人脸识别信息直接承载着个体的社会属性、自然属性以及法律属性，兼具肖像权、人格权、信息权利等特征，属于高等级保护的个人敏感信息范畴

《征求意见稿》的发布，能够在人脸识别技术应用安全领域提供细化指导

近日，为规范人脸识别技术应用，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（以下简称《征求意见稿》）。

《征求意见稿》共25条内容，对人脸识别技术的采集处理、使用条件、备案要求、数据保护，以及人脸识别技术的应用场景作出明确规定。

此次《征求意见稿》作为人脸识别技术应用的专门立法，较为全面地回应了人脸识别技术应用中的典型争议场景，为进一步促进人脸识别技术的规范发展指明方向。

为人脸识别划定红线

该《征求意见稿》针对当前突出的人脸识别技术与人脸数据安全风险防范的矛盾进行针对性规制，有多项具体细化的措施和亮点，其中包括：应取得个人同意、确定不同场景合规要求、最小存储原则等多个方面。

《征求意见稿》第五条明确，使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外；第九条提出，个人自愿选择使用人脸识别技术验证个人身份的，应当确保个人充分知情并在个人主动参与的情况下进行，验证过程中应当以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的。

“目前，普通群众在移动支付、视频监控、治安管理、门禁、人员考勤等领域的人脸识别相对容易察觉；通过人脸识别技术获取的公民人脸信息与对应的身份、财产信息、消费偏好、行踪轨迹等信息结合时，个人隐私及财产安全极易遭受风险，是相对较难察觉的。”上海汉盛律师事务所高级合伙人李旻告诉《法治周末》记者。

《征求意见稿》还列举了多种场景，对人脸识别技术的应用场景作出具体规定。

第六条规定，旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备；第九条规定，宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所，除法律、行政法规规定应当使用人脸识别技术验证个人身份的，不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。

此外，《征求意见稿》在第十四条专门列出了物业服务的场景：物业服务企业不得将验证人脸信息作为出入物业管理区域的唯一方式，个人不同意使用人脸信息进行身份验证的，物业服务企业应当提供其他合理、便捷的身份验证方式。

北京市京师律师事务所合伙人律师卢鼎亮对《法治周末》记者表示，目前在法律法规层面，监管人脸识别信息的法律有《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》，但是上述法律没有以专门立法条文对人脸识别信息予以规制，而是将人脸识别信息在个人信息以及生物识别信息范畴内予以规制。最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，为法院审理使用人脸识别技术处理个人信息相关民事案件提供依据；在标准文件层面，GB/T 41819-2022《信息安全技术人脸识别数据安全要求》针对人脸数据滥采、泄露或丢失、过度存储和使用等突出问题提出具体细化的安全要求。

李旻补充，目前个人隐私及数据安全保护还存在如数据泄露风险；未经用户授权，擅自超出规定范围使用其人脸信息；盗用人脸信息，冒用他人身份，侵犯他人财产或人身（名誉）等权益几个方面的短板。

人脸识别乱象频出

随着我国数字化发展的快速深入，人脸识别技术不断成熟并广泛应用到民众工作生活中，如手机解锁、考勤打卡、小区门禁、火车检票、酒店入住等场景，在便捷性提高的同时，随之带来的是信息泄露、财产损失以及人身安全威胁等安全风险。

近几年，各种公共场所或经营性场所滥用人脸识别技术的事例屡见不鲜。

2020年，湖北一位已无法站立的94岁老人被强制性要求“刷脸”来激活社保卡业务，于是不得不被人抬到银行进行人脸识别。事发后，该银行表示：“此事情的发生，暴露了我行服务宣传不到位、服务意识不浓的问题，我行对此表示诚挚的歉意。”

2021年，央视3·15晚会曝光科勒卫浴、宝马4S店等20多家装有人脸识别系统的商家利用监控进行人脸识别，对顾客分类，进而采取差异化的营销策略，然而，商家并没有告诉消费者店内有人脸识别摄像头，更没有征得消费者的授权同意。

2021年，浙江理工大学数据法治研究院副院长郭兵与杭州野生动物世界有限公司（以下简称杭州野生动物世界）服务合同纠纷案二审宣判，原告郭兵胜诉，被业内称为“人脸识别第一案”。

该案件起源于杭州野生动物世界将年卡用户入园方式从指纹识别调整为人脸识别，并停止使用指纹识别闸机。郭兵以侵犯隐私权和服务合同违约为由将杭州野生动物世界告上法庭，法院最终判决杭州野生动物世界删除郭兵办年卡时所提交的包括照片在内的面部特征信息及指纹识别信息。

