人臉信息與人體的其他生物特征，如指紋、虹膜等與生俱來，具有唯一性。這些關(guān)鍵信息一旦被泄露或被不法利用，容易造成較大風(fēng)險和危害。

　　近日，國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合公布的《人臉識別技術(shù)應(yīng)用安全管理辦法》正式實施，這是我國首部專門針對人臉識別技術(shù)應(yīng)用的綜合性規(guī)章。那么，人臉識別技術(shù)的適用邊界在哪里？什么地方能用人臉識別技術(shù)，什么地方不能用？管理辦法實施后，現(xiàn)在發(fā)生了哪些變化呢？

　　刷臉解鎖、刷臉支付、刷臉進(jìn)小區(qū)……當(dāng)前，人臉識別技術(shù)已經(jīng)廣泛應(yīng)用于各種生活場景。然而，新技術(shù)給人們帶來生活便利的同時，一些“強(qiáng)制刷臉”“無感抓拍”等技術(shù)的濫用也日益凸顯，人臉識別的適用邊界、采集范圍、數(shù)據(jù)保護(hù)等，都是大家關(guān)注的焦點。

　　記者：進(jìn)出門要采集人臉，最擔(dān)心的點在哪兒？

　　市民 江昊峰：擔(dān)心隱私、安全、信息泄露，辦人臉識別涉及個人的姓名、聯(lián)系方式、人臉，其他的一些資料很容易推出來。

　　市民 徐愛娜：擔(dān)心個人信息被不良使用，包括手機(jī)刷臉支付也是存在風(fēng)險的。

　　其實，大眾的擔(dān)憂并不無道理，人臉信息的泄露容易引發(fā)問題。

　　專家介紹，有些驗證場景下，一張照片就可以實現(xiàn)人臉識別應(yīng)用中的人臉驗證。常規(guī)的眨眼、張嘴、點頭、搖頭等動作都可以通過AI算法驅(qū)動完成。

　　中國信通院人工智能所安全部高級業(yè)務(wù)主管 陳文弢：我們上傳一張照片，可以用背后的算法來驅(qū)動照片做一些點頭、搖頭、眨眼的指令，從而繞過人臉識別的應(yīng)用系統(tǒng)。

　　可見，哪怕一張含有人臉信息的照片，隱私的保護(hù)也至關(guān)重要。

　　為了規(guī)范人臉識別技術(shù)的應(yīng)用，今年6月1日，國家網(wǎng)信辦、公安部聯(lián)合公布的《人臉識別技術(shù)應(yīng)用安全管理辦法》正式實施，這是我國首部專門針對人臉識別技術(shù)應(yīng)用的綜合性規(guī)章。與《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》形成配套，進(jìn)一步厘清了人臉識別的適用邊界，規(guī)范了操作流程，強(qiáng)化了信息保護(hù)。

　　中國社會科學(xué)院法學(xué)研究所網(wǎng)絡(luò)與信息法研究室副主任 周輝：針對人臉技術(shù)在經(jīng)濟(jì)社會生活中已經(jīng)被廣泛應(yīng)用的糾偏，這樣一個規(guī)定的出臺就告訴大家，對人臉信息的收集還是要注意相應(yīng)風(fēng)險的，需要更好地保護(hù)自己的人臉信息在內(nèi)的權(quán)益。

　　《人臉識別技術(shù)應(yīng)用安全管理辦法》規(guī)定，在公共場所安裝人臉識別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必須，依法合理確定人臉信息采集區(qū)域，并設(shè)置顯著提示標(biāo)識。

　　中國信息通信研究院互聯(lián)網(wǎng)法律研究中心主任 何波：首先，需要具備安裝的必要性，而且這個必要性必須是為了維護(hù)公共安全所必需的，比較典型的場景是火車站的安檢；第二個要求是必須依法劃定采集范圍，不能超范圍去采集；第三，要設(shè)置明顯的標(biāo)識，比如在人臉識別的采集區(qū)域里面，需要有標(biāo)語、標(biāo)牌等，這樣確保消費者的知情權(quán)，讓大家知道我是處在被采集人臉信息的狀態(tài)下的。

　　像酒店大堂正是《人臉識別技術(shù)應(yīng)用安全管理辦法》中所涉及的一類公共場所，也曾是人臉識別技術(shù)應(yīng)用比較普遍的地方。此前一段時間，入住酒店除了出示證件，還需要采集人臉信息，這一問題一直飽受公眾詬病?！度四樧R別技術(shù)應(yīng)用安全管理辦法》施行一個月來，有什么變化呢？記者進(jìn)行了走訪調(diào)查。

