2025年6月1日,国家网信办、公安部联合公布的《人脸识别技术应用安全管理办法》(下称《办法》)正式施行,其对应用人脸识别技术处理人脸信息的基本要求和处理规则、人脸识别技术应用安全规范、监督管理职责等作出规定,引发舆论关注,外界称之为“给‘刷脸’这一身份识别方式施上‘紧箍咒’”。
近年来,以人脸识别技术为支撑的“刷脸”广泛应用于多个生活工作场景,如“刷脸消费”“刷脸购票”“刷脸开门”,等等。这一技术在应用之初就被冠以“方便”“快捷”“便利”的溢美之词。
但在人脸识别技术的大规模应用之际,其弊端也越发突出。首先就是作为个人隐私的生物信息遭遇滥用与泄露风险。人脸数据、基因、指纹、虹膜等生物信息是不可更改的,一旦泄露就是终身泄露。这意味着,如果自然人同意“以隐私换便利”的话,那么可谓是终身便利伴随终身泄露,带来终身风险。在一些应用场景中,人脸识别带来的便利性有限,个人信息泄露的风险却很大,收益与风险严重不成比例。
人脸识别技术在应用中的安全性并非万无一失。此前就有小学生用照片骗过人脸识别系统的报道。尽管此后人脸识别技术进行了升级,增加了眨眼、张嘴、扭头等动作确认,但随着AI技术的发展,一张照片也可以动起来,完成人脸识别认证。最高法近日公布的典型案例也显示,犯罪分子能够利用非法获得的动态人脸图等个人信息,来解封游戏账号。
人脸识别技术的应用已呈现出滥用的趋势。比如,2022年苏州张女士状告开发商采集人脸信息侵权案中,房产开发商未经消费者同意,擅自安装人脸识别系统,收集储存和使用消费者的人脸信息。还有一些小区物业公司将小区门禁系统改为人脸识别验证,并强制业主录入人脸信息。这都侵犯了自然人的个人信息权,加大了人脸信息泄露的风险。
有鉴于此,人脸识别技术就有必要更加“慎用”,不能让不大的安全收益担上很大的安全风险。在“最小”原则之外尚有“必要”的原则。根据“必要”原则,只有确有必要、其他方式无法完成识别目的的时候,才应该使用人脸识别技术。对此,《办法》明确规定,实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。
比如,远程对个人金融账户进行大额转账、修改密码等重大敏感操作,有必要对用户进行严格的身份验证,而用密码等其他验证方式,不足以认定是客户本人操作,那就有必要使用人脸识别。而几元几十元的小额转账,用密码验证足矣,则无需人脸识别。有些支付软件,甚至推出了小额免密支付,对小额消费,连密码都不需要输入,可以直接付钱。而在小区出入等场景,显然并不必要使用人脸识别,完全可以使用IC卡、密码等方式验证业主的身份。
《办法》也对未成年人和老年人等的人脸信息保护和使用作出了特殊的规定。《办法》规定,处理未满十四周岁未成年人人脸信息,应取得其父母或其他监护人同意;处理残疾人、老年人人脸信息的,应当符合国家有关无障碍环境建设的规定。
“刷脸”认证方式流行,让那些并不熟悉“刷脸”的老年人与未成年人无所适从,等于是人为给他们安装了“数字壁垒”,沦为移动互联时代的“数字难民”。如果公共服务与公共资源都需要“刷脸”才能办理的话,那就等于剥夺了这批“数字难民”的一部分公民权利,是不甚妥当的。
2020年,“94岁老人被抱起做人脸识别”一事曾引发公众热议,这显示了“数字难民”面对无处不在的人脸识别,颇有无所适从之感。最近,也有媒体报道了瘫痪老人因为要重置账户密码被抬到银行进行刷脸、盲人办手机卡无法通过眨眼认证等事件。在这些案例中,即使法律规定需要人证一致才能办理业务,也完全可以通过工作人员人工验证的方式,而不是要求必须通过电脑系统的“人脸识别”,这一方面是照顾老年人等特殊群体,另一方面也可以留出足够的安全冗余度。
2021年11月1日起施行的《中华人民共和国个人信息保护法》将包括人脸信息在内的生物识别信息列为“敏感个人信息”,规定“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下”,方可处理敏感个人信息,实际上确立了“最小必要”的原则。而此次出台的《办法》,则着力于解决这一技术滥用、泄露隐私与安全风险的问题。在立法与执法上有效落实,或可更好地保护大家的“这张颜面”。
