中经联播6月10日北京讯(李新民 王硕新)人脸识别设备前,我们每一次无意识的面部扫描,都可能成为个人信息安全防线的裂缝。
“刷脸解锁、刷脸支付、刷脸进小区……当‘刷脸’成为生活常态,一些‘强制刷脸’‘无感抓拍’等不当使用乱象以及人脸识别数据滥用等安全风险也日益凸显。”2025年6月10日,国家安全部发布警示,人脸信息泄露可能导致“被贷款”“被诈骗”等严重问题**,提醒公众守好“刷脸”安全防线。
就在九天前,《人脸识别技术应用安全管理办法》正式实施。这部由国家网信办和公安部联合发布的规章,首次全面规范了人脸识别技术的应用边界。
新规落地:人脸信息安全防线全面升级
2025年6月1日,《人脸识别技术应用安全管理办法》结束两个多月的缓冲期正式生效。这部规章针对人脸识别技术的安全应用划出了清晰边界。
新规中最引人注目的是对“强制刷脸”的明确禁止:“实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式”。
这意味着小区门禁、商场会员系统等场景中常见的“不刷脸不让进”现象将成为历史。
新规还划定了人脸识别的空间禁区:任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。这一规定直接回应了此前备受争议的“刷脸开房”等问题。
对于数据存储这一关键环节,办法要求“除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输”。这一规定从技术上限制了人脸数据的远程盗取风险。
隐秘风险:当人脸信息成为犯罪工具
在享受“刷脸”便利的同时,公众可能并未意识到自己正面临的新型风险。国家安全部在6月10日的警示中详细列举了当前人脸识别技术应用中的三大安全隐患。
人脸信息被“强制”收集成为首要问题。部分场景强制要求人脸识别作为唯一验证方式,个别商家、机构违反个人信息必要原则,通过强迫、捆绑方式收集人脸识别数据。
更隐蔽的风险在于人脸图像的不当存储和传输。人脸图像包含丰富的信息,高精度图像甚至能捕捉虹膜、唇纹等生物特征。当这些数据与个人身份关联存储,就可能重构特定目标的“关系网”,带来难以估量的安全风险。
最直接的威胁是人脸数据的非法使用。一些不法分子通过窃取人脸信息,冒充用户身份进行账户注册、实名认证、刷脸支付以及网络贷款,导致受害者“被贷款”“被诈骗”的案例时有发生。更严重的是,这些信息还被用于洗钱、涉黑等违法犯罪活动。
特殊保护:守护弱势群体的人脸安全
《管理办法》特别关注未成年人、老年人和残疾人等群体的人脸信息安全。
对于不满十四周岁的未成年人,办法设立了双重保障:基于个人同意处理其人脸信息的,应当取得父母或其他监护人的同意;个人信息处理者还必须在存储、使用、转移、披露等方面制定专门的处理规则。
老年人和残疾人群体则面临另一重困境——技术使用障碍。办法规定,处理这些群体的人脸信息时,“应当符合国家有关无障碍环境建设的规定”。这意味着相关系统设计必须考虑特殊需求,不能将无法正常“刷脸”的人群拒之门外。
“未成年人由于身心发育特点,对人脸识别的风险缺乏必要的认知和警惕性,甚至因好奇心驱使而轻易向平台提供其人脸信息。”一位数据安全专家指出,“这些信息一旦被泄露或盗用,可能导致其成为绑架拐骗等犯罪行为的受害对象”。
企业责任:从备案管理到技术防范
新规为处理人脸信息的企业设立了明确责任门槛。办法规定,人脸信息存储量达到10万人的企业,需在30个工作日内向省级以上网信部门备案。
备案材料包括企业基本情况、人脸信息处理目的和方式、存储数量和安全保护措施、处理规则和操作规程以及个人信息保护影响评估报告。这一要求将使人脸信息处理者从“幕后”走到监管“台前”。
在技术层面,企业必须建立多重防护体系。人脸识别技术应用系统应当**采取数据加密、安全审计、访问控制等措施**保护人脸信息安全。
对于涉及网络安全等级保护、关键信息基础设施的,还需履行相应保护义务。
“建立严格的访问控制机制,定期对人脸识别系统进行安防检查,采用防火墙、入侵测试系统、入侵防御系统等网络安全设备,保护人脸识别系统免受网络攻击。”国家安全部在技术防范建议中特别强调。
公民防线:“非必要不提供”的自我保护法则
在法治规范和技术防范之外,个人防范意识的提升是筑牢人脸信息安全防线的关键一环。
国家安全部提示公众应谨记“非必要不提供”原则,在授权使用面部识别前确保其用途、范围以及信息保护措施,选择正规网络平台和软件。
当遇到强制人脸识别要求时,办法赋予公民明确的选择权:“个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式”。这意味着公民可以合法拒绝“不刷脸不服务”的强制要求。
公民还拥有投诉举报的维权渠道。任何组织、个人有权对违法应用人脸识别技术处理人脸信息的活动向履行个人信息保护职责的部门进行投诉举报。
相关部门收到投诉举报后,应当依法及时处理并将结果告知投诉举报人。
人脸信息存储量超过10万的企业,需在30个工作日内向省级以上网信部门备案。目前全国已有超过2000家企业提交备案申请,其中金融、安防和互联网平台企业占比最高。
在河北某智能科技公司,技术人员正在升级人脸识别终端设备的加密模块。“新规实施后,我们全部产品都改为本地存储模式,人脸数据不出设备,即使设备被盗也无法还原原始人脸信息。”公司安全总监介绍。
人脸识别技术曾如脱缰野马般闯入我们的生活,如今终于被套上法治的缰绳。当技术创新与隐私保护的边界日渐清晰,那张无形的“脸”才能真正安全地融入数字时代。
