浅谈《人脸识别技术应用安全管理办法》

筑牢人脸识别技术处理个人信息的保护防线

——浅谈《人脸识别技术应用安全管理办法》

　　近日，国家互联网信息办公室、公安部联合出台《人脸识别技术应用安全管理办法》（以下简称《办法》），规范应用人脸识别技术处理人脸信息活动，保护个人信息权益，自2025年6月1日起施行。

　　党的二十届三中全会通过的《关于进一步全面深化改革、推进中国式现代化的决定》明确指出，提升数据安全治理监管能力。近年来，随着人工智能和大数据等互联网技术的快速发展，人脸识别技术被广泛应用于社会的多个领域，如人脸识别认证系统、人脸识别门禁以及刷脸支付等，在越来越多的场景下发挥着不可替代的作用。人脸识别技术作为人工智能发展的典型样态，在提高人们生活水平的同时，也给个人信息、隐私与财产带来了风险，引发了公众对人脸识别技术应用的担忧。这使得作为关系数据安全及广大人民群众的切身利益的人脸信息安全，受到社会各方高度重视与关注。在此背景下，《办法》应运而生，既回应了社会民众对人脸识别技术规范应用的迫切需要，也强化了对个人信息权益的全方位保护要求。

　　筑牢个人信息保护基础防线

　　任何一项技术都可能是“双刃剑”，人脸识别技术亦是如此，只有当其被规范应用时，才能对社会发展与进步发挥积极作用。《办法》制定的目标就在于应对人脸识别技术存在的滥用风险，通过规范人脸识别技术应用，以实现强化个人信息权益保护和筑牢个人信息安全防线，从而增强民众对新技术应用的信赖与信心，并维护社会秩序与公共安全。

　　其一，细化个人信息保护法律规范，完善个人信息保护制度体系。此前，我国尚未出台专门针对人脸识别技术的法律规范，相关规定散落在各法律规范及规范性文件之中，且未明确人脸识别技术处理人脸信息的具体指导规则。《办法》作为《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律、行政法规的配套规章，细化了其中关于个人信息处理原则与规则。它通过构建专门制度规范人脸识别技术应用，明确了人脸识别技术在实际应用过程中的具体要求，实现了对应用人脸识别技术处理人脸信息的实践操作指引。《办法》的出台，是对个人信息全方位、全角度保护的落实，有利于弥补现有个人信息保护法律制度对人脸识别技术应用规制的缺口，完善了个人信息保护的法律规范体系，筑牢了个人信息保护的安全防线。

　　其二，规范人脸识别技术应用，解决人脸识别技术滥用风险。规范应用是技术得以正向发展的前提，《办法》为人脸识别技术应用设立安全规范，为在实践中发展参差不齐的人脸识别技术提供系统性、体系化的有益指导。人脸信息属于特殊的个人信息，具有专属性、独特性、可识别性等特征，而其易收集性的特征在为人脸识别技术广泛应用提供条件的同时，也带来了人脸识别技术被滥用的风险，极易使社会民众的个人信息在人脸识别应用中受到侵害。因此，如何在技术发展与权利保障之间，划定人脸识别技术应用的界限与范围，是个人信息保护领域所必须思考的问题。《办法》为人脸识别技术划定了应用红线，通过比例原则、告知—同意处理模式、事前评估程序、分级备案机制等促进人脸识别应用技术在法治轨道上运行，为人脸识别技术应用装上了“安全锁”。这有利于防止人脸识别技术过度化应用造成不应有的损害，从而平衡技术应用与权利保护的关系，为人脸识别技术应用的正向前进奠定了坚实基础。

　　建立人脸识别技术对个人信息处理的规范指引

　　《办法》共二十条，从适用范围、基本原则、处理规则、安全规范、监管职责与法律责任等方面规定了人脸识别技术处理人脸信息的安全应用要求，刻画了人脸识别技术对个人信息抓取的规范图景与应然模式，为实践中人工智能如何抓取与处理人脸信息带来了可操作性与可执行性的有效指导。