　　記者走訪北京、浙江等地，發(fā)現(xiàn)自6月1日《人臉識別技術(shù)應(yīng)用安全管理辦法》正式實施以來，辦理入住已經(jīng)不再需要采集人臉信息。而多數(shù)酒店也已棄用人臉識別采集設(shè)備。

　　出入小區(qū)是否還需要人臉識別是大家關(guān)注的焦點，記者走訪杭州多個居民區(qū)發(fā)現(xiàn)，雖然很多小區(qū)配備了人臉識別設(shè)備，但物業(yè)并沒有把人臉識別作為唯一的進(jìn)門方式，還可以采用刷卡、核對信息等多種方式進(jìn)門。

　　除了對公共場所人臉識別技術(shù)應(yīng)用的約束，《人臉識別技術(shù)應(yīng)用安全管理辦法》對特殊場景設(shè)定了嚴(yán)格的管理要求。規(guī)定任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛(wèi)生間等公共場所中的私密空間內(nèi)部安裝人臉識別設(shè)備。

　　一個位于上海的健身房，門口就有人臉識別設(shè)備，會員識別到信息后便能入場。在辦法實施之前的一段時間里，無論是入口還是更衣室，健身房都只有人臉識別這一種驗證身份的方式，這曾讓消費者周女士感到不便。

　　當(dāng)事人 周女士：2024年4月，當(dāng)時也覺得健身房的人臉識別挺方便的，后來我想想不對啊，更衣室有一個攝像頭，那個攝像頭我不知道它到底拍到我哪個地方，相當(dāng)于在洗澡換衣服這種非常隱秘的地方放了一個攝像頭，我覺得很不合理。

　　然而，周女士的訴求并沒有得到健身房的回應(yīng)和整改，于是她起訴健身房來維護(hù)自己的權(quán)益。

　　隨即，上海市閔行區(qū)檢察院對相關(guān)行業(yè)主管部門進(jìn)行建議與整改，健身房在被起訴后，便減少了攝像頭的數(shù)量。

　　上海市閔行區(qū)檢察院公益檢察室檢察官 黎洪友：經(jīng)過調(diào)查以后發(fā)現(xiàn)，這個健身房存在兩個方面的問題。第一個是在入口處，強(qiáng)制要求顧客必須使用人臉識別的方式來進(jìn)入健身房；第二個方面，在地下一層的男女更衣室里面，分別設(shè)置了人臉識別設(shè)備，我們認(rèn)為在這種私密的空間里設(shè)置人臉識別設(shè)備是完全沒有必要的。

　　《人臉識別技術(shù)應(yīng)用安全管理辦法》明確規(guī)定，應(yīng)用人臉識別技術(shù)時，除了要具有充分的必要性，也要采取對個人權(quán)益影響最小的方式，并且不得將人臉識別技術(shù)作為唯一的驗證方式，像周女士這樣的公眾訴求，有了更清晰的規(guī)章依據(jù)。

　　而在6月1日《人臉識別技術(shù)應(yīng)用安全管理辦法》正式實施后，記者發(fā)現(xiàn)，這家健身房已進(jìn)行了進(jìn)一步整改，更衣室取消了人臉識別；而健身房入口的閘機(jī)也可以使用手環(huán)通過。

　　專家還表示，要實現(xiàn)個人權(quán)益的最小影響，就要做到最小化的數(shù)據(jù)采集，而分類采集是一種有效的方式。

　　奇安信科技集團(tuán)股份有限公司副總裁張庭：在不同應(yīng)用場景當(dāng)中，應(yīng)該采用不同的采集等級。像最基礎(chǔ)的可能只采集5個點，深度一點到68個點，高階一點到106個點。從使用場景上，比如只是一個門禁的識別，不應(yīng)該采集過深的數(shù)據(jù)；但是像銀行轉(zhuǎn)賬的人臉識別，需要更加精準(zhǔn)識別是你本人，可能采集的點會多一些。

　　采訪中記者了解到，很多人會關(guān)注人臉信息的采集是否合法，但并未關(guān)注到采集的信息數(shù)據(jù)去哪了。

　　《人臉識別技術(shù)應(yīng)用安全管理辦法》對數(shù)據(jù)的存儲和傳輸提出了更加明確的要求，比如：“人臉信息應(yīng)當(dāng)存儲于人臉識別設(shè)備內(nèi)，不得通過互聯(lián)網(wǎng)對外傳輸”，體現(xiàn)了對網(wǎng)絡(luò)攻擊風(fēng)險的高度警惕。

