如何向“强制刷脸”说“不”？人脸识别立新规→

人脸识别技术近年来在多个领域得到应用，诸如刷脸支付、小区门禁、以及上下班打卡等，其应用范围几乎涵盖了我们的日常生活。然而，这种便利性背后，也潜藏着不容忽视的担忧。许多人担忧，一旦人脸信息遭到非法获取，可能会引发个人信息泄露，进而被不法分子利用进行诈骗等犯罪活动。

为确立人脸识别技术的应用规范，确保个人信息得到有效保护，我国国家互联网信息办公室与公安部于3月21日共同出台了《人脸识别技术应用安全管理办法》。该《办法》自今年6月1日起将正式生效。那么，人脸识别技术的应用究竟应如何设立规范？我们能否对“强制刷脸”现象说“不”？公共场所安装人脸识别设备又有哪些具体要求呢？

遭遇“强制刷脸”怎么办？

让我们先审视一些备受关注的“刷脸”应用场景，诸如“刷脸”入住酒店、“刷脸”进入住宅小区，你是否也遭遇过这类“强制要求刷脸”的情况？对于此类问题，《办法》中又作出了怎样的规定呢？

《人脸识别技术应用安全管理办法》对技术安全规范进行了详细阐述，强调不得将人脸识别技术作为唯一的验证手段。具体而言，若要实现相同的目标或满足相同的业务需求，若存在其他非人脸识别技术手段，则不得仅采用人脸识别技术进行验证。对于国家有特别规定的情形，则需依照其规定执行。

刘晓春，中国社会科学院大学互联网法治研究中心的负责人指出，在互联网上办理某些事务，尤其是涉及金融业务或需要高强度身份验证的情况，除了使用人脸识别技术，还应提供其他可行的、简便的替代方案。这包括设立线下服务渠道，或是探索线上其他可能的替代途径。

不得以办理业务提升服务为由

强迫或误导刷脸

《办法》进一步明确，在验证个人身份及识别特定个人时，应优先采用国家人口基础信息库和国家网络身份认证公共服务等官方渠道进行人脸识别技术的应用。此外，严禁任何机构或个人以办理业务或提高服务质量等名义，诱导、欺骗或强制他人接受人脸识别技术进行身份验证。

何波，中国信息通信研究院互联网法律研究中心的负责人，指出：在现实操作中，部分主体或企业倾向于利用人脸识别技术来诱导或强制个人接受人脸验证，这种行为在一定程度上侵犯了我们的个人权益。这一条款的重要性体现在两个方面，首先，它为处于不利地位的个人提供了清晰的法律支持；其次，它在一定程度上对个人信息处理者的行为准则提出了严格的标准。

公共场所安装人脸识别设备有何要求？

去年，位于上海的某游泳馆的更衣室引入了人脸识别技术来解锁更衣柜，一旦摄像头启动，整个更衣室的景象便尽收眼底。经过当地相关部门的核实与检查，该游泳馆因违规行为受到了相应的处罚。那么，在健身房、游泳馆、商场超市、旅游景区等公共场所安装人脸识别系统时，《人脸识别技术应用安全管理办法》中有哪些具体的规定和要求呢？

《人脸识别技术应用安全管理办法》明确指出，公共场所设置人脸识别装置，必须以保障公共安全为前提，并依法合理划定人脸信息采集范围，同时需设立醒目标识。严禁任何单位或个人在酒店客房、公共浴室、公共更衣室、公共卫生间等私密空间内安装人脸识别装置。

刘晓春，中国社会科学院大学互联网法治研究中心的负责人，强调指出：人脸识别技术的应用必须严格限制在确保公共安全这一必要范围内，必须合理界定这一范围，避免过度扩展，防止超出其必要性。此外，还应在人脸识别设备上明确标示，提醒公众“此处设有摄像头”。即便是在诸如客房、公共浴室、更衣室、卫生间等这类虽属公共场所但性质上属于私密的区域，尽管它们仍是公共区域，却明确禁止在此类空间内安装人脸识别系统。

处理人脸信息 应遵守哪些“规矩”？

人脸数据属于高度隐私的个人资料，若遭泄露，很可能对个体的生命财产安全构成严重影响，甚至可能对公共安全构成威胁。那么，在《办法》中，针对运用人脸识别技术处理人脸数据的行为，都设定了哪些具体的规定和要求呢？

《人脸识别技术应用安全管理办法》对处理人脸信息时使用人脸识别技术的具体要求做出了详细说明。使用人脸识别技术时，必须明确其目的，确保其必要性充足，同时采用对个人权益影响最小的处理方式，并严格执行相应的保护措施。

中国信息通信研究院互联网法律研究中心主任何波指出，运用人脸识别技术处理个人数据，必须确保其必要性。例如，在公共场所，出于保障公共安全的需要；在小区管理中，为达到维护小区安全的特定目标；以及在金融支付领域，为防范网络电信诈骗。正是基于这些考虑，人脸识别技术才被采用。

专家指出，新规定明确指出，在使用人脸识别技术处理人脸信息时，必须确保其必要性充足，同时必须严格遵守国家法律法规，尊重社会公共道德和伦理规范，以及遵循商业道德和职业行为准则。

《办法》明确指出，在使用人脸识别技术时，必须告知相关方，且在处理残疾人和老年人的人脸信息时，还需遵守国家关于无障碍环境建设的法律法规。此外，若是以个人同意为依据来处理人脸数据，必须确保个人是在充分了解情况的基础上，自愿且明确地表达了个别同意。对于未满十四周岁的未成年人，处理其人脸信息时，必须征得该未成年人的父母或其法定监护人的同意。

人脸信息的存储与传输有何规定？

除此之外，《办法》明确指出，除非法律法规有特别规定，或者经过个人明确授权，人脸数据需在人脸识别系统内部保存，严禁通过互联网进行传输。

何波，中国信息通信研究院互联网法律研究中心的负责人指出，该规定的宗旨十分清晰，众所周知，人脸数据具有其独特性，若在互联网上传播或提供，潜在风险将显著增加。规定要求在设备内部进行存储，实际上是为了通过物理手段防止信息被泄露给第三方。银行根据业务需要收集了我们的面部识别数据，待业务处理完毕，该数据已无保留价值，依照相关规定，银行理应将我们的面部信息予以删除。

个人信息处理者如何履行备案手续？

众多人脸数据被广泛收集与保存，此类敏感资料不仅关联公共福祉，更涉及国家安全的层面。《办法》中引入了一项制度上的新举措，即设立备案机制。为何要推行这一备案机制？信息处理主体在执行备案程序时又应遵循哪些步骤呢？

《人脸识别技术应用安全管理办法》在五个关键维度对个人信息处理者运用人脸识别技术处理人脸信息的备案流程做出了详细规定，这五个维度包括信息量度的控制、备案的时效性、备案机构的指定、备案所需材料的规范、备案内容的变更管理以及注销流程的明确。《办法》明确指出，一旦人脸识别技术处理的人脸信息存储量突破十万，个人信息处理者需在30个工作日内，向其所在地的省级或以上网信管理部门完成备案程序。

何波，中国信息通信研究院互联网法律研究中心的负责人，强调指出：这项制度创新极为关键，鉴于涉及十万人的敏感个人信息涉及数量庞大，因此，在分级分类的原则上，特别将十万以上人口的敏感个人信息划分为一类，并对其制定了备案的具体规定。通过实施此类备案措施，我们能够实时了解信息处理的动态，既保障了个人隐私安全，又能够有效保障公共安全及国家利益。