人脸识别技术近期在各行各业得到广泛应用，诸如刷脸支付、小区门禁、上下班打卡等场景，几乎渗透到我们的日常生活。然而，这种便利性背后，潜藏着不容小觑的担忧。许多人担忧，一旦面部信息被非法获取，个人隐私可能会遭到泄露，进而被不法分子利用进行诈骗等非法活动。

为确保人脸识别技术的合理应用，维护我们个人信息的安全，我国国家互联网信息办公室与公安部于3月21日共同出台了《人脸识别技术应用安全管理办法》，该法规将从今年的6月1日起正式生效。那么，如何对人脸识别技术的应用设立明确的规范？我们是否能够对强制性的“刷脸”行为说“不”？在公共场所部署人脸识别系统时，又有哪些具体的要求需要遵守呢？

遭遇“强制刷脸”怎么办？

我们首先关注一些备受关注的“刷脸”应用场景，诸如“刷脸”入住酒店、“刷脸”进入住宅小区，你是否也遭遇过此类“强制要求刷脸”的困扰？对于此类现象，《办法》又是如何作出规定的呢？

《人脸识别技术应用安全管理办法》对技术应用的规范进行了详细阐述，强调不能将人脸识别技术作为唯一的验证手段。具体来说，若要实现相同的目标或满足相同的业务需求，若存在其他非人脸识别的技术途径，则不得仅采用人脸识别技术进行验证。若国家有其他特殊规定，则应遵循其规定。

刘晓春，中国社会科学院大学互联网法治研究中心的负责人指出，在线上办理涉及金融业务或需要严格身份验证的手续时，除了使用人脸识别技术，还应提供其他便捷可行的替代方案。例如，可以设立线下服务渠道，亦或是探索线上其他替代途径。

不得以办理业务提升服务为由

强迫或误导刷脸

此外，《办法》中还明确指出，在使用人脸识别技术来确认个人身份或识别特定人员时，应优先考虑利用国家人口基本信息库和国家网络身份认证公共服务等资源。同时，也严格禁止任何机构或个人以办理业务、提高服务质量等借口，诱导、欺骗或强制他人接受人脸识别技术以验证其身份。

何波，中国信息通信研究院互联网法律研究中心的负责人，指出：在现实操作中，部分机构或企业倾向于利用人脸识别技术，通过诱导或强制手段，促使个人接受人脸验证，但这种做法在一定程度上损害了我们的个人权益。这一规定既为处于不利地位的个人提供了清晰的法律支撑，又对个人信息处理者的行为准则设定了严格的规范。

公共场所安装人脸识别设备有何要求？

去年，位于上海的某游泳馆在更衣室引入了人脸识别技术以开启储物柜，一旦摄像头启动，整个更衣室的景象便尽收眼底。经过当地相关部门的核实和检查，该游泳馆因违规行为受到了相应的处罚。那么，在健身房、游泳馆、商场超市、旅游景区等公共场合安装人脸识别系统时，《人脸识别技术应用安全管理办法》中又有哪些具体的规定和要求呢？

《人脸识别技术应用安全管理办法》明确指出，公共场所若需安装人脸识别设备，其目的必须是为了保障公共安全，且需依照法律规定，合理界定人脸信息采集范围，同时必须设置醒目的提示标志。此外，任何组织或个人均不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等私密空间内安装此类设备。

刘晓春，中国社会科学院大学互联网法治研究中心的负责人指出，人脸识别技术应当被严格限制在确保公共安全所必需的范围内，首先必须明确这一界限，避免其无限制地扩大，不能超出实际需要的范畴。此外，还应在使用人脸识别的设备上设置明显的标志，标明“此处安装有摄像头”。即便是在诸如客房、公共浴室、更衣室、卫生间等这类虽然位于公共场所但本质上是私密的空间，尽管它们属于公共区域，但依然被明令禁止在此类空间内安装人脸识别系统。

处理人脸信息 应遵守哪些“规矩”？

人脸信息属于个人隐私中的敏感部分，一旦遭到泄露，不仅可能对个人的生命及财产安全构成严重影响，还可能对公共安全构成潜在威胁。那么，在《办法》中，针对运用人脸识别技术处理人脸信息的行为，都提出了哪些细致的规定和要求呢？

《人脸识别技术应用安全管理办法》明确了处理人脸信息时人脸识别技术应用的各项具体要求。使用人脸识别技术需有明确的目的和充分的理由，同时需以对个人权益影响最小的方式进行，并严格执行相应的保护措施。

中国信息通信研究院互联网法律研究中心主任何波指出，使用人脸识别技术处理个人信息的前提是必须具备充分的合理性。例如，在公共场所，这一技术的应用是为了保障公共安全；在小区管理中，则是为了实现小区安全的特定目标；而在金融支付领域，则是为了防范网络电信诈骗。正是基于这样的考虑，人脸识别技术才被采纳。

专家指出，新规定明确指出，在使用人脸识别技术处理人脸信息时，必须确保其必要性充足，同时必须遵循国家法律法规，恪守社会公德和伦理规范，并严守商业道德与职业操守。

《办法》明确指出，在使用人脸识别技术时，必须履行告知责任；对于残疾人和老年人的人脸信息处理，还需遵守国家关于无障碍环境建设的相应规定。若个人信息处理基于个人同意，则必须确保个人在充分了解情况的基础上，自愿且明确地表达其单独的同意意愿。而对于未满十四周岁的未成年人人脸信息处理，必须征得该未成年人的父母或其他监护人的同意。

人脸信息的存储与传输有何规定？

除此之外，《办法》明确指出，除非法律法规有特别规定，或者经过个人明确授权，人脸数据需保存在人脸识别系统内部，严禁通过互联网进行传输。

何波，中国信息通信研究院互联网法律研究中心的负责人，指出这项规定的宗旨十分清晰。众所周知，人脸数据具有其独特性，若在互联网上传播或提供，潜在风险将显著增加。规定要求在设备内部进行存储，实际上是为了通过物理手段防止信息被泄露给第三方。银行为了满足业务需求，收集了我们的面部资料。一旦业务处理完毕，这些资料便失去了存储的必要。依照相关规定，银行理应将我们的面部信息予以删除。

个人信息处理者如何履行备案手续？

众多人脸数据被广泛收集与保存，此类隐私信息不仅关乎公众利益，更涉及国家安全的层面。针对这一情况，《办法》提出了一项制度上的革新，即引入了备案机制。那么，设立备案制度的原因是什么？信息处理者在进行备案时又需要遵循哪些程序呢？

《人脸识别技术应用安全管理办法》对个人信息处理者在使用人脸识别技术处理人脸信息时，从信息量、备案期限、备案机构、备案资料、备案修改以及注销等五个维度，设定了详尽的操作规范。《办法》明确指出，一旦使用人脸识别技术处理的人脸信息存储量超过十万，个人信息处理者必须在接下来的三十个工作日内，向其所在地的省级或以上网信管理部门提交备案手续。

中国信息通信研究院互联网法律研究中心的主任何波指出，这无疑是一项至关重要的制度革新。考虑到涉及10万人的敏感个人信息涉及大量数据，因此，在分级分类的原则上，将超过10万人的敏感个人信息单独划分，并作为一类特殊信息，对其备案提出了具体要求。借助这种备案方式，我们能够实时了解信息处理的动态，既保障了个人隐私安全，又能够高效地保障公共安全及国家利益。