人脸识别要方便更要安全

□ 胡立彪

近日，国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》（以下简称《办法》），针对人脸识别技术的应用提出了系统化的规范指引。《办法》的出台，既是对公众关切的积极回应，也为人脸识别技术应用划定了“安全线”和“伦理框”，对保护个人信息权益，维护社会秩序和公共安全，具有十分重要的意义。

近年来，随着人工智能、图像生成、视频处理等技术飞速发展，人脸识别技术在社会生活诸多领域广泛应用。这一技术应用因具有便捷性、准确性，显著提升了工作效率和服务质量，也为一些行业实现数字化转型提供了有力支撑，但也带来不少安全隐患和伦理挑战。部分服务提供者出于不同目的强制要求用户接受刷脸服务，却不告知用户收集信息的去向。尤其在个别企业私自采集人脸信息事件发生后，公众对于这项技术应用的安全性和可靠性产生了质疑与担忧。

人脸信息作为生物识别信息，具有唯一性、终身性。与指纹、虹膜、声音等生物识别信息不同，人脸信息更易采集，且具有很强的社交性，关系到每个人的人格尊严，一旦泄露或者被非法使用，将对个人的人身和财产安全造成极大危害，甚至还可能威胁公共安全，其结果也将是永久性的、不可逆的。

2023年12月，广东省广州互联网法院宣判全国首例涉人脸识别民事公益诉讼案，具有警示意义。因利用人工智能将人脸照片生成视频，伪造人脸识别认证并非法牟利，郑某等4人在被追究刑事责任的同时，还被广州市越秀区人民检察院提起民事公益诉讼。据检方介绍，4被告自认非法处理个人信息2000余条，违法所得10余万元。但在实施侵权行为过程中，4被告利用某软件阅后即焚功能删除大量信息和交易记录，这意味着还有大量潜在受害者，其身份信息的去向、用途均无法核实。人脸信息与公民个人一一对应，一旦脱离个人控制，其流向不确定，所造成的损害后果也难以估量。

近些年，我国相继出台网络安全法、数据安全法、个人信息保护法以及《网络数据安全管理条例》等法律、行政法规，为网络数据安全及人脸识别技术的合规应用提供了制度保障和实施路径，但缺乏针对人脸识别技术应用的专门法规。《办法》作为上述法律、行政法规的配套规章，明确了人脸识别技术应用的具体要求，是对上位法中关于个人信息处理原则的具体细化落实，增强了法律法规的可操作性和执行力，对于进一步完善个人信息保护制度体系具有重要意义。

《办法》的最大亮点是明确了人脸识别技术应用的基本原则。一是合法合理原则。《办法》强调应用人脸识别技术处理人脸信息活动，应当遵守法律法规，尊重社会公德和伦理，遵守商业道德和职业道德，履行个人信息保护义务，承担社会责任，不得危害国家安全、损害公共利益、侵害个人合法权益。二是最小必要原则。《办法》强调应用人脸识别技术处理人脸信息，应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格保护措施。三是单独同意原则。《办法》规定基于个人同意处理人脸信息的，应当取得个人在充分知情的前提下自愿、明确作出的单独同意。

关于信息安全的法规条款均应兼顾方便与安全。《办法》的出台并非限制技术创新，而是为技术向善铺路。就人脸识别技术而言，更应强调安全，必须在尊重用户权益和维护公共利益基础上规范使用。《办法》明确“非唯一验证”原则，鼓励采用国家人口基础信息库、国家网络身份认证公共服务等渠道验证个人身份，既保障安全又促进公共服务资源整合；明确人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全，倒逼企业优化技术路径，从“野蛮生长”转向高质量创新。技术多具有双刃剑属性，为其戴上“法治护具”，方能真正成为造福社会的有力工具。

（观象台）