当前位置:首页 > 网络安全 返回

共同织就更牢固的人脸识别“安全网”

2025-04-11 09:39:00来源:《学习时报》2025年4月9日第3版
  从手机解锁到政务办理,从安防监控到金融支付,人脸识别这项基于生物特征的身份认证技术以其便捷性、精准性展现出巨大的应用潜力。然而,当“刷脸”成为生活常态,这项技术带来的隐私焦虑也更为凸显——强制采集、数据滥用、算法歧视等问题引发了人们对人脸识别技术安全性的担忧。如何在享受技术红利的同时筑牢隐私保护的防线,已成为数字社会治理的重要课题。近日,国家互联网信息办公室、公安部联合发布《人脸识别技术应用安全管理办法》(以下简称《办法》),自2025年6月1日起施行。《办法》对网络安全法、数据安全法等上位法进行了细化,从技术研发、应用场景、数据保护等多个维度回应了人民群众关心的人脸识别技术滥用等问题。将这些原则性规定转化为具体实践,还需要相关部门和行业协同发力,共同织就一张更加牢固、精密的人脸识别“安全网”。
 
  生物特征数据的特殊性决定了治理的复杂性。人脸识别数据具有主体唯一性、易采集性、不可更改性等特征,当前,大量领域将其与个人身份、金融、行为、位置、偏好等信息关联,使其具备了一定的个人身份和财产属性,一旦泄露或滥用将造成难以挽回的损害。例如,在现实生活中,部分场景强制要求人脸识别作为唯一验证方式,某些小区门禁、商场会员系统存在“不授权就不服务”的捆绑现象,不仅涉嫌过度收集人脸识别数据,还可能因保护水平有限而产生人脸识别数据泄露的风险。又如,有的商家通过捕捉、抓拍等方式收集客户或者潜在客户的人脸信息用于商业活动,但在收集、使用人脸信息时并没有依法征得消费者同意,有的甚至将收集的信息用于非法目的,严重侵害消费者的合法权益。
 
  建立精准化、差异化的治理体系是应对人脸识别风险的关键。一是落实好“非唯一验证”原则。《办法》第十条明确规定,“实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式”。这一规定明确了人脸识别作为验证方式的非唯一性,兼顾人脸识别技术所带来的效率与隐私考量,对相关主体提出了更高的服务要求,也是让公众个人隐私得到真正尊重的应有之举。为了落实这一原则,相关主体应当在产品设计阶段就嵌入多元化认证机制。例如,金融机构可以开发“刷脸+短信验证+人工复核”的多层次认证系统;社区物业可以保留传统门禁卡与数字密码并行的出入方式,既确保安全性,又尊重居民的选择权。特别是,应建立便捷的申诉渠道,当人们遇到强制刷脸等情况时,能够通过投诉举报等途径有效维护自身权益。二是强化特殊群体保护。未成年人由于其身心发育特点,对人脸识别的风险缺乏必要的认知和警惕性,甚至有的由于好奇心驱使而轻易向平台提供其人脸信息,这些信息如被擅自分析、泄露或被盗用,可能对其成长产生不利影响,甚至导致其成为一些犯罪行为(如绑架拐骗)的受害对象。对未成年人的个人信息特别是敏感信息给予特别保护,是各国的普遍做法。《办法》不仅规定处理不满十四周岁未成年人人脸信息时,应当取得其父母或其他监护人的同意,还要求个人信息处理者在存储、使用、转移、披露等方面制定专门的处理规则,以充分保护未成年人个人信息安全,为未成年人营造一个健康成长的环境。此外,对于残疾人、老年人等而言,可能会遇到人脸识别障碍,导致他们不仅享受不了刷脸的便利,还可能在办理银行、人社、医保、交通出行等相关事务时受阻。《办法》规定,对于处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定。这就要求相关主体在系统设计中应充分考虑无障碍需求,不能将无法刷脸的特殊人群关在“门外”,确保技术应用的包容性。三是严格限制私密空间应用,划清人脸识别的边界。在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。同时,除法律明文规定的情况外,对更衣室、卫生间等明确属于私密空间的区域,应当全面禁止安装人脸识别设备。
 
