打開手機，上海市民陳寬發現，每天需要進行人臉識別的App太多。“從手機銀行App到購物軟件，從化妝類App到游戲防沈迷……一天下來，臉要被掃十幾次。”

　　對此，陳寬感到頗為擔懮：“雖然有些App使用人臉識別是出於使用需求和安全考慮，但也並沒給我們拒絕使用的權利，這是否屬於人臉識別技術被濫用？隨著人臉識別技術的應用越來越廣泛，會不會導致個人信息泄露？”

　　陳寬的擔心並非毫無道理。《法治日報》記者了解到，人臉信息是具有不可更改性和唯一性的生物識別信息，容易被犯罪分子竊取利用或者制作合成，破解人臉識別驗證程序，侵害隱私、名譽和財產，由此引發的案件也不在少數。

　　那麼，為何許多手機App會采用人臉識別技術？在使用過程中，應該如何防止該技術被濫用？近日，記者對此進行了采訪。

　　人臉識別廣泛應用

　　個人信息存在風險

　　想知道這個月賬單明細，要先刷臉驗證身份；進站乘坐地鐵，不用掃碼或購票，刷臉即可入站乘車；想辦理相關業務，先刷臉注冊賬號……記者在調查中發現，從金融類、電商類到出行類、美圖娛樂類，很多類型的App中都能找到人臉識別的痕跡。

　　2022年2月，有媒體對人臉識別技術相關問題進行調查，從使用頻率來看，超過九成的參與調查者在生活、工作中會使用到人臉識別技術。其中，44.95%的參與調查者經常使用，48.88%的參與調查者偶爾使用。

　　調查還提到，自個人信息保護法實施後，有近四成參與調查者認為人臉識別技術濫用情況有好轉。

　　但記者發現，目前在支持人臉識別功能的App中，仍有部分App沒有明確的人臉識別使用協議，在人臉識別功能中沒有征得用戶同意。

　　在用戶個人隱私政策裡，雖然包含采集人臉識別等信息，但也有App並未在形式上加以突出，讓用戶清晰意識到人臉信息等生物識別信息被采集，而是將“人臉信息”與姓名等一般個人信息相混淆。

　　記者選取了10款熱門消費金融類App進行個人信息保護合規實測，發現不少金融消費類App均為人臉識別功能提供單獨授權頁面並設專有規則，但也有部分App則將人臉識別的單獨同意與相機功能設為同一授權。此外，還有部分App采用“不點擊同意人臉識別就不提供服務”的方式，強行收集用戶個人信息。

　　南都人工智能倫理課題組發布的《人臉識別應用場景合規報告(2021)》(以下簡稱《報告》)顯示，其對20款移動端人臉識別應用的合規情況進行了測評分析，其中六成具有人臉識別功能的App沒有單獨的人臉識別規則，很多App人臉識別規則沒有告知存儲時限或位置，僅有6款App提及人臉信息存儲情況。

　　《報告》還顯示，20款App中，16款對個人信息做了信息加密和傳輸加密處理，另有4款娛樂特效App存在問題。比如某App的“AI換裝”功能是通過用戶上傳照片，然後選擇視頻模板後可生成一段換臉視頻。但由於沒有加密措施，用戶的換臉視頻的鏈接可被公開訪問。這意味著，換臉視頻可能被任何人獲取，存在個人信息泄露風險。

　　“人臉識別技術的出現和應用，在很大程度上提昇了用戶認證的效率和准確性，因而逐步取代了傳統密碼、驗證碼等認證方式，在金融支付、交通出行、門禁考勤等領域得到了廣泛應用。”內蒙古大學法學院講師李東方告訴記者，目前對於App中使用人臉識別技術，法律法規並沒有專門的禁止性規定，但是不能違反現行法律規范的相關規定。

　　李東方說，此類敏感個人信息的儲存、傳輸、分析、轉讓、刪除等環節，也應當滿足更為嚴格的要求，如全國信息安全標准化技術委員會2022年出臺《信息安全技術 人臉識別數據安全要求》等，切實保護個人信息安全。

　　據上海瀛東律師事務所合伙人、瑞中法律協會顧問胡鵬介紹，人臉識別屬於敏感個人信息，個人信息保護法明確規定，只有在具有特定的目的和充分的必要性，並采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。民法典和網絡安全法中也均規定了收集和處理個人信息的“最小必要原則”。

　　人臉信息一旦泄露

　　個人權益易受侵害

　　“在生活中，人臉識別技術確實具備獨特的優勢。但作為敏感個人信息的人臉信息一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害，值得警惕。”李東方說。

　　去年12月7日，最高人民檢察院發布了5件依法懲治侵犯公民個人信息犯罪典型案例，其中一起就是李某利用“顏值檢測”軟件侵犯公民個人信息。

　　據了解，李某是某網絡科技有限公司軟件開發人員，他將自己制作的“顏值檢測”軟件發布在某論壇，供網友免費下載安裝，以此方式竊取安裝者手機相冊照片1751張，其中含有人臉信息、姓名、身份證號碼、聯系方式、家庭住址等公民個人信息100餘條。

