本报记者 曲忠芳 李正豪 北京报道

近日，一则“戴头盔去看房”的短视频在社交网络火热传播，既撕开了当下人脸识别技术滥用乱象的口子，又戏剧性地将当下公众担忧人脸信息泄露甚至倒卖的不安全感生动地展现出来。

随着全球数字化浪潮来袭，作为人工智能重要分支的人脸识别技术正渗透到社会生活的方方面面，大到智慧城市建设，小到手机解锁登陆、购物支付等。据CNNIC数据报告显示，截至今年一季度，国内互联网用户规模就已突破了9亿人，互联网网站超过400万个，应用程序数量超过300万个。这意味着包括人脸信息在内的个人信息收集、使用更为广泛。

近一周以来，《中国经营报》记者选择公众范畴内落地最为普遍、接触频次最高的智慧小区刷脸闸机为切入口，陆续走访了北京市多个居民社区，采访了用户人脸信息“流动”链上的多方相关人士。在采访调查中，记者注意到，人脸识别技术落地应用，已在助力疫情防控等社会公共治理及人工智能产业发展中表现出明显优势，但与此“配套”的法律法规还没有跟进完善，因此广大用户对于人脸信息这种比网络账号、手机号等具备更高敏感度、独一性的个人信息，安全担忧更加突出。

用户“恐慌感”何来？

家住北京市大兴区某小区的周先生告诉记者，小区门口今年7月时安装了刷脸闸机，物业及居委会通知小区住户登记包括身份证、房产证及人脸认证等信息，负责人一度暗示如不登记“后果自负”，但直到现在周先生都拒绝去登记，依然使用传统的蓝牙钥匙开门进出。

“一来居委会、物业都没有强制小区居民刷脸进出的权力，二来我的人脸信息被刷脸闸机的多方收集使用，万一被泄露倒卖就太危险了！”周先生如是说道。

与周先生不同，海淀区某小区的业主牛女士则早早地使用上了刷脸进出小区，她觉得刷脸开门很方便，不用再操心是否忘带钥匙。而提及人脸信息可能泄露的风险，李女士坦言：“无所谓啊，更何况互联网时代里个人信息早就是‘祼奔’状态了，人脸信息同样难逃厄运。”

在记者采访的多位用户里，无论是像周先生“断然拒绝”，还是像牛女士“无所谓”，大多数用户都对人脸信息的安全保护问题打出了一个大大的问号，呈现出普遍的不安全感与恐慌感。

为什么公众对人脸识别如此担忧？

飞象网CEO项立刚指出，用户对人脸识别技术的认知了解有限，甚至认为它是“洪水猛兽”。事实上，人脸识别技术无论是在居民小区，还是各种门店等场景的应用，它解决的是高效便捷问题，而并不是安全问题。用户的安全感问题需要由相应配套的法律法规去制定与完善。

艾媒咨询分析师王清霖认为，未来较长一段时间，公众对人脸信息的不安全感，以及人脸信息自身的安全隐患或将一直存在，且存在于各种生活场景中。早在去年已经出现过有小学生使用收件人的照片打开快递柜，使得运营主体紧急下架了刷脸取件功能。“戴头盔看房”虽然颇具戏谑，但从中用户对人脸识别的安全担忧可见一斑。现在手机解锁、App使用、移动支付等普遍使用人脸识别，有别于传统的账号密码，不同平台可以使用不同的账号密码，但会共用同一个人的脸，密码可以随时更换，如果人脸等生物信息被盗用或造假，那么用户很难通过变更、注销等方式来保障信息安全。

除了人脸技术规模落地的环境因素，以及人脸信息的敏感性之外，个人信息倒卖“黑产”由来已久，更是公众心底难以信任人脸信息安全的主要原因。记者查阅中国裁判文书网，搜索“侵犯公民个人信息罪”案由，结果显示2017年至今与此相关的刑事案件超过1万起。

人脸信息是如何“流动”的？

基于公众对人脸信息泄露倒卖的普遍担忧，记者仍以智慧小区的刷脸闸机为聚焦点，通过采访调查希望能解答两个问题：一是用户的人脸信息究竟是如何“流动”的？二是哪些主体能够接触、收集及使用用户的人脸信息？

前不久，北京市昌平区百善镇某小区的租户吴小姐带记者体验了登记开通功能、刷脸进出小区的全过程。根据居委会张贴的通知，吴小姐扫描二维码下载安装了一款叫“睿视”的手机App，住户登记页需要填写手机号码、租房合同、身份证、人脸照片等，之后经居委会审核通过后即可刷脸进出小区。

记者跟随吴小姐来到小区居委会，询问刷脸进出是否保障信息安全，工作人员称：“智慧社区门禁系统是为了方便人员管理，尤其是防控疫情，已经在所辖公安机关备案。”

