AI时代 新规守护你的脸

郑州市公安局经开分局明湖派出所民警在辖区宾馆开展人脸信息安全保护相关检查和普法。河南日报社全媒体记者 王富晓 摄

确山县检察院检察官就小区入口刷脸问题展开“回头看”。 经蕊溪 摄

　　“科技发展归根到底是为人类社会服务，人脸作为生物识别信息的使用边界，应该是以不干扰个体的正常行为和合法权益为前提和基础。”

　　□本报记者 朱殿勇 周晓荷

　　清晨，在刷脸打开手机中开启新的一天；中午，对着屏幕眨眨眼，外卖订单支付完成；晚上，小区门口扫扫脸，“滴”的一声，大门自动开启……如今，“靠脸”场景深入百姓生活。

　　但，当你的面庞成为裸奔的密码、当不法分子对人脸信息明码标价、当AI刹那间就能改头换面盗用身份……“靠脸”这件事儿，还真不太靠谱。

　　近年来，滥用人脸识别技术带来的个人信息泄露事件频发，引发了社会普遍关注。近日，国家互联网信息办公室、公安部联合发布《人脸识别技术应用安全管理办法》（以下简称《办法》），于6月1日起施行。作为个人信息保护法律体系的重要组成部分，《办法》针对人脸识别技术应用过程中的数据安全、个人隐私保护以及技术规范等方面提出具体要求，打响了AI时代的人脸保卫战。

　　现状 刷脸自由暗藏泄露危机

　　一筐鸡蛋、几瓶洗衣液，竟成撬动个人信息安全的杠杆。2024年12月23日，一起侵犯公民个人信息案在孟州市法院宣判，宣告这起横跨数省的新型网络犯罪落下帷幕。

　　2023年5月，孟州市化工镇敬老院门前支起了医保便民服务点，身着仿制制服的所谓工作人员卖力吆喝：“刷脸激活电子医保卡，立即领10枚土鸡蛋！”

　　大叔大娘们顺着不法分子的指引完成操作，却不知个人信息已经暴露。办理该案的孟州市检察院检察官马伟华介绍，犯罪嫌疑人李某、马某等人借医保电子凭证推广之机，冒充工作人员帮助村民激活电子医保卡，通过拍摄身份证照片、人脸识别等方式非法窃取公民个人信息，并将其用于账号实名认证，这些账号又被用来洗钱、诈骗等。

　　检察机关迅速向公安机关反映相关情况。经侦查，公安机关先后抓获犯罪嫌疑人24人，查明涉案违法所得600余万元。由孟州市检察院提起公诉，24人分别被判处有期徒刑三年九个月至九个月不等。

　　泄露风暴引发脸面危机，并不罕见。郑州公安机关也打掉了一个非法收集贩卖动态人脸等公民个人信息的犯罪团伙。以焦某为首的某网络公司组织员工白某等人，通过发展劳务公司老板、在校学生等为代理的方式，以薅羊毛为诱饵开展非法推广活动，收集动态人脸等高度敏感信息400余套，用于注册网站商铺账号，并将账号和整套公民信息以每套千元以上价格贩卖，从中牟利。

　　“人脸具有独特性、直接识别性、方便性、不可更改性等特征，这直接决定了人脸识别技术的特殊性和复杂性。”河南中砥律师事务所律师黄允说，人脸识别技术作为一种生物信息识别技术，在金融、交通、消费、安全与公共管理等领域得到了广泛应用，深刻改变了人类世界的生产生活方式，但它在给公众带来便利的同时，也存在着个人信息泄露、隐私侵犯甚至威胁公共安全的风险隐患，迫切需要系统性的法律法规对技术应用加以规范。

　　黄允介绍，此前，人脸识别技术的使用规范散见于法律法规、司法解释、国家标准等文本中。法律法规层面，《中华人民共和国个人信息保护法》等提出了包括生物识别信息在内的敏感个人信息处理规则；司法解释层面，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》明确了违规处理人脸识别信息的行为；国家标准、行业标准层面也陆续出台了一些相关技术应用要求。《办法》的施行，标志着我国在全场景下个人信息保护法律体系的进一步完善，在促进全社会合法处理个人生物识别信息方面具有重要意义。

　　新规 兼顾个人便利与隐私

　　小区门禁变强制陷阱、公共场所里无感“收割”……在这个刷脸时代，便利与隐私是否真是难以兼得的“鱼与熊掌”？

　　采访中，多名信息技术从业者和法律人士告诉记者，“告知—同意”是个人信息保护核心规则，通俗来说就是：只要不告知、不同意，你的人脸信息就不能被处理。但现实生活中，个人信息保护核心规则往往被不同程度弱化，需要司法和行政力量的介入。

　　确山县检察院在一次公益诉讼案件线索巡查中了解到，部分物业违规采集数千名业主人脸信息，并将其录入门禁系统作为出入小区的唯一识别方式。随后，该院扩大摸排范围，发现县城15家带门禁系统的物业均不同程度存在类似问题，且在采集人脸信息时未依法履行告知义务，采集业主人脸信息后管理随意，极易造成个人信息泄露。

　　就此，确山县检察院依法向相关部门发出诉前检察建议，督促其履行监管职能，切实维护业主合法权益。相关部门收到检察建议后，积极督促各小区物业健全管理制度，加强行业规范。4月15日，检察官就整改情况再次回访，发现部分小区与业主签订采集人脸信息协议，制定了个人信息保护规章制度，部分小区增设了非生物识别验证出入方式。

　　保护人脸安全，法律在线。

　　不得强制刷脸——《办法》明确：实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式；个人不同意通过人脸信息进行身份验证的，应当提供其他合理、便捷的方式。

