白雪

　　刷脸住宿、刷脸付款、刷脸验证登录……如今，人脸识别技术在便利人们生活的同时，也引发了公众对个人信息安全的担忧：某小区强制业主刷脸进出；多地售楼处非法采集购房者人脸数据用于“杀熟”定价；“AI换脸”诈骗案件频发……这些事件暴露出滥用人脸识别技术对个人隐私权的侵蚀。为规范人脸识别技术应用，国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》，自

　　本月起正式施行，多个亮点措施进一步保护了个人信息权益。

　　亮点1

　　只能收集“最必需”的人脸信息

　　“去动物园看个动物，凭什么要刷我的脸？”2019年，杭州野生动物世界改用人脸识别方式入园，引发郭先生不满，他认为人脸信息属于高度敏感个人隐私，要求园方退卡。双方协商未果，郭先生以侵犯隐私权和服务合同违约为由将杭州野生动物世界告上法庭。2020年，杭州富阳法院判决杭州野生动物世界赔偿郭先生合同利益损失及交通费1038元，同时删除其办理指纹年卡时提交的包括照片在内的面部特征信息。此案被称为“国内人脸识别第一案”。

　　类似案例折射出技术应用中的失范乱象。新出台的《人脸识别技术应用安全管理办法》（以下简称《办法》）确保技术在合法、安全、可靠的轨道上运行，其立法目的明确指向“规范应用人脸识别技术处理人脸信息活动，保护个人信息权益”。

　　《办法》共二十条，确立了一系列人脸识别技术应用的基本原则，奠定了整个规范体系的坚实基础：其一，合法、正当、必要原则。《办法》第四条规定，应用人脸识别技术处理人脸信息，应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格保护措施。其二，最小化处理原则。个人信息处理者在收集人脸信息时，应当遵循最小化原则，只收集实现处理目的所必需的最少类型和数量的人脸信息，这可以最大程度地减少人脸信息泄露的风险，保护用户的隐私权。其三，尊重社会公德和伦理原则。人脸识别技术的应用不仅要符合法律法规的要求，还应当尊重社会公德和伦理，不得违背公序良俗，不得利用人脸信息进行歧视、欺诈等不法行为。

　　由此可见，《办法》明确了人脸识别技术应用必须以保护个人信息权益为核心，将“个人权益”置于技术应用的核心地位，要求处理人脸信息必须具有“特定目的和充分必要性”，并采取“对个人权益影响最小的方式”。同时还平衡了行业规范与技术创新，既划定禁止安装人脸识别设备的“红线”，又为技术研发、算法训练等活动留出空间，鼓励行业高质量发展。

　　亮点2

　　“人脸”不得通过网络对外传输

　　《办法》对人脸信息的处理流程进行了全方位的规范，构建起覆盖事前、事中、事后的全链条监管体系，确保人脸信息在全生命周期的安全可控。

　　其中，第九条规定，个人信息处理者应用人脸识别技术处理人脸信息，应当事前进行个人信息保护影响评估，内容包括处理目的合法性、风险防控措施有效性等。评估报告及处理情况记录需保存至少3年，目的或方式变更时需重新评估。这一机制类似于环境影响评价，通过专业分析提前预判风险，避免“先上车后补票”。

　　在信息存储环节，《办法》要求除法律、行政法规另有规定或者取得个人单独同意外，人脸信息应当存储于人脸识别设备内，不得通过互联网对外传输。存储人脸信息的设备应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施，确保人脸信息的存储安全。同时，存储期限不得超过实现处理目的所需的最短时间。这一规定直接回应了此前频发的“云端人脸库泄露”事件，要求企业从技术架构层面降低数据泄露风险。

　　在备案环节，《办法》规定个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。备案内容包括个人信息处理者的基本情况、人脸信息处理目的和处理方式、存储数量和安全保护措施、处理规则和操作规程、个人信息保护影响评估报告等。备案信息发生实质性变更的，应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的，应当在终止之日起30个工作日内办理注销备案手续，并依法处理人脸信息。通过备案制度，监管部门可以及时掌握人脸识别技术应用的基本情况，加强对相关活动的监管。这一规则将大型平台、公共场所运营者纳入重点监管，防止人脸识别技术“野蛮生长”。

　　为使全流程监管得到有效实施，《办法》还建立了完善的监督管理和协同治理机制，要求网信部门负责统筹协调人脸识别技术应用的安全管理工作，并与公安机关和其他履行个人信息保护职责的部门建立健全信息共享和通报工作机制，协同开展相关工作。各部门各司其职，形成监管合力，共同加强对人脸识别技术应用的监督管理。

　　亮点3

　　采集区应设置显著提示标识

　　一小伙“戴头盔看房”的视频曾在网络上爆火，原本以为是搞笑段子，后来发现，很多售楼处安装了人脸识别系统，不少买房人为了防止被抓拍“误伤”，去看房时都戴口罩、墨镜或面罩等。

　　人脸识别为生活带来便利，但在应用过程中也出现了不少越界行为。《办法》针对不同场景的风险程度，分类设定了技术应用规则，既保障公共安全，又防止商业滥用。

　　《办法》第十三条规定，在公共场所安装人脸识别设备，应当为维护公共安全所必需，依法合理确定人脸信息采集区域，并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。这一规定明确了公共场所安装人脸识别设备的条件和要求，既保障了公共安全的需要，又防止了对个人隐私的侵犯。比如，机场、火车站等人员密集、流动性大的场所，为了维护公共安全，可以安装人脸识别设备，但要明确告知公众并设置明显的提示标识，让人们知道自己的人脸信息正在被采集和使用。而如果在宾馆客房、公共浴室等私密空间安装人脸识别设备，显然侵犯了个人隐私，是被严格禁止的。此外，设备需合理划定采集区域，避免过度覆盖无关人员。

