转自：北京日报客户端

刷脸住宿、刷脸付款、刷脸验证登录……如今，人脸识别技术在便利人们生活的同时，也引发了公众对个人信息安全的担忧。为规范人脸识别技术应用，国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》，自本月起正式施行，多个亮点措施进一步保护了个人信息权益。

亮点1：只能收集“最必需”的人脸信息

新出台的《人脸识别技术应用安全管理办法》（以下简称《办法》）规定，应用人脸识别技术处理人脸信息，应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格保护措施。

“《办法》明确了人脸识别技术应用必须以保护个人信息权益为核心，将个人权益置于技术应用的核心地位，要求处理人脸信息必须具有‘特定目的和充分必要性’，并采取‘对个人权益影响最小的方式’。”北京市第四中级人民法院法官解释，同时还平衡了行业规范与技术创新，既划定禁止安装人脸识别设备的“红线”，又为技术研发、算法训练等活动留出空间，鼓励行业高质量发展。

亮点2：“人脸”不得通过网络对外传输

《办法》第九条规定，个人信息处理者应用人脸识别技术处理人脸信息，应当事前进行个人信息保护影响评估，内容包括处理目的合法性、风险防控措施有效性等。评估报告及处理情况记录需保存至少3年，目的或方式变更时需重新评估。这一机制类似于环境影响评价，通过专业分析提前预判风险，避免“先上车后补票”。

在信息存储环节，《办法》要求除法律、行政法规另有规定或者取得个人单独同意外，人脸信息应当存储于人脸识别设备内，不得通过互联网对外传输。存储人脸信息的设备应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施，确保人脸信息的存储安全。同时，存储期限不得超过实现处理目的所需的最短时间。这一规定直接回应了此前频发的“云端人脸库泄露”事件，要求企业从技术架构层面降低数据泄露风险。

在备案环节，《办法》规定个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。通过备案制度，监管部门可以及时掌握人脸识别技术应用的基本情况，加强对相关活动的监管。这一规则将大型平台、公共场所运营者纳入重点监管，防止人脸识别技术“野蛮生长”。

亮点3：采集区应设置显著提示标识

人脸识别为生活带来便利，但在应用过程中也出现了不少越界行为。《办法》第十三条规定，在公共场所安装人脸识别设备，应当为维护公共安全所必需，依法合理确定人脸信息采集区域，并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。这一规定既保障了公共安全的需要，又防止了对个人隐私的侵犯。

生活中，一些场所安装人脸识别设备时，并未向公众进行充分告知，或者提示标识不明显，导致人们在不知情的情况下被采集了人脸信息。对此，《办法》第五条要求，个人信息处理者应用人脸识别技术处理人脸信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项。具体包括个人信息处理者的名称或者姓名和联系方式；人脸信息的处理目的、处理方式，处理的人脸信息保存期限；处理人脸信息的必要性以及对个人权益的影响；个人依法行使权利的方式和程序等。

亮点4：刷脸不得作为唯一验证方式

在一些消费场景中，消费者经常遇到被强制刷脸的情况。对此，《办法》第十条明确，实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式；个人不同意通过人脸信息进行身份验证的，应当提供其他合理、便捷的方式。任何组织和个人不得以办理业务、提升服务质量等为由，误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。这一规定是为了保护消费者的选择权，防止商家利用“人脸”进行强制捆绑消费。

亮点5：违法使用“人脸”可追刑责

根据《办法》规定，公民对个人的人脸信息使用情况享有知情权、同意权与选择权。当个人遇到人脸识别场景时，有权要求相关方清晰、明确地告知个人信息处理者的名称或者姓名和联系方式、人脸信息的处理目的等内容，若对方未履行告知义务，可以拒绝采集。

法官表示，如果发现自己的合法权益受到侵害，公民应当及时采取措施，可以向相关企业或机构反映情况，要求其停止侵权行为并承担相应的责任；也可以向网信、公安等有监管职能的部门举报，寻求法律救济。同时，要保留好相关的证据，如协议、截图、录音等，以便在维权过程中提供有力的支持。

对于违反规定的行为，《办法》规定依照有关法律、行政法规的规定处理；构成犯罪的，依法追究刑事责任。这意味着，违法者可能面临民事、行政和刑事等多方面的法律责任。