国家网信办、公安部前不久联合公布了《人脸识别技术应用安全管理办法》（以下简称《管理办法》），进一步完善了人脸识别技术应用安全管理规则，规范了技术应用方式和应用场景，旨在为维护公民个人信息权益提供有力保障。

当下，人脸识别技术应用于生产生活诸多领域，刷脸支付、刷脸进出等应用场景随处可见。这类技术应用因其便捷性和准确性显著提升了工作效率和服务质量，同时也暴露出一些问题：部分服务提供者出于不同目的强制要求用户“自愿接受”刷脸服务，却不告知用户收集信息的去向。尤其在个别企业私自采集人脸信息事件发生后，公众对于这项技术应用的安全性和可靠性产生了质疑与担忧。

《管理办法》的出台，标志着我国人脸识别技术治理步入新阶段。《管理办法》与个人信息保护法、《公共安全视频图像信息系统管理条例》、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，共同构筑起预防人脸识别技术滥用的“权益保护网”。在《管理办法》施行后，公众可以理直气壮地拒绝任何不合理的刷脸要求，并可要求这些服务提供者说明人脸信息处理活动的相关情况。例如，小区物业向业主收集人脸信息时，不仅要主动明确告知人脸信息处理目的、方式和范围，特别是实际处理主体，还应在业主拒绝提供人脸信息时，提供其他具有相同身份核验效果的方式。

之所以在这个时间点出台《管理办法》，是因为人脸识别技术应用的治理实践已较为充分，且《公共安全视频图像信息系统管理条例》于今年2月发布，明确了基于公共安全目的收集处理人脸等信息的合法性边界。针对公众不胜其烦的刷脸服务强制绑定、超范围收集人脸信息等行业乱象，《管理办法》予以明确禁止或者限制，再次强调人脸信息处理活动应当遵循最小必要原则。特别是在处理残疾人、老年人等特殊群体的人脸信息时，还需符合国家有关无障碍环境建设相关规定。此外，《管理办法》明确禁止任何组织和个人以办理业务、提升服务质量等为由，误导、欺诈、胁迫个人接受人脸识别技术验证身份。

对公众而言，《管理办法》的亮点主要体现在以下三个方面：

第一，细化了个人信息处理者告知义务的履行标准。《管理办法》规定，在采集人脸信息时，需以显著方式、清晰易懂的语言，真实、准确、完整地向个人告知处理者名称、处理目的、处理方式等事项。这是因为技术滥用多表现为在个人不知情的情况下过度收集信息。《管理办法》再次强调告知义务，就是为了避免部分经营者在未告知的情况下直接收集人脸信息。

第二，细化了公共场所安装人脸识别设备的安全监管要求。《管理办法》禁止在宾馆客房、公共浴室等公共场所中的私密空间内部安装人脸识别设备。当然，在公共场所公共区域基于公共安全等目的安装不在此列。同时，安装人脸识别设备需依法合理确定信息采集区域，并设置显著提示标识。

第三，细化了人脸信息存储备案手续的实施细则。伴随着人脸识别技术的广泛应用，部分个人信息处理者所持人脸信息呈指数式增长。为防范信息泄露引发重大安全风险，《管理办法》要求人脸信息存储数量达到10万人的个人信息处理者，向所在地省级以上网信部门备案。备案内容包括处理者的基本情况、处理目的和方式、存储数量和安全保护措施、处理规则、影响评估报告等，旨在明确重点监管对象，避免发生不可挽回的个人信息安全事件。

总体来看，《管理办法》并未实质性增加个人信息处理者的法定义务和业务合规成本，而是在现有个人信息保护立法体系下，进一步明确了人脸信息保护要求和技术应用监管标准，确保人脸识别技术合法合理地应用。相信《管理办法》的实施将有效遏制强制或变相强制收集人脸信息乱象，保障公民个人信息安全，使“刷脸”不再成为使用信息服务的“不合理负担”。

（作者系北京航空航天大学法学院副教授、北京航空航天大学网络空间国际治理研究基地副主任）