　　奇安信科技集團(tuán)股份有限公司副總裁張庭：本地化存儲天然給網(wǎng)絡(luò)攻擊設(shè)了很大的一個屏障，因為數(shù)據(jù)不用直接存儲在云端，大多數(shù)情況下需要接觸到這臺設(shè)備，才有可能拿取到中間的信息，能做到物理隔離，極大降低數(shù)據(jù)泄露的風(fēng)險和數(shù)據(jù)泄露的范圍。

　　記者注意到，《人臉識別技術(shù)應(yīng)用安全管理辦法》規(guī)定，人臉識別技術(shù)應(yīng)用系統(tǒng)應(yīng)當(dāng)采取數(shù)據(jù)加密、安全審計、訪問控制、授權(quán)管理、入侵檢測和防御等措施保護(hù)人臉信息安全。

　　辦法實施后，記者跟隨網(wǎng)信、公安等部門對浙江臺州椒江區(qū)的小區(qū)、寫字樓、酒店等場所的人臉識別系統(tǒng)開展巡查，發(fā)現(xiàn)有些單位人臉數(shù)據(jù)入侵防御不到位，有不少小區(qū)和寫字樓的人臉數(shù)據(jù)存儲密碼過于簡單，甚至存在自動登錄的情況。

　　浙江臺州市公安局椒江分局網(wǎng)絡(luò)安全保衛(wèi)大隊民警 周海龍：我們要求設(shè)置包含字母、數(shù)字、符號的8位以上復(fù)雜密碼，禁止弱口令；關(guān)閉自動登錄系統(tǒng)；同時每3個月更換一次密碼；安全管理者應(yīng)遵循“最小權(quán)限原則”，非工作人員禁止接觸存儲設(shè)備。

　　專家指出，一旦批量數(shù)據(jù)泄露，會引發(fā)巨大風(fēng)險。如果信息持有者將人臉識別數(shù)據(jù)與個人身份等敏感個人信息關(guān)聯(lián)存儲，還可能關(guān)聯(lián)個人行為和交往規(guī)律，重構(gòu)特定目標(biāo)的“關(guān)系網(wǎng)”，進(jìn)而帶來更大的安全隱患。

　　奇安信科技集團(tuán)股份有限公司副總裁張庭：因為數(shù)據(jù)在這條商業(yè)的產(chǎn)業(yè)鏈里面能夠變現(xiàn)，這是整個過程中最核心的點。在變現(xiàn)途徑方面，這個數(shù)據(jù)A公司買了，A公司可能賣給B公司、C公司，每個公司都有自己的一些數(shù)據(jù)，再把這些數(shù)據(jù)合并之后，做商業(yè)的推廣也好，都能夠產(chǎn)生比較大的經(jīng)濟(jì)收益。

　　記者了解到，《人臉識別技術(shù)應(yīng)用安全管理辦法》延續(xù)了數(shù)據(jù)分類分級管理的思路，針對存儲數(shù)量達(dá)到10萬人的個人信息處理者，設(shè)置了網(wǎng)信部門備案的要求。

　　奇安信科技集團(tuán)股份有限公司副總裁張庭：因為整體數(shù)據(jù)量比較大，責(zé)任和義務(wù)就更大，所以量越大管理可能越嚴(yán)，這也是對于數(shù)據(jù)做分級分類要求的一個體現(xiàn)。中國的算法技術(shù)和人臉識別應(yīng)用場景是全球領(lǐng)先的，這次辦法的出臺，我們進(jìn)入了一個技術(shù)和治理并行的新階段，推動人臉識別技術(shù)更好造福社會大眾。

　　人臉信息具有唯一性和終身性，一旦泄露，無法像密碼那樣更改。對此，我們應(yīng)強(qiáng)化人臉信息安全保護(hù)意識，對一些公共場所、手機(jī)應(yīng)用提出的人臉信息采集保持謹(jǐn)慎態(tài)度。

　　值得注意的是，關(guān)于人臉識別的授權(quán)，也有了更加人性化的保護(hù)原則。比如，基于個人同意處理人臉信息的，個人有權(quán)撤回同意，個人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。相信隨著法制的進(jìn)步和完善，人臉識別的問題將得到有效的治理和糾偏，真正讓科技進(jìn)步造福大眾。