■特聘通讯员 王 帅

近年来，人脸识别技术不断成熟，在治安管理、金融支付、门禁考勤等诸多领域得到广泛运用，极大地便捷了公众生活。然而，伴随人脸识别技术精准度的提升，也出现了“野蛮生长”的问题。部分企业和单位任意扩大人脸图像采集的范围，“应采尽采，不应采也采”的行为引发了一系列质疑，存在较大的安全隐患。有些门店在未经同意的情况下采集消费者人脸信息并进行分析，进而采取不同的营销策略;有些物业服务企业强制将人脸识别作为业主出入小区的唯一验证方式;有些线上平台、应用软件强制索取用户的人脸信息。尽管《个人信息保护法》已于2021年11月出台，对可能导致公民隐私权、财产权受到威胁的信息使用做出了规范，但尚未有细化到针对人脸识别技术的垂直领域。2023年8月，国家互联网信息办公室出台了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《征求意见稿》)，从政策法规层面为规范人脸识别技术应用、保护个人权益、维护公共利益指明了方向。

相关立法现状

自2017年6月1日起施行的《网络安全法》虽然明确将个人生物识别信息纳入个人信息的范围，但对于个人信息的收集、存储、使用、共享、删除等处理行为需要遵循的原则和规则并未给出细化的规定。自2021年1月1日起施行的《民法典》和自2021年9月1日起施行的《数据安全法》中对于个人信息的处理规则也仅有原则框架，并未提出明确的要求，直到自2021年11月1日起施行的《个人信息保护法》出台，该领域的立法理念呈现出里程碑式的改变。

《个人信息保护法》对人脸识别信息的处理行为提出了四个方面的要求，包括：确立“特定目的”和“充分必要”处理原则、扩大“知情同意规则”中告知内容的范围、明确“知情同意规则”中同意的形式、进行事前个人信息保护影响评估。

提出“三大原则”

此次发布的《征求意见稿》共25条，对利用人脸识别技术处理人脸信息、提供人脸识别技术产品或者服务提出了明确规定;对涉及人脸识别技术的使用条件、使用禁则、备案要求、数据保护、设备管理等方面提出了具体要求。《征求意见稿》主要提出以下三大原则：

最少使用原则。《征求意见稿》提出，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求，存在其他非生物特征识别技术方案的，应当优先选择非生物特征识别技术方案。使用人脸识别技术验证个人身份、辨识特定自然人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。

遵循自愿原则。《征求意见稿》要求，使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外。个人自愿选择使用人脸识别技术验证个人身份的，应当确保个人充分知情并在个人主动参与的情况下进行，验证过程中应当以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的。

最小存储原则。《征求意见稿》指出，除法定条件或者取得个人单独同意外，人脸识别技术使用者不得保存人脸原始图像、图片、视频，经过匿名化处理的人脸信息除外。使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息，无法避免的，应当及时删除或者进行匿名化处理。

应用需安全合规

人脸信息属于敏感个人信息中的生物识别信息，是生物识别信息中社交属性最强、最易采集的个人信息，具有唯一性和不可更改性，一旦泄露将对个人的人身和财产安全造成极大危害。基于我国目前与人脸识别技术相关的立法及标准，作为金融企业的商业银行在未来使用人脸识别技术处理个人信息、进行产品场景设计时，应当重点加强以下几方面工作：

开展合法性评估。商业银行应基于场景考虑是否满足合法处理的要件，评估使用人脸识别技术的必要性。尤其是对于银行App各个功能模块之间需要进行人脸识别验证个人身份的领域，应考虑是否有替代方案。如果不能将人脸识别作为唯一验证个人身份的方式，银行还应提供其他方式供用户选择使用。

开展安全性评估。在进行人脸识别数据处理前，商业银行应积极进行数据保护影响评估，充分考虑使用人脸识别技术可能带来的影响及对个人信息主体可能带来的风险，需要注意加强技术措施和组织措施，加强风险防范措施，采取安全加密措施，确保采集的人脸信息安全。

开展处理规则评估。商业银行在进行客户人脸信息处理时，需要注意收集、传输、存储、公开等处理规则是否满足法律法规的要求。例如，在收集人脸信息时，需要在明确告知的情况下，获取个人信息主体的明示同意，并且收集最小必要的信息。如果是在银行网点等公众场所安装图像采集设备，需要设置显著标识。又如，在传输客户人脸信息时，应进行加密存储，存储时亦需要加密，而且原始信息与身份信息分开存储，如无必要建议只存摘要信息，删除原始信息;并将人脸识别信息标识为高度敏感个人生物识别信息，除非依据明确法律法规、遵循严格的流程制度，否则不能进行公开。