　　其一，人脸识别技术抓取人脸信息的界限与范围。基于不同使用目的及不同适用场景，《办法》第二条、第十三条规定了人脸识别技术抓取人脸信息的不同范围与界限。一方面，当人脸识别技术抓取人脸信息的目的为技术研发、算法训练时，则不受该《办法》约束，但此外一切运用人脸识别技术抓取并处理人脸信息的活动，都需要在《办法》的规定下进行。另一方面，一般场景如公共场所下，人脸识别技术对人脸信息的抓取需要遵循合法性原则及比例原则，并履行相应的显著提醒义务；而对于特殊场景如宾馆客房、公共浴室等私密空间，则禁止使用任何人脸识别技术设备进行人脸信息抓取与处理。

　　其二，人脸识别技术抓取人脸信息的基本原则。《办法》既注重保护技术创新，也强调对个人信息的全方位保护。比如，《办法》第三条明确了合法性原则，要求人脸识别技术对人脸信息的抓取应当遵守法律法规的规定，禁止侵害个人合法权益；第四条制定了比例原则，人脸识别技术对人脸信息的抓取必须具有特定目的与充分必要性，且须按照对个人利益影响最小的方式实施；第十条及第十二条强调了非强制原则，当实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式时，不得将人脸识别技术作为唯一验证方式，且任何组织和个人不得以办理业务、提升服务质量等为由，误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。

　　其三，人脸识别技术抓取人脸信息的流程规范。对一项技术的规范需要贯彻于技术应用的全过程，而《办法》也对人脸识别技术抓取人脸信息制定了规范的流程。

　　首先，事前需履行告知义务与开展影响评估。《办法》第五条至第七条规定了人脸识别技术对人脸信息抓取的告知—同意模式，即在应用人脸识别技术抓取人脸信息之前，应当通过显著提醒的方式，向个人真实、准确、完整地告知其抓取目的、处理方式、处理期限、处理影响以及相应的权利救济途径，当获取个人充分知情前提下所作出的自愿、明确、单独同意后，才能实施人脸信息的抓取与处理。此外，《办法》第九条要求人工智能抓取与处理人脸信息前，还需要进行个人信息保护影响的评估，只有在目的方式合法、正当、必要，保护措施合法、有效，能够有效降低不利影响及防止人脸信息被泄露、非法获取等风险发生的条件下，才能进行抓取与处理，且需要将评估报告和处理情况记录至少保存三年。

　　其次，事中要求渠道优先、存储限定化。虽然《办法》第十一条规定并非强制性，仅鼓励人脸识别技术进行人脸验证识别时优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道，但若人脸识别技术在进行人脸信息抓取时，能够优先使用以上公共渠道，则能大大减少对人脸信息的收集与储存，既能避免在人脸信息抓取与处理过程中出现不合规行为，也能缓解社会公众的担忧及获取程序用户的信任与支持。同时，当人脸识别技术进行人脸信息抓取后，除法律、行政法规另有规定或者取得个人单独同意外，只能存储在进行人脸识别的设备内，禁止通过互联网向外传输。

　　最后，事后分级备案与接受监督。《办法》第十五条规定了人脸识别技术在抓取人脸信息之后的备案事项，并通过对信息存储数量予以分级，对人脸信息存储数量达到十万人的设置了备案要求，需要在30个工作日内向所在地省级以上网信部门履行备案手续，并提交相关材料。当备案信息发生实质性变更，或者人脸识别技术终止对人脸信息的抓取与处理时，需要在变更之日或者终止之日起30个工作日内办理变更或注销手续。此外，在人脸识别技术抓取人脸信息过程中，《办法》还规定了其需要受到来自网信部门、公安机关以及其他履行个人信息保护职责部门的监督，并配合相关部门进行检查，当存在违规或违法进行人脸信息抓取与处理时，需要依法承担相应的行政责任或刑事责任。

　　在人脸识别技术被广泛应用于社会不同领域背景下，《办法》的出台平衡了新兴技术的创新发展与公民个人信息安全保护的关心：一方面，明确要求人脸识别技术的应用必须遵循合法、正当、必要的原则，采取对个人权益影响最小的方式，并实施严格保护措施。另一方面，又要鼓励、支持研究开发和推广应用安全、方便的电子身份认证技术，推进网络身份认证的公共服务建设。这种平衡策略不仅保护了公民个人信息安全，也为技术创新和产业发展营造了良好的环境，有利于推动技术在合法合规轨道上持续健康发展。

　　（作者单位：重庆大学法学院）