6 月 1 日起，《人脸识别技术应用安全管理办法》已经正式施行。详情可以查看官方的稿件： https://www.news.cn/politics/20250603/021bb4247ff442e482be246b8da68173/c.html

比较重要的条文有：

第五条 个人信息处理者应用人脸识别技术处理人脸信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项： （一）个人信息处理者的名称或者姓名和联系方式； （二）人脸信息的处理目的、处理方式，处理的人脸信息保存期限； （三）处理人脸信息的必要性以及对个人权益的影响； （四）个人依法行使权利的方式和程序； （五）法律、行政法规规定应当告知的其他事项。

第十条 实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的，应当提供其他合理、便捷的方式。 第十一条 应用人脸识别技术验证个人身份、辨识特定个人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施，减少人脸信息收集、存储，保护人脸信息安全。 第十二条 任何组织和个人不得以办理业务、提升服务质量等为由，误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。

简而言之：

• 不允许“强制刷脸”，还应该提供其他非人脸识别的验证手段
• 鼓励使用人口基础库代替非官方（如腾讯云、阿里云）提供的生物识别服务
• 申请人脸识别，跟现在申请手机、定位、通信录权限一样，需要先说明用途和必要性，而不是直接弹出一个不明所以的人脸识别流程

为什么你不应该支持商业机构的人脸核身流程

人脸识别分为两类：本地设备上的人脸比对和互联网服务对个人身份的人脸核身。前者的人脸特征、原始图像只会保留在设备上，不会上传云端。后者不仅会把人脸原始图像发往商业机构，商业机构还可以根据三要素（姓名、身份证、手机号码）取得识别结果，有可能造成以下后果：

• 未经水印保护、直接拍摄的人脸原始图像技术上有可能被商业机构留存，有生物识别信息泄漏的风险，留存的生物识别信息还可以用于模型训练等用途
• 商业机构虽然获取不到身份证上原始的人脸图像，但技术上能够通过关联你上传的人脸原始图像和权威机构返回的识别结果确定你的样貌，从而在其他业务（如智能零售、千人千面）上辨认出你的行动轨迹或将数据关联到个人。甚至部分流程不规范的人脸核身服务提供商，可以通过这种手段节省向权威机构发起请求的次数从而节省请求费用
• 匿名化的人脸图像不受本办法保护，你的人脸原始图像一经上传，可以被匿名化后用于模型训练等用途
• 国内常见提供人脸核身服务的机构，进行人脸识别前都会有服务协议可供阅读，其中会提到人脸原始图像的保存期限。一般来说，微信是验证后即刻删除，腾讯云、阿里云、银联等是模糊描写的“最短期限”，而各大银行一般会留存人脸图像直到客户关系结束后五年

如何投诉?

对于常见互联网服务不合理的人脸识别流程，可以通过互联网信息服务投诉平台进行投诉。

一个健康的人脸识别流程应该是怎样的？

• 仅留存、使用基于人脸图像计算出的、不可逆的特征码（类似于 Hash ）
• 应用仅能接触到识别结果，图像及三要素由 SDK 接收和校验
• 人脸原始图像不上传云端，仅保留在本地设备内

整容不像改密码一样简单，生物识别信息一经泄露难以修改，任何人都应该谨慎对待使用生物信息的业务

顺便说几个有趣的事情

• 直到今天，QQ 的解封流程还在欺骗用户提供生物信息，并且还是不需要提供三要素的识别，本来应该显示身份证姓名的地方直接显示“本人”，都不知道跟哪个“本人”比对呢？

• 多年前曾经阅读过阿里系某一个 APP 的人脸识别授权协议，上面有一个条款大意如下：使用阿里的人脸识别服务后，将会默认保留人脸特征码到阿里的数据库中，用于后续比对。如果需要撤回授权还得再上传一次人脸。脸呢？（此条例现在已不可考）

• 还有“根据国家相关法律法规需要实名认证”诸如此类的误导信息。发布一个二手商品，哪里来的规定需要实名认证+人脸核身？明明就是产品本身施加的限制，用文案来误导用户提交身份信息。