“十四五”规划建议提出，要完善中国特色社会主义法律体系，加强重点领域、新兴领域、涉外领域立法。从刑侦到移动支付、智能家居再到娱乐类APP，在信息化、数字化和智能化快速发展的大趋势下，人脸识别技术迅速广泛应用，搭建起确认由本人亲自实施的验证环境，有效解决电子支付、网络交易、网络申请公共服务等身份安全问题。但同时，人脸识别技术作为不需要个体主观同意就能采集生物特征信息的新型人机交互技术，引发了一系列问题：

1.人脸识别的风险溢出问题。一是识别破解风险。人脸识别原理其实就是人脸配准算法，通过“人脸图像”和“人脸坐标框”输出关键点坐标序列，点数越多即安全性越强，对应的搭载成本也越高，所以在很多公共领域甚至是出入口控制系统中应用的人脸识别技术安全性较低，被破解风险较大。二是信息泄漏风险，人脸识别技术当前依旧要通过特定的代码来翻译、筛选对象，这种固定的代码会让黑客有迹可循，人脸数据作为最关键的生物特征数据，一旦在信息流转和管理过程中被反制性技术手段攻击，就可能出现盗用资金、违法认证等恶性公共事件，进而触发溢出风险效应。

2.人脸识别技术的权界问题。当前，我国尚未通过立法划定人脸识别技术的应用边界，致使几乎每一个生活和公共服务领域都有使用案例，由此衍生出的伦理和法制层面的争议较为突出。一是非必要性。物业、公司、景区等公共场所运用人脸识别技术，甚至将人脸识别作为唯一有效的识别追踪方式，强制公众让渡个人隐私信息，严重违反了个人信息使用的必要性原则。二是缺乏法律规范。在我国，关于个人信息保护的条款散见于《网络安全法》《刑法》《加强网络信息保护的决定》等，导致该技术在二级市场“硬着陆”，野蛮无序生长。而美国和欧洲，已有细节性条款在法律层面先行探索。

为此，建议：

1.建立行业准入和分级管理制度。根据使用主体、使用目的、运营能力、必要性等因素，对人脸识别机构和行业应用领域进行分级管理并授予不同权限。一是按适用性和必要性原则划分适用领域、非适用领域，引入资格查审机制，避免技术滥用。人脸识别机构和适用机构要具备信息储存、安全防御等能力，相关技术领先和行业标杆企业要发挥引领作用，推动行业的最佳合规实践。二是将信息储存等级分为永久储存、固定期限储存、一次性储存三种。“公用”方面，国家安全部门和公安部门等机构可永久性储存人脸信息，学校、医院、工作单位等机构可在固定期限内储存人脸信息，基于特定公共利益的政府部门可根据实际情况设定存储期限。“商用”方面，金融、教育等服务机构以及景区、公园等盈利性场所只能一次性储存人脸信息。

2.推进建设人脸识别技术国家标准。在人脸信息采集、使用、流转、储存、销毁等多方面制定技术规范，并根据不同场景、领域和不同使用目的，对采取人脸识别的安全等级做明确要求，以确保人脸识别技术在全生命周期中得到安全运用。此外，在采集人脸信息时，要采取单独告知的方式和明示同意，不能默许同意；除国安、刑侦、防疫等特定公共用途外，原则上不允许将人脸识别作为唯一有效的识别追踪方式，不允许共享或转让相关信息。

3.发挥行业协会商会积极作用。一是持续推动人工智能领域自律管理工作，号召行业企业共担个人信息保护的社会责任，兜住行为底线，防止出现“劣币驱逐良币”风险。二是建立相关机构、厂商间交流共享机制和发展联盟，提升人脸识别系统解决方案供给能力和核心技术研发，共同完善人脸识别技术安全保障和防御体系，降低破解风险和信息泄漏风险。

责任编辑：管理员