  全流程风险防控是强化人脸识别安全性的重要保障。我国个人信息保护法第二十八条第二款规定,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”。人脸识别信息作为敏感个人信息,其应用也应当遵循特定目的、充分必要、严格保护措施的要求,建立起全周期的治理方式。一方面,保护关口应当进一步前移。个人信息处理者在应用人脸识别技术处理人脸信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理人脸信息的必要性以及对个人权益的影响,当获取个人在充分知情前提下所作出的自愿、明确、单独同意后,才能实施人脸信息的抓取与处理。《办法》引入了备案机制,规定人脸识别数据的个人信息处理者在“人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续”,要求提供基本情况、处理目的、处理方式以及操作规程等内容,既给企业划定了合规红线,也为监管部门提供了治理抓手。下一步,应当进一步细化备案标准和程序,确保备案工作的顺利开展。另一方面,定期审计与及时销毁同样重要。我国某些地方的企业已经引入了“数据保质期”概念,对超过使用期限的人脸数据自动触发删除程序,而对于必要保留的数据,则每季度进行安全评估,及时发现并修补漏洞。这种动态化管理模式不仅有助于保护个人隐私安全,还能有效防止数据泄露风险的发生。这样的探索值得借鉴和推广,以提升行业的数据安全管理水平。
 
  平衡技术发展与安全保障是推进人脸识别规范化的基本原则。《办法》第二条明确其调整对象为我国境内“应用人脸识别技术处理人脸信息的活动”,同时规定“在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用本办法的规定”。这一对技术研发活动的豁免条款,体现了立法者对创新规律的尊重,为人脸识别技术的研发预留了空间,有利于相关产业的发展。在落实《办法》的过程中,既要严格执行相关的禁止性规定,守住安全底线,也要为技术创新预留合理空间,特别是在医疗健康、公共安全等民生领域,应积极推动人脸识别技术的应用走上更加规范、健康的发展轨道,共同营造一个安全、可信、可控的社会环境。

版权所有:中共湖北省委网络安全和信息化委员会办公室湖北省互联网信息办公室

邮编:430071地址:湖北省武汉市武昌区水果湖省委大院技术支持:荆楚网

鄂ICP备2021007236-1

地理位置 | 网站地图

首页
当前位置:网络安全

共同织就更牢固的人脸识别“安全网”

2025-04-11来源:《学习时报》2025年4月9日第3版
  从手机解锁到政务办理,从安防监控到金融支付,人脸识别这项基于生物特征的身份认证技术以其便捷性、精准性展现出巨大的应用潜力。然而,当“刷脸”成为生活常态,这项技术带来的隐私焦虑也更为凸显——强制采集、数据滥用、算法歧视等问题引发了人们对人脸识别技术安全性的担忧。如何在享受技术红利的同时筑牢隐私保护的防线,已成为数字社会治理的重要课题。近日,国家互联网信息办公室、公安部联合发布《人脸识别技术应用安全管理办法》(以下简称《办法》),自2025年6月1日起施行。《办法》对网络安全法、数据安全法等上位法进行了细化,从技术研发、应用场景、数据保护等多个维度回应了人民群众关心的人脸识别技术滥用等问题。将这些原则性规定转化为具体实践,还需要相关部门和行业协同发力,共同织就一张更加牢固、精密的人脸识别“安全网”。
 
  生物特征数据的特殊性决定了治理的复杂性。人脸识别数据具有主体唯一性、易采集性、不可更改性等特征,当前,大量领域将其与个人身份、金融、行为、位置、偏好等信息关联,使其具备了一定的个人身份和财产属性,一旦泄露或滥用将造成难以挽回的损害。例如,在现实生活中,部分场景强制要求人脸识别作为唯一验证方式,某些小区门禁、商场会员系统存在“不授权就不服务”的捆绑现象,不仅涉嫌过度收集人脸识别数据,还可能因保护水平有限而产生人脸识别数据泄露的风险。又如,有的商家通过捕捉、抓拍等方式收集客户或者潜在客户的人脸信息用于商业活动,但在收集、使用人脸信息时并没有依法征得消费者同意,有的甚至将收集的信息用于非法目的,严重侵害消费者的合法权益。
 
