人脸信息安全是指保护个人的人脸信息不被未经授权的访问、使用、泄露或修改,确保这些信息的安全性和隐私性。人脸信息包括面部特征、面部图像等敏感数据,一旦泄露或被滥用,可能导致个人隐私权、肖像权等权益受到侵害。
人脸信息安全的现状和挑战
1、隐私泄露:人脸信息容易被过度收集和滥用,可能导致个人隐私被侵犯。
2、技术滥用:AI换脸技术使得不法分子可以通过技术手段冒用他人身份,进行非法活动。
3、数据存储和传输风险:数据存储设备的安全性和数据传输过程中的网络攻击都是潜在的风险点。
结合2025年6月1日起施行的《人脸识别技术应用安全管理办法》,对人脸信息安全应注意:
1、处理原则与合法性要求
目的与必要性:处理人脸信息需具有特定目的和充分必要性,采取对个人权益影响最小的方式。例如,小区门禁应优先使用密码或刷卡,避免强制刷脸。
单独同意:基于个人同意处理的,需取得“单独同意”,即明确告知处理目的、方式及风险后自愿授权。未成年人脸部信息处理需监护人同意。
2、存储与传输限制
本地存储:人脸信息原则上应存储于人脸识别设备内,不得通过互联网传输(法律另有规定或个人同意除外)。
最短保存期:保存期限不得超过实现处理目的所需最短时间,例如酒店退房后应立即删除。
3、验证方式与场景限制
非唯一验证:存在替代方案(如密码、指纹)时,不得强制使用人脸识别。例如银行APP需提供多种登录选项。
公共场所规范:安装设备需为维护公共安全所必需,并设置显著提示标识;禁止在私密空间(如浴室、更衣室)安装。
1、技术防护措施
加密与访问控制:系统需采用数据加密、安全审计、入侵检测等措施保护数据。关键信息基础设施需满足网络安全等级保护三级以上要求。
2、备案与监管
备案制度:存储人脸信息超10万人的企业,需向省级网信部门备案,提交处理目的、安全措施及评估报告。备案信息变更或终止时需及时更新。
联合监管:网信部门与公安机关协同监管,违法者可面临罚款、停业整顿或刑事责任。
1、敏感个人信息属性
人脸信息因唯一性、不可更改性被定义为生物识别信息,属于敏感个人信息,一旦泄露可能导致终身风险(如身份盗用、诈骗)。
司法实践:非法获取或出售人脸信息可能构成侵犯公民个人信息罪。例如,上海“颜值检测”软件窃取信息案中,开发者被判处有期徒刑并承担民事责任。
2、特殊群体保护
未成年人:处理不满14周岁人脸信息需监护人同意,并制定专门存储与使用规则。
残疾人/老年人:需符合无障碍环境建设规定,如提供语音提示。
1、知情权与拒绝权
知情内容:处理者需以显著方式告知处理目的、必要性及影响。
拒绝强制刷脸:公众有权拒绝非必要的刷脸验证,如物业不得将人脸识别作为唯一出入方式。
2、维权渠道
投诉举报:可向网信、公安部门举报违规行为,相关部门需在30日内反馈。
司法救济:通过民事诉讼或公益诉讼追究责任。例如,杭州“人脸识别第一案”中,法院判决野生动物世界删除原告人脸信息。