【
智慧城市网 企业关注】近日,国家互联网信息办公室、公安部联合公布《
人脸识别技术应用安全管理办法》(以下简称《办法》),自2025年6月1日起施行。
近年来,人脸识别技术以“无感通行”“一键核验”等便利性迅速渗透至社区门禁、商场消费、酒店入住等场景。
然而,从“售楼处偷拍人脸”到“教室无感监控”,公众对生物信息失控的焦虑愈演愈烈。再比如国内某小区物业强制业主使用人脸识别技术作为唯一出入方式,某银行App强制人脸验证登录,某健身房强制会员刷脸入场等,甚至利用人脸数据实施“
大数据杀熟”,这进一步加剧了信任危机。
此次《办法》的出台,首次以专项法规形式对人脸信息的采集、存储、使用全链条进行系统性约束,标志着我国人脸识别治理从“粗放探索”迈向“精细化管控”。
一、给“强制刷脸”戴上枷锁
《办法》的核心价值,在于用制度性设计打破“不刷脸寸步难行”的难题。新规明确,任何提供人脸识别服务的场景,如非必要须同时保留刷卡、密码、人工核验等替代验证方式,且不得因用户拒绝刷脸而降低服务质量。
这意味着,未来居民小区若将人脸识别作为唯一门禁方式,将面临整改处罚;商场不得以“无感支付”为名强制采集消费者人脸数据;医院挂号系统需提供身份证核验等备选方案。这种“选择权保障”机制,实质上是对技术霸权的一次制度性矫正。
针对公众最敏感的隐私空间保护,《办法》划出明确禁区:宾馆客房、公共浴室、公共卫生间等公共场所中的私密空间场所严禁部署人脸设备,商场、体育场馆等非必要公共场所不得强制采集人脸信息。在公共场所安装人脸识别设备,必须依法合理确定人脸信息采集区域,并设置显著提示标识,比如电子围栏提示,或者通过语音播报等。
值得注意的是,《办法》提出“数据本地化闭环”原则——除法律法规特别规定或用户单独同意外,人脸数据必须存储于人脸识别设备内,禁止通过互联网对外传输,且保存期限不得超过实现处理目的所需的最短时间(通常不超过1年)。这种“就地采集、就地处理、就地销毁”的模式,从技术架构上切断了数据违规流转的通道。
二、是关乎行业的“合规进化”
在《办法》颁发前,一些重点城市就已经开始了刷脸的自查整改,如上海就明确提出公共场所“不刷脸为原则、刷脸为例外”的攻坚目标。
有数据显示,截至2024年12月,上海已推动全市600余家商超门店,6300余家酒店,70余家公共体育场馆,1200余个游泳馆、健身场所,2900余个公共厕所完成“强制性”、“滥用化”刷脸的自查整改。
如今随着新规落地时间的逼近,短期内,存量设备改造成为企业首要关注点。以智慧零售领域为例,大量用于客流分析的摄像头因不符合“非必要不采集”原则,或将被迫关闭人脸识别功能,转为普通监控设备。
除此之外,以往传统人脸识别摄像头会将采集到的人脸信息实时上传至云端服务器,通过强大的算力完成识别分析,再将结果返回终端设备。这种架构虽能实现高效运算与跨地域协同,却暗藏隐患,比如数据在传输过程中可能被截获,云端数据库一旦遭攻击将导致大规模泄露。
而根据《办法》,其对数据流通的限制(如禁止互联网传输人脸信息)将倒逼企业调整数据传输存储架构,这种转变或将进一步催生市场对于边缘计算与隐私计算相关设备的需求。
另外,新规也正在重塑技术应用场景的优先级。如智慧城市中的交通违法抓拍、公共安全领域的在逃人员识别等强公共利益场景,因符合“必要性”原则获得政策支持;而商业营销、考勤管理等场景的技术应用或将受到一定程度收缩。
同时,监管体系的完善也进一步强化了行业规范。比如企业达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续,人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全等。由此可见,《办法》的颁发是一场关乎行业的“合规进化”
结语:
此次《办法》的出台并非对人脸识别技术的否定,而是为无序扩张按下暂停键,引导人脸识别技术应用走向“有界落地”,其本质上是数字时代“安全与效率”的再平衡。当敏感信息数据不能在互联网上流通,将倒逼相关安防企业必须在设备端铸造更精巧的“数据炼金术”,在2025年6月正式施行《办法》前,相关安防企业更需加速人脸识别设备安装的合规性改造,公众也亦可期待未来更透明的隐私数据管理生态。
