近几年，出门办事儿要刷脸的场景是越来越多，看似人们得到了方便，然而担心也与日俱增，我的脸我能自己做主吗？8月8日，国家网信办发布《人脸识别技术应用安全治理规定》的征求意见稿，明确人脸识别惟独在具有特定的目的和充分的必要性，同时采取严格保护措施的情形下才能使用，这也就意味着拥有了三个限制条件。它一旦开始实施，确实能保护我们的这张脸吗？它将带来哪些改变？新闻周刊本周视点关注：限制人脸识别。

本周四，上海市普陀区人民检察院带队回访检查了辖区内的多家超市，尽管店内都有监控，但都没有使用人脸识别设备，顾客们多了许多自在。此前，该检察院曾发现辖区内有超市在出入口安装采集消费者人脸信息的摄像头等设备，还会对消费者的多项数据进行分析并予以差异化提示，甚至有人还被打上了“疑似小偷”等标签，而消费者对此毫不知情。

上海市普陀区人民检察院检察官张晓灵：当每一个消费者进门之后，它实时抓拍消费者人脸信息，而且还给人脸信息打上了一些标签，比如讲是男性依然女性，是中年依然青年，具体心情怎么等等。经过超市人员介绍，把每个进门的消费者人脸采集到之后，他们能够经过人脸比对，比如讲把一些他们认为可疑人员的人脸，添加到他们所谓的人脸库当中，等到那个可疑人员下次再来的时候，监控就会自动报警。

经过30天的影像资料来看，辖区内相关设备采集了大约14万左右张人脸照片，而真正有偷窃行为的嫌疑人，相比那个数据而言不过少数。在通过相关部门履行调查，并进行处罚后，现此时此辖区“购物而被偷拍”乱象已罕见。

中国政法大学数据法治研究院教授张凌寒：非通过法庭的审判不能给任何人定罪，打这种标签本身算是对人身份的一种卑视。第二，假如打上这种标签之后，可能对那个人的卑视性信息会随着这套设备和这套数据库的广泛使用，而在不同的超市不同的场景都会显示出对他的这种卑视性身份标签，就会使得那个人的行动处处受限，受到一种不公正的待遇，而他又无从知晓这种待遇从何而来。有一些学者研究，把它叫做一种无形的“算法监狱”。

本周二，国家网信办就《人脸识别技术应用安全治理规定》公开征求意见。其中就提出，惟独在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可使用人脸识别技术处理人脸信息。

中国政法大学数据法治研究院教授张凌寒：换句话讲，假如讲你除了做身份识别和验证之外，要经过人脸识别技术去达到其他的目的，这就不符合我们所讲的必要目的和特定目的的基本原则。超市安装如此的设备，它的要紧目的实际上为了防盗，是否必须要经过人脸识别来进行防盗呢？很显然是没有那个必要性的。新规也是希望规范人脸识别技术可能扩大化使用的现象。

而此次新规中就还提到，实现相同目的或者达到同等业务要求，存在其他非生物特征识别技术方案的，应当优先选择非生物特征识别技术方案。此项优化适用于更多日子场景，类似于健身房、书店等经营性场所，长期以来需要使用人脸识别系统去完成入场、借书，但这些功能能够凭借办卡等等其它更为简易的方式去完成，即便智能设备更加便捷，但在此类消费场景里，理应把选择权交给消费者。

中国政法大学数据法治研究院教授张凌寒：实际上个人信息的知情和接受原则，在学界也一直受到质疑，我是不是真正的接受，我假如不接受可能就没有方法享受相关的服务，所以我们这次新规当中也要求要以明确的方式、显著的方式去告知个人，同时并且提供一些非生物性的身份验证方式和办法。如此就可以使得我们人脸识别的知情接受是真正有效的，因为你还有其他身份识别的办法能够选择。

由此可见，人脸识别的应用，并非如何方便就如何来。能不能使用、怎么使用，都必须在制度的框架内进行。这看似严苛，但只是是遵循个人信息收集的最基本原则——“最小必要”。也即，最大程度避免滥用，防止煽起不良的“蝴蝶效应”。眼下五花八门的人脸识别应用差不多特别普遍，相关政策制度的完善，将对已浮现的乱象作出更有力的规制和纠偏。而这，也同样依赖于每一个个体和经营者的自觉。

上海市普陀区人民检察院检察员尹波：按照咱们最新的治理规定，人脸识别设备使用的商业场景，包括可以进行相应数据处理的如此一些主体，基本上要严格按照国家的规定进行相应的备案和数据治理的，因为相应的信息涉及到敏感个人信息，那么一旦数据泄露发生的话，数据安全泄露就会引发更多的连锁反应。所以从监管角度和法本身的价值来理解，应该是更加做好事先的预防和防范，所以关于人脸设备的使用，将会有越来越多严格的限制。