　　生活中，一些场所安装人脸识别设备时，并未向公众进行充分告知，或者提示标识不明显，导致人们在不知情的情况下被采集了人脸信息。对此，《办法》第五条要求，个人信息处理者应用人脸识别技术处理人脸信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项。具体包括个人信息处理者的名称或者姓名和联系方式；人脸信息的处理目的、处理方式，处理的人脸信息保存期限；处理人脸信息的必要性以及对个人权益的影响；个人依法行使权利的方式和程序等。

　　亮点4

　　刷脸不得作为唯一验证方式

　　在一些消费场景中，消费者经常遇到被强制刷脸的情况。比如，有的商家为了推广会员制度，要求消费者必须刷脸才能享受优惠；有的健身房、游泳馆等体育健身服务场所规定，未进行人脸识别无法进入场馆，也无法享受后续服务。

　　对此，《办法》第十条明确，实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式；个人不同意通过人脸信息进行身份验证的，应当提供其他合理、便捷的方式。任何组织和个人不得以办理业务、提升服务质量等为由，误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。这一规定是为了保护消费者的选择权，防止商家利用“人脸”进行强制捆绑消费。此前，最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》明确，物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式，不同意的业主或者物业使用人请求其提供其他合理验证方式的，人民法院依法予以支持。《办法》与上述司法解释的规定相衔接，进一步从行政监管层面明确了不得强制刷脸的要求。今后，消费者如果遇到被强制刷脸时，可以向相关部门投诉举报，依法维护自己的合法权益。

　　前不久，一位自幼眼球缺失的盲人在办理手机卡时被要求眨眼刷脸进行身份验证，这引发了社会对特殊群体在数字化时代面临困境的关注。此次《办法》还特别关注了残疾人、老年人等群体权益，要求处理其人脸信息时需符合无障碍环境建设规定。2023年实施的无障碍环境建设法已为保障残疾人和老年人平等、充分、便捷地参与和融入社会生活，促进社会全体人员共享经济社会发展成果提供了法治保障，但具体到人脸识别场景，基层服务机构仍缺乏操作指引。根据该《办法》规定，相关企业、类似做法应及时完成合规改造，探索建立分级认证体系，对特殊群体采用“证件核验+人工确认”等替代方案，以更加符合无障碍环境建设规定。

　　亮点5

　　违法使用“人脸”可追刑责

　　根据《办法》规定，公民对个人的人脸信息使用情况享有知情权、同意权与选择权。当个人遇到人脸识别场景时，有权要求相关方清晰、明确地告知个人信息处理者的名称或者姓名和联系方式、人脸信息的处理目的等内容，若对方未履行告知义务，可以拒绝采集。同时，公民个人有权撤回同意，个人信息处理者应当提供便捷的撤回同意的方式。比如，在相关App中应设置专门的“撤回人脸识别同意”按钮，方便个人操作。个人“撤回同意”，不影响撤回前基于个人同意已进行的信息处理活动的效力，但撤回后，信息处理者不得再基于该同意继续处理人脸信息。这赋予了公民对自己人脸信息的自主控制权，个人可以根据自身需求和对相关方的信任程度，随时决定是否允许其使用人脸信息。

　　如果在人脸识别技术应用过程中发现自己的合法权益受到侵害，公民应当及时采取措施，可以向相关企业或机构反映情况，要求其停止侵权行为并承担相应的责任；也可以向网信、公安等有监管职能的部门举报，寻求法律救济。同时，要保留好相关的证据，如协议、截图、录音等，以便在维权过程中提供有力的支持。

　　对于违反规定的行为，《办法》规定依照有关法律、行政法规的规定处理；构成犯罪的，依法追究刑事责任。这意味着，违法者可能面临民事、行政和刑事等多方面的法律责任。

　　在民事责任方面，如果个人信息处理者的行为侵害了个人信息权益，公民有权要求其承担损害赔偿等民事责任。比如，因人脸信息泄露导致个人遭受经济损失、精神损害等，可以向法院提起诉讼，要求侵权方赔偿损失、赔礼道歉等。民事赔偿可以弥补个人因信息泄露所遭受的损失，同时也能促使企业机构更加重视个人信息保护。

　　在行政责任方面，监管部门可以对违法者采取责令警告、罚款等行政处罚措施。对于情节严重的，还可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。行政处罚具有警示和惩戒作用，能够有效遏制违法违规行为的发生。

　　在刑事责任方面，如果违法者的行为构成犯罪，将被依法追究刑事责任。比如，向他人出售或者提供公民个人信息，情节严重的，可能构成侵犯公民个人信息罪，将面临有期徒刑、拘役等刑罚，并处或单处罚金；情节特别严重的，除了最高可处七年有期徒刑外，还会并处罚金。

　　人脸识别技术的本质是工具，其价值应服务于人而非凌驾于人。《办法》的施行，既是划清技术应用的“法律红线”，也为数字经济健康发展提供了制度保障。

　　（作者单位：北京市第四中级人民法院）