厘清“刷臉”邊界 筑牢人臉信息的安全防線

央視網消息（焦點訪談）：人臉信息與人體的其他生物特征，如指紋、虹膜等與生俱來，具有唯一性。這些關鍵信息一旦被泄露或被不法利用，容易造成較大的風險和危害。近日，國家互聯網信息辦公室、公安部聯合公布的《人臉識別技術應用安全管理辦法》正式實施，這是我國首部專門針對人臉識別技術應用的綜合性規章。那么，人臉識別技術的適用邊界在哪里？什么地方能用人臉識別技術，什么地方不能用？管理辦法實施后，現在發生了哪些變化呢？

刷臉解鎖、刷臉支付、刷臉進小區……當前，人臉識別技術已經廣泛應用于各種生活場景。然而，新技術給人們帶來生活便利的同時，一些“強制刷臉”“無感抓拍”等技術的濫用也日益凸顯，人臉識別的適用邊界、采集范圍、數據保護等，都是大家關注的焦點。

記者：“進出門要采集人臉，最擔心的點在哪兒？”

市民江昊峰：“一個是隱私，一個是安全，還有一個是信息的泄露，辦人臉識別涉及到個人的姓名、聯系方式、人臉，其他的一些資料很容易推出來。”

市民徐愛娜：“個人信息被不良使用，包括手機支付也是存在風險的，在實現便利的同時，信息全部暴露，現在網上有一個時下的名詞叫我們天天都在“裸奔”。”

其實，大眾的擔憂并不無道理，人臉信息的泄露容易引發問題。

專家介紹，有些驗證場景下，一張照片就可以實現人臉識別應用中的人臉驗證。常規的眨眼、張嘴、點頭、搖頭等動作都可以通過AI算法驅動完成。

中國信通院人工智能所安全部高級業務主管陳文弢：“我們上傳一張照片，就可以實現以背后的算法來驅動照片做一些點頭、搖頭，還有眨眼的指令，從而繞過人臉識別的應用系統。”

可見，哪怕一張含有人臉信息的照片，隱私的保護也至關重要。

為了規范人臉識別技術的應用，今年6月1日，國家網信辦、公安部聯合公布的《人臉識別技術應用安全管理辦法》正式實施，這是我國首部專門針對人臉識別技術應用的綜合性規章。與《網絡安全法》《數據安全法》《個人信息保護法》形成配套，進一步厘清了人臉識別的適用邊界，規范了操作流程，強化了信息保護。

中國社會科學院法學研究所網絡與信息法研究室副主任周輝：“針對人臉技術在經濟社會生活中已經被廣泛應用的糾偏，這樣一個規定的出臺就告訴大家，對人臉信息的收集還是要注意相應風險的，需要更好地保護自己的人臉信息在內的權益。”

《人臉識別技術應用安全管理辦法》規定，在公共場所安裝人臉識別設備，應當為維護公共安全所必須，依法合理確定人臉信息采集區域，并設置顯著提示標識。

中國信息通信研究院互聯網法律研究中心主任何波：“首先，需要具備安裝的必要性，而且這個必要性必須是為了維護公共安全所必須的，比較典型的是在火車站或者是安檢的一些地方；第二個必要性是必須依法劃定采集范圍，不能超范圍去采集；第三個要設置明顯的標識，比如在人臉識別的采集區域里面，需要有個標語也好，標牌也好，這樣確保消費者的知情權，讓大家知道我是處在被采集人臉信息的狀態下面。”

像酒店大堂正是《人臉識別技術應用安全管理辦法》中所涉及的一類公共場所，也曾是人臉識別技術應用比較普遍的地方。此前一段時間，入住酒店除了出示證件，還需要采集人臉信息，這一問題一直飽受公眾詬病。《人臉識別技術應用安全管理辦法》施行一個月來，有什么變化呢？記者進行了走訪調查。

記者：“我想問一下，現在客人入住還需要人臉識別嗎？”

某酒店值班經理陳立彬：“不需要。”

記者：“那手續是怎么辦理？”

某酒店值班經理陳立彬：“您出示您的身份證，或者直接說一下預訂人姓名，核實無誤的話，拿身份證直接辦理就行了，直接出房卡，也不需要人臉核對。”

記者走訪北京、浙江等地，發現自6月1日《人臉識別技術應用安全管理辦法》正式實施以來，辦理入住已經不再需要采集人臉信息。而多數酒店也已棄用人臉采集設備。

出入小區是是否還需要人臉識別是大家關注的焦點。記者走訪杭州多個居民區發現，雖然很多小區配備了人臉識別設備，但物業并沒有把人臉識別作為唯一的進門方式，還可以采用刷卡、核對信息等多種方式進門。

除了對公共場所人臉識別技術應用的約束，《人臉識別技術應用安全管理辦法》對特殊場景設定了嚴格的管理要求。規定任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛生間等公共場所中的私密空間內部安裝人臉識別設備。

一個位于上海的健身房，門口就有人臉識別設備，會員識別到信息后便能入場。在辦法實施之前的一段時間里，無論是入口還是更衣室，健身房都只有人臉識別這一種驗證身份的方式，這曾讓消費者周女士感到不便。