上海市某小区业主：我们小区安装人脸识别系统要把业主的脸拍照，拍好以后要上传。接下来输入姓名、家庭住址、手机号码。信息假如泄露出去的话，对他来讲是一种灾难。所以我是不赞同小区搞人脸识别系统。

由于所住小区即将加装人脸识别门禁，这名持反对意见的业主，曾向当地媒体表达了不满，本周正值国家网信办就《人脸识别技术应用安全治理规定》公开征求意见，该小区的门禁改造也于是受到了关注。

该小区业主委员会副主任刘杨：往常我们用的刷卡门禁，那个卡是能够无限复制的。我们小区因为临近地铁站，有不少外来人员，可能图方便，穿越我们小区，所以不少业主就提出了这方面的诉求，对大门的门禁进行升级换代。

业委会表示，该小区居民过去一直希望加强对外来人员的进出治理，恰逢物业公司重新招标，因此今年六月，新中标的物业公司正式进驻后，首要工作便是升级门禁系统，当下被广泛应用的人脸识别门禁，也借此契机引入了该小区。

该小区有2400多户居民，各家各户关于门禁方式的选择上持不接受见，该小区业委会在征集意见后，最终选定了三种门禁方式供居民使用。

小区业主委员会副主任刘杨：第一种方式是IC卡，物业公司所发放的IC卡第一是进行加密的，第二点那个IC卡是不可复制的。第二种可能算是远程开门，比如讲家人假如在别处的话，有朋友或者有亲戚要进小区，就产生了一个App二维码远程开门之类的功能。第三种是人脸识别，比如讲有业主晚上跑步，他身上什么东西都不带，手机也不带，他也可以做到进出自由。

本周发布的征求意见稿中就明确指出，人脸识别不得作为进出物业治理区的唯一方式，物业也应当提供其他合理、便捷的方式，供不愿使用人脸识别的个人选择。

处在新旧门禁系统更替期的该小区，还有很多居民持观望态度，一方面想选择更便捷的方式，但另一方面也对人脸信息被泄露的风险存疑，作为门禁系统的选购、安装和运营方，物业是否值得信赖，决定着居民的选择。

物业公司技术负责人李川：我们在人脸识别设备选型的时候，确信选头部企业，我们后面结合了一些线下的评估，我们跟供应商之间也有合作协议，在合作协议里面也约定了相应的责任跟义务。假设确实浮现了泄露咨询题，物业一定是承担相应责任，我们也会跟相关的合作方去追责。

该物业公司表示，物业并不存储人脸信息，业主所录入的信息会直截了当上传到门禁系统供应商的平台，物业在事前对供应商进行把关。征求意见稿也指出，事前需要对个人信息保护妨碍作出评估。

中国政法大学数据法治研究院教授张凌寒：物业公司可能会托付第三方提供人脸识别的系统和服务，能够讲双方实际上要共同承担个人信息处理者的法律责任的，算是让个人信息的处理者在上马那个项目之前，就明确明白自己的个人信息处理行为，可能会有什么样的风险，以及要求他们去设置个人信息保护的相关责任人，还有相关的运行机制。当浮现个人信息被泄露，自己有什么样的应对机制。

与此并且，不使用人脸识别门禁的业主发现，通过门禁系统时，仍然会被人脸识别系统实时捕捉，也担心此类未通过知情接受的人脸捕捉泄露了隐私。物业公司对此表示，被捕捉到的人脸信息普通只用于能够录入系统的人脸进行比对，并不进行存贮。但随着新规的完善，物业领域愈发被广泛应用的人脸识别，也需要进一步走向规范。

中国政法大学数据法治研究院教授张凌寒：我假如走到这个地点，我并没有计划去进行身份的识别和验证你就把我的脸拍走了，并且转化成数据，同时进行后续的存储和处理等等。在这次新规当中我们强调，关于这种无感的高清的人脸识别，实际上你要分外通过个体知情接受的。小区物业进行身份识别，可能在三五米之内关于人脸进行识别，有一个识别的精度就足够了。现在可能有一些小区物业的人脸识别系统，采用了特别高清的摄像头，还能够自动捕捉和识别人脸，那个很显然是不符合我们这次新规的相关规定。

今年夏天，“人、证、脸”三合一的强实名制，差不多成为热门歌手演唱会的标配。一位刚刚在合肥体育中心看完演唱会的观众告诉我们，演出当天，她在这台类似高铁站进站口闸机的设备上，被要求刷身份证。不到一秒钟，屏幕显示人脸和身份证匹配，能够经过。