　　那麼，如何纔能防止人臉識別技術濫用？

　　2021年7月，最高法相關負責人就審理使用人臉識別技術處理個人信息相關民事案件的司法解釋回答記者提問時曾指出，自願原則是民法典的基本原則，個人的同意必須是基於自願而作出。特別是對人臉信息的處理，不能帶有任何強迫因素。

　　相關司法解釋規定，信息處理者采取未單獨征求用戶同意、強制刷臉等方式處理用戶人臉信息的行為，在相關民事訴訟案件中都會被認定屬於侵害自然人人格權益的行為。

　　“上述規定在很大程度上保護了用戶在人臉識別技術應用過程中的權益。但現實是，在許多人臉識別技術濫用的場景中，用戶往往只能被迫接受，大多並不會提起訴訟，維護自身合法權益。”李東方認為，如何進一步細化相關規定，還需要法律研究者和立法者進行更多的思考。

　　中國政法大學傳播法研究中心副主任朱巍說，人臉識別不單是涉及人的長相，還關聯著個人財產信息、金融信息以及家庭成員相關信息。用戶隱私協議中，不能僅用一句話簡單說明要保護個人信息，還應當載明在什麼情況下采集個人信息、如何采集、如何使用、如何刪除等內容。

　　對此，胡鵬建議采取一系列相關的措施，比如就人臉識別和人臉圖像處理等事項進行單獨彈窗以獲得單獨同意，App在征得個人同意時明示處理個人信息的目的、方式和范圍，個人信息主體享有撤回授權的權利，以及不得頻繁地彈窗以獲得個人同意等。

　　在接受記者采訪的專家看來，人臉識別或人臉圖像等相關信息不僅涉及個人隱私，還涉及生物學特征，不法分子如果獲得相關人臉圖像，可能冒用他人身份從事不法活動。

　　強化監督執法力度

　　完善行業自律機制

　　如何纔能更安全使用人臉識別技術，讓其給生活帶來更多便利？

　　今年廣東省兩會期間，民革廣東省委向大會提交的集體提案《關於加強廣東省人臉識別監管的建議》提出，要完善行業自律監督機制。

　　其中指出，人臉識別技術產業是高新產業，隨著互聯網大數據時代的發展而發展，但相關行業內的企業良莠不齊，建議監管機構對要進入人臉識別行業的企業進行資金、技術方面的核查，減少低質量企業的進入，更好地保護公眾的信息安全。同時，建立相關行業協會，設立人臉識別技術行業標准，通過行業內部監督，減少對人臉信息的侵權行為。

　　1月16日，由中國信息通信研究院雲計算與大數據研究所、可信人臉應用守護計劃(以下簡稱護臉計劃)、中國通信標准化協會TC602聯合主辦的“護臉計劃2022年度成果發布會”在雲端召開，在護臉計劃最新一輪評測結果中，有多家企業及產品通過“人臉識別安全專項評測”“金融App人臉識別安全能力評測”“人臉識別系統保護人臉信息專項評測”等。

　　護臉計劃由中國信息通信研究院雲計算與大數據研究所在2021年4月發起，聯合企業、金融機構、法律機構和學術團體，共同推動人臉識別生態安全和合規共治。截至2022年底，護臉計劃成員單位達到148家。

　　“護臉計劃”專家委主任、公安部信息安全等級保護評估中心原副主任畢馬寧在致辭中指出，人臉識別目前是隱私保護和人工智能技術應用發生矛盾的焦點，產業發展面臨三方面風險，分別是技術不過關、應用不合理和管理不到位。

　　“人臉識別近些年纔被廣泛使用和發展，而我國的相關立法也在不斷完善的過程中。”胡鵬說，目前，我國相關立法還較為分散，各個法律法規之間的銜接需要進一步明確。一些上位法的規定較為籠統，如個人信息保護法規定，將由國家網信部門統籌協調有關部門推進人臉識別技術的個人信息保護工作，並制定專門的與人臉識別技術相關的個人信息保護規則、標准，而較為具體的操作指引則規定在非強制性的國家標准中，這些非強制性國家標准的效力究竟如何認定，也有待司法實踐進一步明確。

　　在李東方看來，目前部分App廠商大肆收集利用人臉信息明顯有違現有的法律規定，但囿於個人維權困難等原因，相關監管部門還是要加大執法力度，做好人臉識別在多應用場景中的事中監管，盡早及時發現違法行為並依法處置。在事後救濟方面，也要充分發揮檢察機關在個人信息保護公益訴訟的作用，充分發揮法律對行業和相關技術的應用的指導作用。

　　“總體上，在法律規范制定的過程中，既要促進人臉識別技術在應用場景中讓用戶受益，保障技術不斷創新進步，也要將人臉信息的安全放在重要位置，將技術可能造成的潛在風險降到最低。”李東方說。