當事人周女士：“2024年4月份，當時也覺得健身房的人臉識別挺方便的，后來我想想不對啊，更衣室有一個攝像頭，那個攝像頭我不知道它到底拍到我哪個地方，相當于在洗澡換衣服非常隱秘的地方放了一個攝像頭，我覺得很不合理。”

然而，周女士的訴求并沒有得到健身房的回應和整改，于是她起訴健身房來維護自己的權益。

隨即，上海市閔行區檢察院對相關行業主管部門進行建議與整改，健身房在被起訴后，便減少了攝像頭的數量。

上海市閔行區檢察院公益檢察室檢察官黎洪友：“經過調查以后發現，這個健身房存在兩個方面的問題。第一個是在入口處，強制要求顧客必須使用人臉識別的方式來進入健身房；第二個方面，在地下一層的男女更衣室里面，分別設置了人臉識別設備，在這種私密的空間里設置人臉識別設備是完全沒有必要的。”

《人臉識別技術應用安全管理辦法》明確規定：應用人臉識別技術時，除了要具備充分的必要性，也要采取對個人權益影響最小的方式，并且不得將人臉識別技術作為唯一的驗證方式。像周女士這樣的公眾訴求，有了更清晰的規章依據。

而在6月1日《人臉識別技術應用安全管理辦法》正式實施后，記者發現，節目中所提到的這家健身房已進行了進一步的整改，更衣室取消了人臉識別；而健身房入口的閘機也可以通過手環通過。

專家還表示，要實現個人權益的最小影響，就要做到最小化的數據采集，而分類采集是一種有效的方式。

奇安信科技集團股份有限公司副總裁張庭：“在不同應用場景當中，應該采用不同的采集的等級。像最基礎的只采集5個點，深度一點到68個點，高階一點到106個點。從使用場景上，比如只是一個門禁的識別，不應該采集過深的數據；但是像金融、銀行的轉賬人臉識別需要更加精準識別是你本人，可能采集的點會多一些。”

采訪中記者了解到，很多人會關注人臉信息的采集是否合法，但并未關注到采集的信息數據去哪了。

《人臉識別技術應用安全管理辦法》對數據的存儲和傳輸提出了更加明確的要求，比如“人臉信息應當存儲于人臉識別設備內，不得通過互聯網對外傳輸”，體現了對網絡攻擊風險的高度警惕。

張庭：“本地化存儲天然給網絡攻擊設很大的一個屏障，因為數據不用直接存儲在云端，大多數情況下需要接觸到這臺設備，才有可能取到終端的信息，能做到物理隔離，極大降低數據泄露的風險和數據泄露的范圍。”

記者注意到，《人臉識別技術應用安全管理辦法》規定，人臉識別技術應用系統應當采取數據加密、安全審計、訪問控制、授權管理、入侵檢測和防御等措施保護人臉信息安全。

辦法實施后，記者跟隨網信、公安等部門對浙江臺州椒江區的小區、寫字樓、酒店等場所的人臉識別系統開展巡查，發現有些單位人臉數據入侵防御不到位，有不少小區和寫字樓的人臉數據存儲密碼過于簡單，甚至存在自動登錄的情況。

浙江臺州市公安局椒江分局網絡安全保衛大隊民警周海龍：“要求設置包含字母、數字、符號的8位以上復雜密碼，禁止弱口令；關閉自動登錄系統；同時每3個月更換一次密碼；安全管理者需落實“最小權限原則”，非工作人員禁止接觸存儲設備。”

專家指出，一旦批量數據泄露，會引發巨大風險。如果信息持有者將個人識別數據與個人身份等敏感個人信息關聯存儲，還可能關聯個人行為和交往規律，重構特定目標的“關系網”，進而帶來更大的安全隱患。

張庭：“因為數據在這條整個商業的產業鏈里面能夠變現。這是整個過程中最核心的點，變現途徑。這個數據A公司買了，A公司賣給B公司、C公司，每個公司都有自己的一些數據，再把這些數據合并完成之后，做商業的推廣也好，都能夠產生比較大的經濟收益。”

記者了解到，《人臉識別技術應用安全管理辦法》延續了數據分類分級管理的思路，針對存儲數量達到10萬人的個人信息處理者，設置了網信部門備案的要求。

張庭：“因為整體數據量比較大，責任和義務就更大，所以對于量越大管理越嚴，這也是對于數據做分級分類要求的一個體現。中國的算法技術和人臉識別應用場景在全球是領先的，這次辦法的出臺，讓我們進入了一個技術和質量并行的新階段，推動人臉識別技術更好地造福于社會大眾。”

人臉信息具有唯一性和終身性，一旦泄露，無法像密碼那樣更改。對此，我們應該強化人臉信息安全保護意識，對一些公共場所、手機應用提出的人臉信息采集保持謹慎態度。值得注意的是，關于人臉識別的授權，也有了更加人性化的保護原則。比如，基于個人同意處理人臉信息的，個人有權撤回同意，個人信息處理者應當提供便捷的撤回同意的方式。相信隨著法制的進步和完善，人臉識別的問題將得到有效的治理和糾偏，真正讓科技進步造福大眾。