吴小姐注册登记完成后，在小区刷脸闸机处体验，识别很快自动打开门。记者注意到，闸机硬件品牌为“REJIA”，其提供商与前述“睿视”App相同，均为北京睿家科技有限公司。睿视App向用户提示了《隐私政策》，表示“会按照合法、正当、必要的原则收集您的信息”。

需要指出的是，刷脸闸机设备使用的人脸识别技术，除了自行研发的情况，还存在向人脸识别算法厂商定制集成的可能。

由此，记者简单梳理下，在刷脸闸机这一链条上，能够收集或使用小区住户人脸信息的主体主要包括公安局、居委会、物业、人脸识别算法厂商、终端设备厂商等。

根据天眼查提供的工商数据，终端设备厂商的数量近几年来呈攀升趋势。在2017年至2020年，经营范围中包括“人脸识别”或“刷脸门禁”的新注册公司总共约4782家。如何确保所有的终端厂商都能够做到数据自律，这给人脸信息保护增加了不可控的变数。

在今年以来多次关于人脸安全的社会大讨论中，作为人工智能领域增长强劲的算法厂商几度被推上舆论的风口浪尖，而多位算法厂商的内部人士则向记者“喊冤”。一位不愿具名的人士指出，主流的算法厂商能做的技术合规和操作合法，前者的方式包括使用私有云部署、制定数据归属管理机制，后者则包括数据脱敏处理，即使数据信息不具备“回溯”性。

另一位业内人士告诉记者，人脸识别技术的线下应用粗略可以分成1比1和1比N两类场景。前者比如用户刷脸核验身份进入高铁站、飞机场、公园、游乐场等，用户刷脸是有感的，刷脸动作的完成需要获得用户授权，在这种情况下，人脸信息收集、使用的界限基本是清晰的。然而，在1比N的场景下，一个摄像头获取多个人脸信息，其收集使用的边界并不是很清晰，涉及主体比较多，最容易引起争议。如何把带来便利的新技术应用与消费者的个人信息安全保护做平衡是一个关键问题。近年来算法厂商也在尝试发起行业自律性质的联盟组织或倡议，终端客户使用算法时，算法厂商往往会与之强调或约定对消费者人脸信息使用规则，但这种约定往往是口头的。

配套法律呼之欲出？

中国政法大学知识产权研究中心特约研究员、北京云嘉律师事务所律师赵占领指出，根据网络安全等法律法规，个人信息判断的标准是身份识别性，人脸数据无疑属于个人信息范畴。收集或使用用户个人信息（包括人脸数据）须遵守正当、合法、必要原则，并经过用户同意。

今年11月20日，国内“人脸识别第一案”落槌。杭州富阳人民法院一审判决，作为被告方的杭州野生动物园删除原告郭某办理年卡时提交的面部特征信息，赔偿郭某合同利益损失费及交通费。

在赵占领看来，此案依据的仍是“正当、合法、必要原则，并经过用户同意”规定，它对人脸信息法律保护方面并没有太大的突破性意义，主要作用在于进一步引起了社会各界对于人脸信息这种高敏感度的个人信息保护必要性的认可。

人脸识别技术火热发展带来的社会安全担忧陡增，引起了相关监管部门的重视与关注。10月21日，全国人大官方网站公布了《中华人民共和国个人信息保护法（草案）》（以下简称“《草案》”），向社会公开征集意见，明确规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息；个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。其中提及公共场所中个人信息采集、处理规则，在公共场所安装图像采集、个人身份识别设备，应该为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识；所收集的个人图像、个人身份特征信息只能用于维护公共安全目的，不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。

中国互联网协会法工委副秘书长胡钢律师告诉记者，一般来说，立法从草案征集社会意见后，需经过三次审议，每两个月审议一次，《草案》到立法，再到施行，可能得到2022年元旦之后。

与此同时，国家互联网信息办公室印发关于《常见类型移动互联网应用程序（App)必要个人信息范围（征求意见稿）的通知》，规范App个人信息收集行为。

12月1日，立法规范人脸识别信息的法规率先在天津出炉。天津市人大常委会表决通过了《天津市社会信用条例》，其中明确规定，包括信用服务机构、行业协会、商会及其他企业事业单位在内的市场信用信息提供单位，采集自然人信息的，应当经本人同意并约定用途，法律、行政法规另有规定的除外；同时，市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。

北京京师律师事务所律师周京立指出，人脸识别技术的应用具有重大价值，同时也存在重大安全风险，引发了全社会关注，从国家及地方近来的动作来看，公民个人信息保护的配套法律法规在不断制定与完善，未来陆续立法落地，对于规范个人信息收集使用主体的商业行为、打击信息倒卖“黑产”、提升全社会对个人信息的安全感都具有非常重要而深远的意义。