郭兵告诉《法治周末》记者，指纹信息和面部特征信息属于个人生物识别信息，该类信息属于个人敏感信息，一旦泄露、非法提供或者滥用将极易危害包括原告在内的消费者人身和财产安全，且被告收集和使用原告的指纹信息和面部特征信息不符合网络安全法第四十一条第一款和消费者权益保护法第二十九条第一款、第二款要求的收集个人信息应当遵循的“合法、正当、必要”原则，也与其提供的园区游览服务无关。因此被告告示和通知中的强制指纹和人脸识别内容违法应依法确认无效，被告应当删除原告的全部个人信息。

该案敲响了人脸识别技术滥用的警钟，也唤醒民众增强个人信息保护意识。

郭兵还指出：“比如酒店，刷身份证后仍需刷脸，这是一个明显过度收集敏感个人信息的情况，并且该现象长时间持续存在；再比如银行，也普遍存在强制或是诱导性的进行人脸识别，《征求意见稿》实施后若再强制刷脸，就没有了正当理由。”

如何保护人脸数据

完成人脸识别的特定目的后，相关人脸数据如何保护，从而防止人脸信息的泄露？

对此，郭兵表示，《征求意见稿》明确了个人信息保护影响评估报告应当至少保存三年、面向社会公众提供人脸识别技术服务的相关技术系统应当符合网络安全等级保护第三级以上保护要求、每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估等合规义务。在此基础上，《征求意见稿》针对在公共场所使用人脸识别技术或者存储超过1万人人脸信息的人脸识别技术使用者，还新增了向网信部门备案的监管要求，这有利于保障必要性原则在人脸识别技术应用中更好的实现，也有利于不同场景下人脸识别技术应用相关合规要求的有效落实。

对外经济贸易大学数字经济与法律创新研究中心主任许可表示，一方面，国家机关在使用远距离、无感式监控设备时，不仅要执行同意原则，设定显著标识更需细化。民众若想对个人信息进行查阅、更正、删除、复制时，可以有一个网站或者是二维码，使民众有权知悉自己个人人脸信息被处理的情况与后续的权利行使方式；另一方面，非国家机关应当遵守备案程序，备案的信息一并公示，并注明“已经备案”，这有利于保证相关监控设备持续运行。

如近期走红的妙鸭相机，就曾因用户及隐私协议的规范性引发争议。妙鸭相机是一款聚焦人像写真的AIGC（人工智能生成内容）产品，用户需要付9块9即可生成数字分身和AI写真，首先用户上传一张清晰的正面照以及至少20张上半身照片，即可生成一个数字分身。基于数字分身，再选择自己喜欢的模板，就可以得到一套AI写真，用户制作一套数字分身最长等待时间甚至达12小时以上。

该软件的最初版本用户协议中：“用户需授权‘妙鸭相机’在全世界（包括元宇宙等虚拟空间）范围内享有永久的、不可撤销的、可转让的、可授权的、免费的和非独家的许可，使得‘妙鸭相机’可以任何形式、任何媒体或技术（无论现在已知或以后开发）使用用户的内容。”这项条款被认为其中可能暗含隐私暴露及被利用的风险。

7月20日，“妙鸭相机”发布声明称，原协议内容有误，已在第一时间进行了修改，用户上传的照片只会用于数字分身制作，不会提取也不会用于识别和其他用途，且分身制作完成后自动删除。

对于用户隐私安全的争议，8月3日“妙鸭相机”团队在北京首次召开媒体沟通会，“妙鸭相机”产品负责人张月光解释称，有赖于阿里大文娱集团的技术支持，可以对产品做到正常的网络攻击防护、用户数据的存储安保等，“妙鸭相机”在用户协议中也承诺，不会留存用户照片数据，“这款产品里做的东西都是你的，所有权都是你的，我们不能进行二次使用”。

不过，郭兵对于“妙鸭相机”仍提出两点疑问：“一方面，为什么一定要上传20多张才可以合成数字分身，这是否属于过度收集个人信息行为；另一方面，经过测试发现在上传一张照片后再把该照片删掉会非常困难，一直保存在系统中，这并不符合个人信息保护法要求，用户在没有继续使用生成功能时，照片应及时删除恢复原状。”

卢鼎亮表示，人脸识别信息不同于其他生物识别信息，人脸识别信息直接承载着个体的社会属性、自然属性以及法律属性，兼具肖像权、人格权、信息权利等特征，属于高等级保护的个人敏感信息范畴，《征求意见稿》的发布，能够在人脸识别技术应用安全领域提供细化指导。

责任编辑：谢婷