中国政法大学数据法治研究院教授张凌寒：依照新规的规定，假如完成了人脸识别应用的特定目的之后，关于在识别过程中收集到的人脸照片，是应该及时删除和销毁的。防止在个体不知情的事情下，把收集的照片再进行交易和流转，甚至给第三方去进行一些比如讲像人工智能模型的训练，甚至被泄露给第三方。

在征求意见稿中，“安全”是绝对的关键词。不单做人脸识别时拍摄的照片不能保存，储存样本照片的数据库也应确保不被入侵，发生泄露。新规明确，面向社会公众提供人脸识别技术服务的，相关技术系统要符合网络安全保护第三级以上的保护要求。

中国政法大学数据法治研究院教授张凌寒：我们国家的网络安全等保系统分为五级，能够讲第三级是除了金融机构之外，能够用到的最高等级了，会要求你配备相应的技术手段。并且我们讲的治理机制、访咨询权、复制的记录等等，我们都相应有比较细致的要求。此前可能一些企业，或者讲一些场所去使用人脸识别的乱象算是只使用不保护，或者讲只使用无论理。

按照相关法律规定，网络安全保护第三级的系统，必须每年进行一次保护测评，检验其是否能抵御黑客攻击，防止数据泄露、窃取等。测评由公安部认证的，有专业资质的企业完成。除了人脸图像泄露外，对人脸的分析和滥用，也是个人信息安全的重大威胁。

2021年的“3·15”晚会，曝光了多家知名企业的线下门店，经过安装一款名为“万店掌”的摄像头，非法抓取客户人脸信息进行标记。客人一旦去了A店，再光顾B店，就绝对可不能得到比A店低的价格。在张家港市场监督治理局的通报中，“万店掌”摄像头同样浮现在了辖区中的一家连锁商店中。为逃避检查，该店用胶带缠住了摄像头的品牌。执法人员检查时，在店长的手机中发现，一款连着该摄像头的人脸识别App正在运行，里面清楚地写着进店顾客的性别、年轻段，并将顾客打上“新顾客”“熟客，第11次到店”等标签。

中国政法大学数据法治研究院教授张凌寒：往常我们讲大数据杀熟，仅仅是基于你在平台上行踪轨迹、行为偏好和消费记录，去对你的消费能力和消费偏好进行识别。可能讲消费越多，你的支付能力越强，你得到推举的价格就越高。然而有了人脸识别之后就能够实现线下的大数据杀熟，我不是经过你线上的账户去识别你是不是一个有消费意愿的客户，而经过线下的人脸我就能跟你以往的消费记录关联起来。

针对此类现象，此次的征求意见稿中，就明确细化：任何组织或者个人，都不得利用人脸识别技术分析个人包括种族、民族、宗教信仰、健康状况、社会阶层等的敏感个人信息。在公共场所使用人脸识别技术，或存储超过1万人人脸信息的，需在30个工作日内向所属地市级以上网信部门备案。网信、电信、公安、市场监管等部门，应按照各自职责范围加强对人脸识别技术使用的监督检查，及时发现隐患，催促整改。

中国政法大学数据法治研究院教授张凌寒：征求意见稿不光可以为使用人脸识别技术的社会企业、主体去提供明确的行为指引，同样也给了监管部门明确的执法依据去进行定期的监督检查，这些个人信息的处理者有没有对我们敏感的人脸数据进行违规的收集、处理、存储，甚至是流转的活动。

中国政法大学数据法治研究院教授张凌寒：同样关于可能遭受到相关侵权的个体，也提供了明确的救济依据。大伙儿可能觉得自己的人脸，我也不是名人，我也没有被识别的必要，我也不担心别人认出我来。但实际上，现在人脸信息的泄露，能够讲差不多成为电信诈骗特别重要的信息来源、数据来源。不少场景无处不在的探头，把你这一天以来在一个都市的行踪轨迹，和你做过什么，几点几分浮现在哪里汇总在一起，那么在对你进行电信诈骗的时候也可能使受害人更容易上当受骗。经过深度合成技术，电信诈骗能够直截了当和你的亲人朋友进行视频和音频的对话，你的脸部信息可能就来源于之前被泄露的人脸。实际上我们经常讲要增强公众的数字素质，既包括关于个人信息保护重要性的这种意识，也包括注意防范个人信息的一些侵权行为的意识，增强自己处理个人信息的敏感度，这可能也是人脸识别新规的重要意义所在。

来源：中国科技网