啟用超市儲物柜、進入小區樓宇……輕輕一掃人臉，方便又快捷。如今，人臉識別在日常生活中的應用場景越來越多。

然而便捷的背后，濫用人臉識別帶來的風險也不容忽視。去購物，有的商家悄悄對人臉信息進行數據統計分析，以便實現精準營銷；進小區，有的物業將人臉識別作為唯一驗證方式；有的服務商甚至強制將錄入人臉信息作為提供服務的前置條件……

濫用人臉識別將帶來哪些隱患和危害？使用人臉識別的法律邊界在哪？如何治理人臉識別濫用現象以更好地保護個人信息？

危害

人臉信息一旦泄露，將很難得到有效救濟

2021年初秋，浙江省湖州市一名游客通過“益心為公”檢察云平臺，提交了一條景區涉嫌侵害游客人臉信息的舉報線索。收到線索后，最高人民檢察院將該線索移交給浙江省人民檢察院。

浙江省湖州市人民檢察院成立專案組立案調查，電子取證后發現——景區現場購票除要求游客提供身份證外，還強制要求游客進行刷臉認證。與此同時，景區運營公司并未對儲存在服務器中的游客人臉信息設置定期清除機制。

除了強制刷臉，更值得關注的是，人臉信息采集具有遠距離、非接觸、無感的特征，很可能在渾然不知的情形下，人臉信息已然被惡意獲取。

2022年底，上海市普陀區人民檢察院發現，轄區內有超市為應對物品失竊、惡意索賠等情況，在超市出入口安裝采集消費者人臉信息的攝像頭及相關設備。在其中一家超市的人臉數據處理設備上，可以清楚地看到每名消費者的進出信息，該設備還會對消費者的消費數據進行分析并予以差異化提示，有消費者還被打上了“疑似小偷”等標簽，而消費者對此毫不知情。

濫用人臉識別會帶來哪些隱患和危害？“人臉信息一旦泄露，將很難得到有效救濟。相較于數字密碼等信息，人臉信息這樣的生物特征具有唯一性、難以改變的特性。密碼丟失尚可更改，但‘換臉’卻很難實現?！北本┐髮W法學院教授薛軍認為，濫用人臉識別，將讓人更“透明化”。無論是個人經濟價值，還是個人隱私，都將被精確計算。

薛軍解釋，人臉數據的準確抓取，疊加強大的算法分析，個人的經濟價值被精準定義，或用于實現精準營銷、大數據殺熟等利潤攫取。此外，如果人臉抓取無處不在，個人的出行軌跡、人際關系、財產利益等個人信息都將暴露。

“更關鍵的是，人臉識別的濫用，將容易形成‘我還是我嗎？’的困境?！毖娬f，依托被抓取的人臉信息和AI換臉技術，敲詐勒索、電信網絡詐騙、網絡暴力等違法犯罪活動更易發生。近日，內蒙古包頭警方發布一起利用AI實施電信詐騙的典型案例——郭先生的“好友”通過微信視頻聯系他，稱自己的朋友在外地競標，想借用郭先生公司賬戶走賬。通過視頻聊天“核實”身份后，郭先生遂將430萬元轉給“好友”。但事實上，該“好友”是犯罪分子用AI換臉假冒的。

邊界

應當遵循合法、正當、必要原則，不得過度處理

防止人臉識別被濫用，依法保護人臉信息，需要明晰其合法使用的邊界在哪里。

民法典規定，自然人的個人信息受法律保護，同時將生物識別信息列舉為個人信息。北京德和衡律師事務所律師陳江濤說，根據民法典第一千零三十五條的規定，處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；（二）公開處理信息的規則；（三）明示處理信息的目的、方式和范圍；（四）不違反法律、行政法規的規定和雙方的約定。

2021年7月28日，最高人民法院發布關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定，對人臉識別的應用場景、使用目的、責任認定等作出規范。在民法典第一千零三十五條的基礎上，進一步將“同意”細化為“單獨同意”。根據該司法解釋，信息處理者采取未單獨征求用戶同意、強制刷臉等方式處理用戶人臉信息的行為，在相關民事訴訟案件中都會被認定屬于侵害自然人人格權益的行為。

針對備受關注的濫用人臉識別技術問題，個人信息保護法第二十六條規定，在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的；取得個人單獨同意的除外。

在陳江濤看來，針對防止濫用人臉識別、依法保護人臉信息，相關法律已經明確了基本原則、厘清了邊界，織就起較為完備的“法律保護網”。但針對人臉信息“無感知收集”“一攬子收集”等現實情況，仍可采取更多舉措予以更詳細清晰地規范。例如，就人臉識別和人臉圖像處理等事項，可進行單獨彈窗以獲得單獨同意；APP在征得個人同意時應明示處理個人信息的目的、方式和范圍等；個人信息主體享有撤回授權的權利，以及不得頻繁地彈窗以獲得個人同意等。

治理

須強化執法司法力度，完善行業自律機制

如何治理人臉識別濫用？強化執法司法力度是關鍵。

“景區強制游客錄入人臉信息的行為已經超過了正常經營需要，經過聚集后的海量信息在沒有嚴格監管制度、技術措施保障下，面臨違規使用和被泄露的風險，嚴重危害了社會公共利益?！焙菔心蠞^人民檢察院第五檢察部主任趙坤堯說，根據民法典、個人信息保護法等相關法律法規規定，人臉屬于生物識別類敏感個人信息，服務場所經營者對此類信息的采集應出于維護公共安全的需要，并保障公民的知情權、決定權、選擇權、刪除權，任何一項都不得侵害。

對此，浙江省三級檢察院會同當地旅游度假區管委會、景區運營公司召開磋商會，并邀請浙江省消費者權益保護委員會相關工作人員和法律專家參加。磋商會上，大家一致認為，景區運營公司應刪除前期采集儲存的人臉信息數據，規范人臉信息的收集和使用。同時，湖州市檢察院與市網信辦開展磋商，市網信辦對景區運營公司提出整改要求。隨后，湖州市檢察院向景區運營公司制發檢察建議，最終該景區前期采集、儲存的120萬余條游客人臉信息被完全刪除。

“人臉識別技術產業是高新產業，但相關行業內的企業良莠不齊，監管機構應對行業企業加強監管核查?！毖娊ㄗh，建立相關行業協會，設立人臉識別技術行業標準，通過行業內部監督，減少對人臉信息的侵權行為。

2021年4月，中國信息通信研究院云計算與大數據研究所發起“可信人臉應用守護計劃”，聯合企業、金融機構、法律機構和學術團體，共同推動人臉識別生態安全和合規共治。截至2022年底，該計劃成員單位達到148家。今年1月，在“可信人臉應用守護計劃”最新一輪評測結果中，有多家企業及產品通過“人臉識別安全專項評測”“人臉識別系統保護人臉信息專項評測”等。

“我國人臉識別的相關立法也在不斷完善，但各個法律法規之間的銜接需要進一步明確；一些上位法的規定較為籠統，還需要制定完善專門的與人臉識別技術相關的個人信息保護規則、標準等?！标惤瓭J為，在完善法律的過程中，既要促進人臉識別技術在應用場景中讓用戶受益，保障技術不斷創新進步，也要將人臉信息的安全放在更重要位置，將技術可能造成的潛在風險降到最低。