　　不能偷偷刷脸——《办法》的另一个看点，是对安装人脸识别设备场所的规定，明确：在公共场所安装人脸识别设备，应当为维护公共安全所必需；任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备，这也与今年4月1日新施行的《公共安全视频图像信息系统管理条例》内在理念一致。

　　“在处理者应用人脸识别技术处理人脸信息时，‘目的明确’和‘最小必要’是降低安全风险最有效的途径。”黄允认为，《办法》通过正向确定和反向排除的方式，对人脸使用作出明确规定，给公众对“刷脸”说不的底气。

　　相关部门积极行动。3月28日，中央网信办、工业和信息化部、公安部、市场监管总局联合发布公告，将开展2025年个人信息保护系列专项行动，明确将“公共场所违法违规收集使用人脸识别信息”作为重点问题之一。

　　“客人办理自助入住，要设置‘人脸信息采集告知提示”“物业不能强制业主刷脸，要提供刷卡、密码等其他进入小区的渠道……”4月15日，郑州市公安局经开分局明湖派出所社区民警深入辖区宾馆、小区、写字楼等场所，宣传新发布的《办法》。在一居民小区，民警吴庆奇帮助住户关闭手机APP中非必要的人脸识别权限，“人脸信息一旦泄露，可能被用于精准诈骗、盗用身份，危害极大。”他以案说法。

　　近年来，全省公安机关聚焦恶意窃取买卖人脸数据等重点方向，开展集群打击，侦办了一批侵犯公民个人信息犯罪案件；同时，不断强化源头治理，集中查处APP和小程序超范围采集公民个人信息等违法违规行为，指导省内多家单位、互联网企业及时整改违法违规行为，加强公民个人隐私保护，从源头保护公民个人信息安全。

　　提醒 警惕AI换脸成定制陷阱

　　当电话提示音响起，熟悉的头像闪烁，屏幕中的“亲朋好友”热络地向你打招呼……这些亲朋好友，真的是你认识的他（她）吗？

　　雷先生就遇到了这样的骗局。一天，他接到一个陌生号码短信，对方自称老朋友崔某，让其加好友。雷先生将信将疑地照做了。当看到熟悉的面庞出现在镜头里，他彻底放下疑虑，二人转入文字聊天。崔某说自己领导的亲属竞标了一个绿化项目，需要借钱周转，爽快的雷先生便向对方账户转账98万元。收到转账之后的崔某失联了。雷先生意识到自己可能被骗，便立即向安阳市公安局文峰分局报警。民警迅速对涉案账户进行止付冻结，并通过严密侦查、快速追逃，将冒充崔某实施诈骗的相关犯罪分子一并抓获归案。

　　“眼见不一定为实。”安阳市公安局文峰分局刑侦大队民警曹洪达说，这起通过AI换脸冒充熟人进行电信网络诈骗的典型案件，提醒我们打好人脸保卫战，一定要增强鉴别意识，小心技术陷阱。

　　“AI换脸技术，是将一个人的面部特征自动地转移到另一个人的面部上。”河南警察学院网络安全系教授、博士吴志强介绍，通过人脸检测算法从源图像和目标图像中提取人脸特征，使用图像融合、修复技术处理合成图像，可以达到以假乱真的效果。而这项技术门槛的降低与性能的飞跃，既推动了影视特效、虚拟主播等领域创新，也对数字安全与社会伦理提出了严峻挑战。

　　如何避免落入AI换脸技术陷阱？

　　吴志强建议，要留心要求提供人脸信息的陌生应用或网站，避免随意进行所谓的真人身份验证导致人脸信息泄露，尽量减少在社交媒体上发布不必要的、带有家庭和工作地址等个人信息的音视频、照片，妥善保管个人身份证、手机号等重要信息，降低个人信息被不法分子收集并滥用的风险。

　　当与朋友通过网络视频时，一定要通过多种方式验证其真实性。“可以通过让对方眨眼、摸鼻子、摁脸、用手遮盖部分脸部等动作来观察其面部变化，如果画面出现明显的扭曲、变形或者面部动作不符的情况，那么对方有可能正在使用AI换脸技术。”吴志强说。

　　AI换脸虽能模拟外貌，但难以复现个体的语言习惯、思维逻辑和情绪反应。要注意观察对方用词特点、反应速度及表达方式是否与本人一致，例如口头禅、特定情境下的回应模式等细节；也可以询问一些只有双方知晓的私密信息，像共同经历过的某件难忘事情、某个特定时刻的约定暗号等；若对方突然以紧急理由要求转账、提供敏感信息或回避常规身份验证流程，需立即终止沟通并核实情况。

　　“科技发展归根到底是为人类社会服务，人脸作为生物识别信息的使用边界，应该是以不干扰个体的正常行为和合法权益为前提和基础。”黄允说，这应当成为社会共识和自觉行动。

　　理直气壮拒绝被刷脸

　　办会员卡必须刷脸，合理吗？

　　任何组织和个人不得以办理业务、提升服务质量等为由，误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。不得将人脸识别技术作为唯一验证方式。

　　人脸能随意被刷吗？

　　应用人脸识别技术处理人脸信息，应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格保护措施。

　　同意刷脸后，能否撤回？

　　基于个人同意处理人脸信息的，个人有权撤回同意，个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

　　哪些地方不能装人脸识别设备？

　　在公共场所安装人脸识别设备，应当为维护公共安全所必需，依法合理确定人脸信息采集区域，并设置显著提示标识。

　　任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。（本报记者 周晓荷 整理）

编辑:陈静