在全国App个人信息保护监管会上，电信终端产业协会秘书长谢毅公布了《App收集使用个人信息最小必要评估规范》系列标准，涉及多个方面，其中《人脸信息》这一部分是最受关注的。

人脸识别不是强制使用

得益于国内深度学习算法的发展和海量数据的累积，人脸识别应用在近年呈现出加速落地的态势。大到智慧城市建设，小到手机客户端的登录解锁，都能见到人脸识别技术的影子。

在2020第五届中国金融科技安全大会上，中国电子技术标准化研究院信安中心测评实验室副主任何延哲表示，目前App在应用人脸识别时存在或多或少的安全问题，比如：人脸信息的加密和泄露问题、人脸识别的准确性和伪造问题、强制用户使用人脸识别的侵权问题等等。

在《App收集使用个人信息最小必要评估规范：人脸信息》这一部分中，对上述三个问题都有了针对性的规定，也就是收集、使用、存储三个方面。

首先在收集方面，规范提出“不应强制或欺骗误导人脸信息主体进行人脸识别，当人脸信息主体不进行人脸识别时，不应禁止人脸信息主体的正常使用”。

另外，强调收集人脸信息应遵循“最小必要”原则，并在收集前应通过隐私协议等方式向人脸信息主体告知人脸信息处理方式的描述，如：仅本地收集、远程核身等。

在存储方面，应将人脸信息与人脸信息主体的身份信息分开存储，人脸模板应进行加密存储，并采用授权访问方式读取，存储人脸识别比对信息时，可通过密码技术、假名标识符等方式生成不可逆、可更新的人脸参考，并进行加密存储。

针对人脸信息不同的处理方式，也提出了不同的要求。

• 智能体验类：人脸信息的存储应仅限于本地进行，且不应直接存储人脸样本；
• 本地核身类：人脸信息的存储应仅限于本地进行，且不应直接存储人脸样本；
• 远程核身类：不应直接存储人脸样本，人脸信息的存储应加密；
• “本地+远程”核身类：不应直接存储人脸样本，人脸信息的存储应加密。

在使用方面，规范要求不应基于人脸信息生成用户画像，且不应基于人脸信息进行定向推送，且不应共享或转让人脸信息。

选择权、知情权与删除权

人脸识别技术的广泛应用，已经是不争的事实，但是在技术的使用边界上一直存在争议，到底哪些场景能用？哪些场景不能用？又该怎么用？一直是争议的热点。

此次发布的规范，虽然没有直接回答这三个问题，但是却从另外一个角度给出了答案。规范没有给出人脸识别的应用场景，但是要求企业保障用户的选择权。

也就是，人脸识别技术在任何场景都可以用，但是不用人脸识别用户一样可以体验到服务。比如在社区、园区等场所即使采用了人脸识别，也应该保留传统入院通道；在App上不用人脸识别，也可以采用指纹或密码登录。

保证用户的选择权，是规范关键要素之一。

另外一个关键要素是知情权。根据《网络安全法》和《民法典》的规定，收集、使用个人信息，应当遵循合法、正当、必要原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

人脸识别信息的采集和使用遵循相同的规定，比如不应基于人脸信息生成用户画像、告知用户控制者的联系信息等等。

最后是删除权。在人脸识别第一案中，原告郭兵有一个非常重要的诉求，就是要求园区删除自己的人脸信息。在规范中也做出了明确的规定。

很多时候，要求“记住我”是人的权利，要求“忘记我”也是人的权利。所有的技术，本质上是要让人们的生活更便利，更安全，而更安全比更便利更重要。

点击下载：《App收集使用个人信息最小必要评估规范人脸信息》