让人脸信息得到更有效保护

小区门禁、账号登录、超市付款……近年来，人脸识别技术应用场景不断丰富，在便利生活的同时，技术的不规范使用也对个人信息保护提出了挑战。比如，有的商家暗中对人脸信息进行统计分析，用于商业营销，甚至进行“大数据杀熟”；随着生成式人工智能的发展，人脸信息甚至还可能被用于电信诈骗等不法行为。合理使用人脸识别技术的同时，如何更有效地防止信息泄露，成为当务之急。

长期以来，有关部门对人脸识别技术采取了不少监管措施，取得了一定成效，相关法律也对人脸识别的应用场景、使用目的、责任认定等作出规范。但有些规定比较笼统，需要进一步细化。不久前，国家网信办公布《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（以下简称征求意见稿），就人脸识别技术的使用条件、使用禁则、备案要求、数据保护、设备管理等向社会公开征求意见，对保护个人信息权益、维护社会秩序和公共安全具有现实意义。

当前，我国对出售公民个人信息、诈骗等涉嫌犯罪或严重违法的行为，打击力度较大，但对部分商家“无感知收集”“一揽子收集”人脸信息等现象，监管力度较弱。有一些人认为人脸信息无关紧要，低估人脸信息泄露的危害性。要看到，人脸信息这样的生物特征具有唯一性、难以改变的特性，一旦泄露，比数字密码丢失更难得到有效补救。因此，用好人脸识别技术，必须做好从数据收集、使用到备案、删除等全过程监管，并提供较高级别的安全保护。

规范人脸识别技术应用，“安全”应成为绝对的关键词。首先要把住信息采集入口关。征求意见稿提出，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可使用人脸识别技术处理人脸信息。这样具有很强针对性的界定，能有效防止人脸信息的非必要采集。比如，在健身房、书店等消费场景中，即便智能设备更加便捷，也应把消费方式的选择权交给消费者，而不能把采集人脸信息作为前置条件。确有必要时，应当取得个人的单独同意或者依法取得书面同意。以当事人知情、同意为基础，确保个人信息主体享有撤回授权的权利等，有助于为新技术规范应用划清边界。

防范人脸识别技术滥用风险，要加强对数据使用的监管，全面提高信息安全保护力度。面向社会公众提供人脸识别技术服务的，相关技术系统应当符合网络安全等级保护第三级以上保护要求。第三级是除了金融机构之外，可以用到的最高等级。此外，除法定条件或者取得个人单独同意外，人脸识别技术使用者不得保存人脸原始图像、图片、视频，经过匿名化处理的人脸信息除外。将相关服务限定在最小必要的时间、地点或者人群范围内，才能把风险降到最低。

人脸识别具有独特的技术优势，是促进数字经济发展和社会治理的有效技术手段。然而，人脸属于生物识别类敏感个人信息，对此类信息的采集应出于维护公共安全的需要，并保障公民的知情权、决定权、选择权、删除权。在发展人脸识别技术的进程中，统筹发展和安全，不断完善相关法律法规，增强监管政策针对性、系统性，增强处理个人信息的敏感度，就能在有效保护个人信息的前提下，更好地促进行业健康发展，使广大群众从技术进步中受益。