2020年3月4日，在东南车村，一名村民在村里唯一的出入口刷了脸，进入村里。资料照片/新京报记者李茂的照片

数字化、智能化时代，技术的飞速发展，在这个过程中如何保护个人信息成为了公共命题。回溯到2020年，人脸识别是舆论场的高频词汇，敏感的人脸信息该如何保护？可以在哪些场景中应用？应用后，如何保护我的“脸”存储？

在今年的北京两会上，很多委员提到了面部识别的规范。

周梁委员建议，在条件具备时，北京市人大常委会制定有关人脸识别数据管理的地方性法规。高京兵委员提出，对人脸识别作出特别规定，有权明确人脸识别的主体使用、使用目的、使用范围、使用限制区等被识别对象的补救途径、追究手段。

人脸识别技术应用“泄漏，终身危险”

从1例面部识别到“查看头盔房间”，面部识别应用及背后个人信息保护成为话题。

北京市政协委员、中国石化北京化学研究院教授级首席工程师周亮对人脸识别感兴趣已经有几年了，他注意到人脸识别首先应用于高校管理，疫情防控期间开始进入社区。

“这是一个有争议的社会现象。”朱良说，人脸识别技术在安全管理、金融服务、反恐、治安等方面有很多便利，但也是一把双刃剑，管理不好会带来隐患。

面部识别技术应用的危险是因为“面部”的敏感性。周亮说：人脸识别特征是个人无法更改的敏感信息，包括个人隐私。一旦泄露，损失就无法挽回。“如果你丢失了银行密码，我不认为可以更改。无法改变面貌。”

“面孔独特，具有直接识别性、便利性、变化性、变化性、收藏性、匿名性和多维性。”北京市政协委员、北京天驰君泰律师事务所管理委员会主任高庆兵表示，这些特征直接决定了人脸识别技术的复杂性。现实中，很多收集面孔的机构没有相应的风险预防、安全保障能力、组织和机制。

北京市政协委员陈小兵也表示，面孔作为生物识别的一种具有唯一性，一旦信息泄露，风险就很大。这也被称为“一次泄漏，终身危险”。

陈小兵在调研中发现，面部识别技术不如指纹和虹膜等生物识别技术准确。人脸识别目前有两个很难解决的主要危险问题。第一个危险是可复制性。人每天暴露在外面拍照，就能完全获得一个人的面部特征，并且可以复制。另一个危险是不稳定性。脸上浓妆、过敏、受伤、整形等会大大改变面部特征，影响面部识别准确度，甚至无法识别。

在他看来，随着模拟头部覆盖、全息投影、人脸跟踪等技术的发展，未来人脸识别攻击的成本将大幅降低，黑客攻击将大量发生。不法分子会伪造面部识别攻击系统，窃取机密信息。这将导致频繁发生数据泄露事件，从而对数据安全造成严重问题。

“隐私”是“方便”。应用程序背后有争议。

在关于人脸识别技术应用的争议背后，有“隐私”和“方便”之间的选择。

住在丽江的林老师告诉记者，小区去年年初在丹楼安装了人脸识别设备，从去年下半年开始运行。但是为了个人信息安全，自己一直没有输入信息。

前天，林老师输入信息，加入了人脸识别应用程序用户的大军。“现在疫情反复，我不想接触门禁。另外，有一天搬东西很辛苦，要放下东西进行出入控制，很不方便。”

当然，反对者认为隐私高于便利。比如清华大学法学院教授罗东延在之前的采访中直言：“刷脸需要几秒钟，对我来说没什么价值。”

从酒量的角度来看，人脸识别的应用给生活带来了便利，技术本身没有问题。关键在于谁控制这项技术，以及如何保证这一信息的安全。“不是不让人脸识别系统捕获信息，而是确保系统掌握的数据不会被泄露或滥用。”

陈小兵认为，对人脸识别应用要采取慎重的态度。他主张，原则上只有公安部门可以依法收集，使用场景也必须限于政府相关部门，对使用必要性有严格的条件限制，防止只为了工作方便而使用该技术，从而最大限度地提高技术滥用。

建议1

关于促进人脸识别和其他信息收集的法律

多名委员指出，目前面部识别应用程序中存在法律空白。

根据《民法典》规定，收集个人信息必须符合必要性、合法性、正当性三项原则，必须得到信息主体的明确同意。《个人信息保护法（草案）》第6条明确规定，个人信息处理必须具有明确合理的目的，限制在达到处理目的的最低范围内，不得进行与处理目的无关的个人信息处理。

但是，目前法律规定仍然比较有原则。周亮表示，如果法令、政府规定中没有明确具体的规定，各政府部门、企业事业单位将根据各自的需要自行处理人脸识别数据。"这可能会造成很多不确定的危险，所以必须及早应对。"

记者注意到，人脸识别应用规范在地方立法中已有突破。杭州规定，此前提交审议的《杭州市物业管理条例（修订草案）》中，房地产服务人员不得通过指纹、人脸识别等生物信息方式强制使用公共设施设备。

去年年末天津通过的《天津市社会信用条例》中很明确。

高警兵建议，立法部门有必要积极收集有关人脸识别的案例，研判吸收相关管理办法、经验。在此基础上，对人脸识别作出专项规定，明确人脸识别的有权使用主体、使用目的、使用范围、使用禁区等，以及被识别对象的救济路径、追责手段。“要尽快推进北京有关人脸识别等生物信息采集的相关立法工作，禁止企事业单位、行业协会等采集人脸、指纹、声音等生物识别信息。”陈小兵呼吁。

建议2

使用人脸识别技术应遵循事前申请原则

地方立法也需实践铺垫，朱良表示，可以先从政府规章开始，对人脸识别应用做出规范。高警兵也指出，目前政府监管力量不够。“在一些日常使用场景中，采集方甚至未经被采集者同意就使用人脸识别。仅靠居民个人隐私保护意识提高是远远不够的，必须严格把控人脸识别设备生产、使用门槛。”

如何严格把关人脸识别的应用？高警兵与朱良都提到对事前风险的防范。

朱良认为，使用人脸识别技术需遵循事前申请原则，事前向政府主管部门申请，经批准后才能开始进行。申请单位可以委托第三方进行技术操作，但申请时应将第三方一并列入申请材料，经批准才可操作。

对于大家都关注的数据安全问题，朱良认为，与个人身份关联的人脸识别数据应受政府主管部门监管，存储在事前申报并经过批准的地点和设备内，并应有合理的防灾害备份。进行人脸识别的单位和受委托的第三方都应确保数据安全，未经批准不得转移到其他地点和设备。

高警兵也谈到，需要有专业机构对人脸识别划定使用边界，即对人脸识别的适用范围、使用过程中落实“事先告知、事后删除”等条款作出持续的规范和跟进。

此外，朱良提出数据的追溯既往原则。他表示，在相关法规、规章生效后，过去已经形成的所有人脸识别数据都应按照法规、规章的规定纳入管理。(记者 王俊)