出入小区时，你是否也遭遇了必须“刷脸”的门禁？近日，清华大学法学院教授劳东燕在一场研讨会上分享了自己的“维权经历”。在很多地方，原有的指纹、门禁卡设备被取消，人脸识别成为居民出入小区的唯一验证方式。当劳东燕遇到类似状况时，她写了法律函，分别寄到物业公司和居委会。

后来，街道方面邀请她谈话，在会谈中历数人脸识别的各种好处；她则列举了种种风险，认为在小区安装人脸识别装置并无必要，而且不经同意收集人脸数据，也违反现行的法律规定。后来，小区的门禁改造工作，不知何故被搁置下来。

事实上，人脸识别技术作为人工智能与大数据技术发展的产物，近年来，随着世界范围内的人脸识别技术研发的突破，已经被广泛应用于如行政服务、金融业务、单位考勤、门禁系统以及司法办案之中。“人脸解锁”“刷脸支付”“刷脸进出”为公民生活的常态，但人们在享受其给工作和生活带来便利的同时，基于此产生的数据隐私安全性问题也引起了社会普遍的关注，世界各国都在思考，如何对其设置更为合理和科学的监管规则来保护个人隐私与数据安全。

图据IC photo。

总体来看，当前人脸识别技术的争议点主要来自于三个方面：一是收集的程序是否合法；二是生物特征数据的保存是否安全；三是有关数据的运用是否合理。

对于收集程序而言，我国《网络安全法》中已经有明确的规定：“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。”但在具体实践中，有的公司存在擅自超越界限，私下采集数据信息，严重侵犯用户个人权益的情况，也有行为粗暴、不合理行政情况。无论2019年“中国人脸识别第一案”，还是劳东燕教授拒绝小区人脸识别门禁，皆为此例。

因此，在实践中，相应的信息收集主体，在进行人脸识别信息收集时，应当告知用户有关的风险，并获得用户的明确同意。而对于行政部门而言，除了依法行政，更应当充分考虑采用人脸识别决策的合理性，若人脸识别不具有唯一性，应当提供其他的替代方案。

在生物特征数据保存的安全性方面，我国已经出台了相关文件，在2020年3月发布的《信息安全技术 个人信息安全规范》（国家标准GB/T 35273-2020）中，明确规定个人生物识别信息属于个人敏感信息，并对个人敏感信息进行了特殊保护：

传输和存储个人敏感信息时，应采用加密等安全措施；共享、转让个人敏感信息前，除向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果外，还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意；不应公开披露个人生物识别信息。有关信息收集主体应当严格遵守该规范。

目前对于数据合理利用的质疑，更多是对潜在风险的担忧，也是当前争议的主要来源。对此，由于缺乏明确的法律规定，存在一定的规制难度。当前更合理的做法是，呼吁有关的商业主体，重视商业道德、恪守数据使用的伦理，并对违规利用数据的主体，在造成损害后适用法律严格处罚。

客观上来说，任何技术都会带来风险，但是技术的进步不会因为任何的风险而停滞。法律对于技术的规制不是阻碍技术发展，而是更好地促进其为人类服务，就如同亚马逊云业务全球公共政策副总裁普恩克（Michael Punke）曾说到：“新技术不应该因其潜在的滥用可能性而被禁止或者遭到谴责。”

有观点认为，“人脸识别技术的收益与风险关系直接决定了法律规制的基本态度。如果收益大于风险，法律的天平就应该向利用一侧倾斜。如果风险大于收益，法律的天平就应该向保护一侧倾斜。如果收益与风险的关系不确定，则法律应该谨慎，而不能盲目放开其利用。”因此，相较于直接对人脸识别技术粗暴地加以阻止，更为科学的做法应当是完善此技术领域的相关法规标准，明确技术应用的法律和伦理边界。

去年9月，工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见，《征求意见稿》表示，支持构建基于商用密码、指纹识别、人脸识别等技术的网络身份认证体系。笔者认为，只要人脸识别技术能够确保用于合法的利益目的，收集的个人数据能够获得充分的安全保障，就应当鼓励其应用和发展。