近年來，人臉識別技術不斷成熟，已大量應用于治安管理、金融支付、門禁考勤等諸多領域，極大便捷了公眾生活。然而，人臉識別技術在得到廣泛應用的同時，仍存在一些不規范現象。人臉識別因其技術特點，涉及公眾敏感個人信息，其不規范應用易引發一系列安全隱患，可能導致公民隱私權、財產權受到威脅。在此背景下，中央網信辦適時出臺了《人臉識別技術應用安全管理規定（試行）（征求意見稿）》（以下簡稱《規定》），從政策法規層面為規范人臉識別技術應用、保護個人權益、維護公共利益指明了方向。

01 《規定》明確人臉識別技術應用安全要求

此次出臺的《規定》共二十五條，解答并回應了公眾廣泛關注的人臉識別技術濫用等諸多問題，對相關組織或個人如何規范使用人臉識別技術提出了具體安全要求。

一是，明確“非必要，不使用”原則，不得濫用人臉識別技術。 針對濫用人臉識別技術進行身份認證，如部分APP在用戶登錄過程中，強制或誘導用戶注冊、使用人臉識別技術進行身份驗證等行為，《規定》第四條明確了“非必要，不使用”的原則，并指出“優先使用國家人口基礎信息庫、國家網絡身份認證公共服務等權威渠道”進行身份信息認證。

二是，使用人臉識別技術應告知個人獲取同意，并遵循自愿原則。 針對人臉識別技術使用者未經個人同意采集人臉信息的行為，《規定》第五條提出，人臉識別技術使用者應取得個人的單獨同意或者依法取得書面同意，方可使用人臉識別技術處理人臉信息，法律、行政法規規定不需取得個人同意的除外。《規定》第九條指出，在使用人臉識別技術認證個人身份時，應確保個人自愿選擇、充分知情、主動參與，并在驗證過程中以語音或文字明確提示身份驗證的目的。

三是，明確數據“最小存儲”原則，不得存儲原始人臉圖像。 針對人臉識別技術使用者不規范存儲人臉識別數據的現象，《規定》第十七指出，人臉識別技術使用者在存儲人臉識別數據時，不得保存人臉原始圖像、圖片、視頻，《規定》十八條明確提出，人臉識別技術使用者應盡量避免采集與提供服務無關的人臉信息，因現實或技術等原因無法避免的，應當及時刪除或者進行匿名化處理。

02 標準支撐《規定》細化落地

我國網絡安全國家標準構筑了個人信息保護的標準體系，GB/T 41819-2022《信息安全技術 人臉識別數據安全要求》（以下簡稱“GB/T 41819-2022”）專門圍繞人臉識別重點安全問題提出了細化安全要求，該標準已于今年5月正式實施。GB/T 41819-2022全面針對人臉數據濫采、泄露或丟失、過度存儲和使用等突出問題，提出了具體的安全要求，可以對《規定》細化落地起到全面技術支撐作用。

《規定》第七條、第八條中，提出對人臉、身份信息等采取嚴格保護措施，防止信息泄露的相關要求。在GB/T 41819中，標準第七章、第八章、第九章、第十一章都有相關技術標準條款能夠幫助落實《規定》在該方面的要求。標準中，一是提出使用者在數據存儲階段需要采取數據隔離、加密存儲等措施；二是提出在數據使用階段應采取及時刪除人臉圖像、優先使用本地人臉圖像等措施；三是提出在數據傳輸過程使用加密傳輸協議、數據校驗等手段；四是提出數據使用結束后的刪除處理要求，并給出了詳細的操作規范。

《規定》第五條中，提出使用人臉識別技術告知個人并獲取同意方面的要求。在GB/T 41819中，標準第六章有較為細化的條款能夠幫助落實《規定》在該方面的要求。標準中，一是明確了采集人臉識別數據前需向個人告知的具體信息范圍，包括但不限于數據處理者及個人信息保護負責人的名稱和聯系方式、處理規則、必要性依據等；二是給出了在識別過程中應持續告知數據主體驗證目的的具體技術要求；三是提出人臉數據采集技術上應使用需個人主動配合的方式，以達到從技術上實現充分告知個人的目的。

GB/T 41819總共包含十一章40條，基本覆蓋《規定》各項條款，有關單位、個人在理解和落實《規定》各項要求過程中，都能從GB/T 41819找到技術參考。

03 小結

《規定》征求意見稿的適時出臺，是我國加強人臉識別技術應用治理、促進相關產業安全健康發展的重要舉措，是保障我國人民群眾個人信息安全的重要措施。人臉識別技術使用者、產品或者服務提供者應當嚴格落實《規定》相關要求，借鑒參考GB/T 41819《信息安全技術 人臉識別數據安全要求》等網絡安全國家標準做好技術改進、安全提升，共同促進人臉識別技術應用邁入安全有序的新發展階段。