人脸识别新规生效：坚守最小必要原则，保护个人的“颜面”

2025年6月1日，国家网信办、公安部联合公布的《人脸识别技术应用安全管理办法》（下称《办法》）正式施行，其对应用人脸识别技术处理人脸信息的基本要求和处理规则、人脸识别技术应用安全规范、监督管理职责等作出规定，引发舆论关注，外界称之为“给‘刷脸’这一身份识别方式施上‘紧箍咒’”。

近年来，以人脸识别技术为支撑的“刷脸”广泛应用于多个生活工作场景，如“刷脸消费”“刷脸购票”“刷脸开门”，等等。这一技术在应用之初就被冠以“方便”“快捷”“便利”的溢美之词。

但在人脸识别技术的大规模应用之际，其弊端也越发突出。首先就是作为个人隐私的生物信息遭遇滥用与泄露风险。人脸数据、基因、指纹、虹膜等生物信息是不可更改的，一旦泄露就是终身泄露。这意味着，如果自然人同意“以隐私换便利”的话，那么可谓是终身便利伴随终身泄露，带来终身风险。在一些应用场景中，人脸识别带来的便利性有限，个人信息泄露的风险却很大，收益与风险严重不成比例。

人脸识别技术在应用中的安全性并非万无一失。此前就有小学生用照片骗过人脸识别系统的报道。尽管此后人脸识别技术进行了升级，增加了眨眼、张嘴、扭头等动作确认，但随着AI技术的发展，一张照片也可以动起来，完成人脸识别认证。最高法近日公布的典型案例也显示，犯罪分子能够利用非法获得的动态人脸图等个人信息，来解封游戏账号。

人脸识别技术的应用已呈现出滥用的趋势。比如，2022年苏州张女士状告开发商采集人脸信息侵权案中，房产开发商未经消费者同意，擅自安装人脸识别系统，收集储存和使用消费者的人脸信息。还有一些小区物业公司将小区门禁系统改为人脸识别验证，并强制业主录入人脸信息。这都侵犯了自然人的个人信息权，加大了人脸信息泄露的风险。

有鉴于此，人脸识别技术就有必要更加“慎用”，不能让不大的安全收益担上很大的安全风险。在“最小”原则之外尚有“必要”的原则。根据“必要”原则，只有确有必要、其他方式无法完成识别目的的时候，才应该使用人脸识别技术。对此，《办法》明确规定，实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。

比如，远程对个人金融账户进行大额转账、修改密码等重大敏感操作，有必要对用户进行严格的身份验证，而用密码等其他验证方式，不足以认定是客户本人操作，那就有必要使用人脸识别。而几元几十元的小额转账，用密码验证足矣，则无需人脸识别。有些支付软件，甚至推出了小额免密支付，对小额消费，连密码都不需要输入，可以直接付钱。而在小区出入等场景，显然并不必要使用人脸识别，完全可以使用IC卡、密码等方式验证业主的身份。

《办法》也对未成年人和老年人等的人脸信息保护和使用作出了特殊的规定。《办法》规定，处理未满十四周岁未成年人人脸信息，应取得其父母或其他监护人同意；处理残疾人、老年人人脸信息的，应当符合国家有关无障碍环境建设的规定。

“刷脸”认证方式流行，让那些并不熟悉“刷脸”的老年人与未成年人无所适从，等于是人为给他们安装了“数字壁垒”，沦为移动互联时代的“数字难民”。如果公共服务与公共资源都需要“刷脸”才能办理的话，那就等于剥夺了这批“数字难民”的一部分公民权利，是不甚妥当的。

2020年，“94岁老人被抱起做人脸识别”一事曾引发公众热议，这显示了“数字难民”面对无处不在的人脸识别，颇有无所适从之感。最近，也有媒体报道了瘫痪老人因为要重置账户密码被抬到银行进行刷脸、盲人办手机卡无法通过眨眼认证等事件。在这些案例中，即使法律规定需要人证一致才能办理业务，也完全可以通过工作人员人工验证的方式，而不是要求必须通过电脑系统的“人脸识别”，这一方面是照顾老年人等特殊群体，另一方面也可以留出足够的安全冗余度。

2021年11月1日起施行的《中华人民共和国个人信息保护法》将包括人脸信息在内的生物识别信息列为“敏感个人信息”，规定“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下”，方可处理敏感个人信息，实际上确立了“最小必要”的原则。而此次出台的《办法》，则着力于解决这一技术滥用、泄露隐私与安全风险的问题。在立法与执法上有效落实，或可更好地保护大家的“这张颜面”。

王兢

责编 辛省志