焦点访谈｜厘清“刷脸”边界 筑牢人脸信息的安全防线

admin

某酒店值班经理陈立彬：“您出示您的身份证，或者直接说一下预订人姓名，核实无误的话，拿身份证直接办理就行了，直接出房卡，也不需要人脸核对。”

记者走访北京、浙江等地，发现自6月1日《人脸识别技术应用安全管理办法》正式实施以来，办理入住已经不再需要采集人脸信息。而多数酒店也已弃用人脸采集设备。

出入小区是是否还需要人脸识别是大家关注的焦点。记者走访杭州多个居民区发现，虽然很多小区配备了人脸识别设备，但物业并没有把人脸识别作为唯一的进门方式，还可以采用刷卡、核对信息等多种方式进门。

除了对公共场所人脸识别技术应用的约束，《人脸识别技术应用安全管理办法》对特殊场景设定了严格的管理要求。规定任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。

一个位于上海的健身房，门口就有人脸识别设备，会员识别到信息后便能入场。在办法实施之前的一段时间里，无论是入口还是更衣室，健身房都只有人脸识别这一种验证身份的方式，这曾让消费者周女士感到不便。

当事人周女士：“2024年4月份，当时也觉得健身房的人脸识别挺方便的，后来我想想不对啊，更衣室有一个摄像头，那个摄像头我不知道它到底拍到我哪个地方，相当于在洗澡换衣服非常隐秘的地方放了一个摄像头，我觉得很不合理。”

然而，周女士的诉求并没有得到健身房的回应和整改，于是她起诉健身房来维护自己的权益。

随即，上海市闵行区检察院对相关行业主管部门进行建议与整改，健身房在被起诉后，便减少了摄像头的数量。

上海市闵行区检察院公益检察室检察官黎洪友：“经过调查以后发现，这个健身房存在两个方面的问题。第一个是在入口处，强制要求顾客必须使用人脸识别的方式来进入健身房；第二个方面，在地下一层的男女更衣室里面，分别设置了人脸识别设备，在这种私密的空间里设置人脸识别设备是完全没有必要的。”

《人脸识别技术应用安全管理办法》明确规定：应用人脸识别技术时，除了要具备充分的必要性，也要采取对个人权益影响最小的方式，并且不得将人脸识别技术作为唯一的验证方式。像周女士这样的公众诉求，有了更清晰的规章依据。

而在6月1日《人脸识别技术应用安全管理办法》正式实施后，记者发现，节目中所提到的这家健身房已进行了进一步的整改，更衣室取消了人脸识别；而健身房入口的闸机也可以通过手环通过。

专家还表示，要实现个人权益的最小影响，就要做到最小化的数据采集，而分类采集是一种有效的方式。

奇安信科技集团股份有限公司副总裁张庭：“在不同应用场景当中，应该采用不同的采集的等级。像最基础的只采集5个点，深度一点到68个点，高阶一点到106个点。从使用场景上，比如只是一个门禁的识别，不应该采集过深的数据；但是像金融、银行的转账人脸识别需要更加精准识别是你本人，可能采集的点会多一些。”

采访中记者了解到，很多人会关注人脸信息的采集是否合法，但并未关注到采集的信息数据去哪了。

《人脸识别技术应用安全管理办法》对数据的存储和传输提出了更加明确的要求，比如“人脸信息应当存储于人脸识别设备内，不得通过互联网对外传输”，体现了对网络攻击风险的高度警惕。

张庭：“本地化存储天然给网络攻击设很大的一个屏障，因为数据不用直接存储在云端，大多数情况下需要接触到这台设备，才有可能取到终端的信息，能做到物理隔离，极大降低数据泄露的风险和数据泄露的范围。”

记者注意到，《人脸识别技术应用安全管理办法》规定，人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。

办法实施后，记者跟随网信、公安等部门对浙江台州椒江区的小区、写字楼、酒店等场所的人脸识别系统开展巡查，发现有些单位人脸数据入侵防御不到位，有不少小区和写字楼的人脸数据存储密码过于简单，甚至存在自动登录的情况。

浙江台州市公安局椒江分局网络安全保卫大队民警周海龙：“要求设置包含字母、数字、符号的8位以上复杂密码，禁止弱口令；关闭自动登录系统；同时每3个月更换一次密码；安全管理者需落实‘最小权限原则’，非工作人员禁止接触存储设备。”

专家指出，一旦批量数据泄露，会引发巨大风险。如果信息持有者将个人识别数据与个人身份等敏感个人信息关联存储，还可能关联个人行为和交往规律，重构特定目标的“关系网”，进而带来更大的安全隐患。

张庭：“因为数据在这条整个商业的产业链里面能够变现。这是整个过程中最核心的点，变现途径。这个数据A公司买了，A公司卖给B公司、C公司，每个公司都有自己的一些数据，再把这些数据合并完成之后，做商业的推广也好，都能够产生比较大的经济收益。”

记者了解到，《人脸识别技术应用安全管理办法》延续了数据分类分级管理的思路，针对存储数量达到10万人的个人信息处理者，设置了网信部门备案的要求。

张庭：“因为整体数据量比较大，责任和义务就更大，所以对于量越大管理越严，这也是对于数据做分级分类要求的一个体现。中国的算法技术和人脸识别应用场景在全球是领先的，这次办法的出台，让我们进入了一个技术和质量并行的新阶段，推动人脸识别技术更好地造福于社会大众。”

人脸信息具有唯一性和终身性，一旦泄露，无法像密码那样更改。对此，我们应该强化人脸信息安全保护意识，对一些公共场所、手机应用提出的人脸信息采集保持谨慎态度。值得注意的是，关于人脸识别的授权，也有了更加人性化的保护原则。比如，基于个人同意处理人脸信息的，个人有权撤回同意，个人信息处理者应当提供便捷的撤回同意的方式。相信随着法制的进步和完善，人脸识别的问题将得到有效的治理和纠偏，真正让科技进步造福大众。