人脸信息属于敏感个人信息。刷脸并非身份识别的唯一方式,更不能成为“强制选项”。根据法律规定,只有取得个人同意,个人信息处理者才能使用相关信息数据,并要确保安全管理信息。
刷脸支付、刷脸住宿、刷脸进小区……如今,人脸识别技术覆盖的应用场景越来越多,在提升效率与便利的同时,也带来不少安全风险。
今年以来,多地通报违法违规收集人脸信息案。相关案例显示,不法分子非法获取个人信息,利用AI换脸等软件,直接登录受害人的支付账户,盗刷其银行卡进行消费,“刷脸”秒变“刷钱”。此外,因受害人人脸信息泄露造成的“被贷款”“被诈骗”等乱象也时有发生……个人信息保护形势日益严峻。
人脸信息是人的面部特征生物识别信息,属于敏感个人信息。一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。按照个人信息保护法规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。这种处理方式必须是采取对个人权益影响最小的方式,且限于实现处理目的的最小范围。在此基础上,人脸识别技术应用必须以保护个人信息权益为核心,将“个人权益”置于技术应用的首要地位。合法、正当、必要和诚信,是人脸识别技术应用的基本原则。
近年来,我国关于人脸识别技术处理人脸信息应用的制度规范不断完善。日前,国家互联网信息办公室、公安部对《大型网络平台个人信息保护规定(征求意见稿)》公开征求意见,其中再次明确了大型网络平台服务提供者的主体责任,重申严格保护敏感个人信息。随着安全风险监测、风险评估、合规审计等制度落地实施,将进一步提升个人信息保护水平。
事实上,刷脸并非身份识别的唯一方式,更不能成为“强制选项”。根据法律规定,只有取得个人同意,个人信息处理者才能使用相关信息数据,并要确保安全管理信息。2025年6月1日起施行的《人脸识别技术应用安全管理办法》进一步划出红线,明确任何组织和个人都不能以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。特别是在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。
拒绝“强制刷脸”,不是反对人脸识别技术应用,而是防止无序、越界的滥用。在保护个人信息的前提下,应依法依规推进人脸识别技术应用。
一方面,着眼于人脸信息的全链条安全,运营方或个人信息处理者需升级技术,建立严格的闭环治理机制,覆盖信息采集、数据存储、合规使用和风险处置等各环节全流程,保护用户的选择权、知情权;另一方面,相关部门和机构应畅通举报渠道,增强问题线索督办质效,加大对“AI换脸”诈骗、商家利用“人脸”捆绑消费等乱象的打击力度,形成有效震慑。
用户应增强防范意识,谨记“非必要不提供”原则。在“刷脸”前不妨三问:为何收集?如何存储?风险几何?如果发现合法权益受到侵害,第一时间保留协议、截图、录音等证据,及时要求相关企业或机构停止侵权行为并承担相应的责任;也可以向网信、公安等部门举报,依法维护自己的合法权益。(作者:李万祥 来源:经济日报)
