住酒店,早就在刷身份证和实名登记,这是酒店业的标准操作程序;业主进小区,物业应当提供刷门禁卡等传统方式,确保业主进出不受影响……传统方式已能达到相同目的,再强制刷脸,明显属于过度重复收集个人敏感信息。

要将“不得将人脸识别技术作为唯一验证方式”落到实处,还需要建立清单、明晰边界。虽然《办法》第十三条规定“任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备”,但哪些领域不能把人脸识别作为唯一方式,应当有替代方式?《办法》没有涉及。不少网友期待,相关部门在后续能针对“不能把人脸识别作为唯一方式”的方面列出一个清单,让公众对强制刷脸有依据说“不”,这个范围要划得比较合理,不能过分扩张,超出刷脸的必要性原则。

总之,随着人工智能技术的飞速发展,人脸等个人信息安全需要更强力的护盾,将《办法》贯彻落实到位,做到“不刷脸为原则、刷脸为例外”“收集端总体减量、存储端确保安全”至关重要。否则,人脸信息保护可能会面临更大的挑战。 (何勇海)

(编辑:王胜男)