  建立精准化、差异化的治理体系是应对人脸识别风险的关键。一是落实好“非唯一验证”原则。《办法》第十条明确规定,“实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式”。这一规定明确了人脸识别作为验证方式的非唯一性,兼顾人脸识别技术所带来的效率与隐私考量,对相关主体提出了更高的服务要求,也是让公众个人隐私得到真正尊重的应有之举。为了落实这一原则,相关主体应当在产品设计阶段就嵌入多元化认证机制。例如,金融机构可以开发“刷脸+短信验证+人工复核”的多层次认证系统;社区物业可以保留传统门禁卡与数字密码并行的出入方式,既确保安全性,又尊重居民的选择权。特别是,应建立便捷的申诉渠道,当人们遇到强制刷脸等情况时,能够通过投诉举报等途径有效维护自身权益。二是强化特殊群体保护。未成年人由于其身心发育特点,对人脸识别的风险缺乏必要的认知和警惕性,甚至有的由于好奇心驱使而轻易向平台提供其人脸信息,这些信息如被擅自分析、泄露或被盗用,可能对其成长产生不利影响,甚至导致其成为一些犯罪行为(如绑架拐骗)的受害对象。对未成年人的个人信息特别是敏感信息给予特别保护,是各国的普遍做法。《办法》不仅规定处理不满十四周岁未成年人人脸信息时,应当取得其父母或其他监护人的同意,还要求个人信息处理者在存储、使用、转移、披露等方面制定专门的处理规则,以充分保护未成年人个人信息安全,为未成年人营造一个健康成长的环境。此外,对于残疾人、老年人等而言,可能会遇到人脸识别障碍,导致他们不仅享受不了刷脸的便利,还可能在办理银行、人社、医保、交通出行等相关事务时受阻。《办法》规定,对于处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定。这就要求相关主体在系统设计中应充分考虑无障碍需求,不能将无法刷脸的特殊人群关在“门外”,确保技术应用的包容性。三是严格限制私密空间应用,划清人脸识别的边界。在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。同时,除法律明文规定的情况外,对更衣室、卫生间等明确属于私密空间的区域,应当全面禁止安装人脸识别设备。
 
  全流程风险防控是强化人脸识别安全性的重要保障。我国个人信息保护法第二十八条第二款规定,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”。人脸识别信息作为敏感个人信息,其应用也应当遵循特定目的、充分必要、严格保护措施的要求,建立起全周期的治理方式。一方面,保护关口应当进一步前移。个人信息处理者在应用人脸识别技术处理人脸信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理人脸信息的必要性以及对个人权益的影响,当获取个人在充分知情前提下所作出的自愿、明确、单独同意后,才能实施人脸信息的抓取与处理。《办法》引入了备案机制,规定人脸识别数据的个人信息处理者在“人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续”,要求提供基本情况、处理目的、处理方式以及操作规程等内容,既给企业划定了合规红线,也为监管部门提供了治理抓手。下一步,应当进一步细化备案标准和程序,确保备案工作的顺利开展。另一方面,定期审计与及时销毁同样重要。我国某些地方的企业已经引入了“数据保质期”概念,对超过使用期限的人脸数据自动触发删除程序,而对于必要保留的数据,则每季度进行安全评估,及时发现并修补漏洞。这种动态化管理模式不仅有助于保护个人隐私安全,还能有效防止数据泄露风险的发生。这样的探索值得借鉴和推广,以提升行业的数据安全管理水平。
 
  平衡技术发展与安全保障是推进人脸识别规范化的基本原则。《办法》第二条明确其调整对象为我国境内“应用人脸识别技术处理人脸信息的活动”,同时规定“在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用本办法的规定”。这一对技术研发活动的豁免条款,体现了立法者对创新规律的尊重,为人脸识别技术的研发预留了空间,有利于相关产业的发展。在落实《办法》的过程中,既要严格执行相关的禁止性规定,守住安全底线,也要为技术创新预留合理空间,特别是在医疗健康、公共安全等民生领域,应积极推动人脸识别技术的应用走上更加规范、健康的发展轨道,共同营造一个安全、可信、可控的社会环境。

版权所有:中共湖北省委网络安全和信息化委员会办公室

湖北省互联网信息办公室

地址:湖北省武汉市武昌区水果湖省委大院

邮编:430071

鄂ICP备2021007236-1

技术支持:荆楚网

PC版