让“非必要不刷脸”成为共识

　　近日，“亮剑浦江·2024”消费领域个人信息权益保护专项执法行动总结暨交流研讨活动在上海举办。此次活动受到社会广泛关注，主要原因是专项行动重点治理消费领域滥用人脸识别技术乱象，并提出了“不刷脸为原则、刷脸为例外”的行动目标。

　　售货柜支付刷脸、健身房进门刷脸、住宾馆登记刷脸……刷脸，正在越来越频繁地嵌入人们的日常生活。但在处处“要脸”的时代，个人信息安全保护问题日益凸显。如果人脸识别技术应用得不到有效规制，其误用和滥用将让人们面临各种“丢脸”风险。

　　与指纹、虹膜、声音等人的生物学特征信息一样，人脸也具有唯一性、永久性的特点。人脸识别是基于人的面部特征信息进行身份识别的一种生物识别技术。这种技术具有高效、准确的特性。人脸识别技术的应用是把“双刃剑”，在方便生产生活的同时也带来安全隐患。全国信息安全标准化技术委员会等机构发布的《人脸识别应用公众调研报告》显示，94.07%的受访者表示用过人脸识别技术，64.39%的受访者认为人脸识别技术有被滥用的趋势，30.86%的受访者反映已经因为人脸信息泄露、滥用等遭受损失或者隐私受侵犯。现实中，人脸识别技术应用失范已经引发一系列社会问题，如倒卖人脸信息、非法查阅甚至买卖图像监控信息、运用人脸信息进行深度合成从而进行诈骗等犯罪活动；一些犯罪分子利用非法手段破解人脸识别验证程序，实施窃取财产等犯罪行为。

　　我国刑法、民法典、网络安全法、数据安全法、个人信息保护法等法律均对个人信息保护和数据安全作出规定。人脸生物信息属于敏感个人信息，应受到法律特殊保护。按照个人信息保护法的规定，使用人脸识别技术时，应坚持两个重要原则：合法性和必要性。合法性是指要有法律依据。个人信息保护法明确了两个合法性依据，一是告知同意，即取得公民的同意；二是基于公共安全需要（比如乘坐飞机、高铁等，这些场景不需要单独取得个人同意，因为这是民航、铁路机构在履行保障公共安全的法定义务）。必要性尤为重要，即使合法使用人脸识别技术，也要遵从必要性原则——只有那些特定的、必须通过获取人脸信息来实现身份识别的业务场景才可使用这一技术。因此，必要性原则可以概括为“非必要不刷脸”，或“不刷脸为原则、刷脸为例外”。

　　依据上述原则，在网球场、游泳馆等体育健身场所消费及在自动售货柜购物等，属于非必须使用人脸识别技术的消费场景。经营方可以通过传统的会员卡、门禁卡、密码支付等方式用于身份识别或收费服务等。经营方不得以消费者不同意处理其人脸信息或撤回同意为由，拒绝提供相应的产品或服务。

　　目前经营场所不规范使用人脸识别技术的情况较为普遍，一方面是因为经营方使用该技术便于管理，且可以获取大量消费者数据为其经营带来更多利润（如识别新老客户、为客户画像进行精准推送等）；另一方面是因为部分经营者个人信息安全保护意识淡薄，存在个人信息“没那么重要”“没必要特殊保护”等侥幸心理，怠于履行个人信息保护义务。同时，生物信息收集场景复杂，涉及行业广泛，监管部门难以全方位无死角监督，且现行法规存在模糊地带与滞后之处，新技术应用时产生的诸多监管空白使得部分机构有机可乘。

　　加强个人信息保护，让“非必要不刷脸”原则落实见效，需要进一步完善相关法律法规，明确个人信息处理者收集、使用等环节的责任义务。对现行的生物信息处理模式进行重新审视，推动从“原则允许模式”向“原则禁止模式”转变。制定相关规范标准，列出经营服务场所禁止收集、使用人脸信息的“负面清单”。加强法律法规宣传教育，推动各类个人信息处理者学法知法守法，树立正确的个人信息保护意识，采取有效措施保障个人信息安全。执法层面应加强多部门联动协同，提高监测技术水平，加大日常检查与违法违规查处力度，依法打击非法收集、滥用个人生物信息行为。

更多精彩，请关注“官方微信”