购物时“刷脸”付款、就医时“刷脸”使用医保，就连进小区也要“刷脸”……不知从什么时候开始，“刷脸”已经悄然成为很多人生活的日常。不过，也有不少人提出疑问，目前他们正在经历的种种“刷脸”安全吗？合法吗？

6月1日起，由国家网信办联合公安部发布的《人脸识别技术应用安全管理办法》正式实施，从制度层面为“刷脸”行为确定了边界。

回望历史，2019年，杭州野生动物世界的“人脸识别第一案”，成为中国个人信息保护史上的标志性事件。

当郭兵老师手持指纹年卡，却依然被要求“刷脸”入园时，他用法律武器向“刷脸”喊出了一声：不！

当时，该案最具争议的焦点集中于：人脸识别作为敏感信息采集，是否符合“合法、正当、必要”原则。

彼时，一审法院认定，园区单方变更合同属违约，需赔偿郭兵1038元并删除其面部特征信息，但未支持确认格式条款无效的诉求。二审法院进一步明确，生物识别信息具有唯一性和人格属性，园区超出约定目的使用照片信息，最终形成“删除全部生物特征信息”的终审结果。

这一判决不仅为《中华人民共和国个人信息保护法》的制定，提供了司法样本，更像一把标尺，丈量出技术应用的伦理边界。

在判决生效后的4年间，全国法院受理的生物识别纠纷案件的司法实践与立法进程，形成共振。

2021年11月，中国第一部个人信息保护专门法《中华人民共和国个人信息保护法》，正式实施。2025年6月，《人脸识别技术应用安全管理办法》正式实施，此举将把“不得超越用户授权”的司法原则，转化为可操作的制度设计。

司法界普遍认为，《人脸识别技术应用安全管理办法》最具突破性的条款，当属确立“非强制原则”。这意味着，新规明确禁止将人脸识别，作为唯一验证方式，企业需要给不愿“刷脸”的客户，提供替代方案。

此前，北京地铁曾计划试行人脸识别进站，随后快速止步于舆论的质疑。其根本原因就在于没有规范性的个人信息保护规范，缺乏关于人脸识别的社会共识。

其实，除了人脸识别，目前技术相对成熟的还包括：虹膜识别、掌纹识别、步态识别等生物识别技术，其底层技术逻辑都是通过个人唯一、可识别的生物特征，给予使用者以确信的认证。

和传统密码设置不同，生物信息一旦被泄露或复制，作为信息主人的个人，往往无力抵抗技术的胁迫。此次，新规明确提出，人脸信息存储于本地设备、不得通过互联网传输等规范，也是旨在降低相关信息泄露的风险。

在新规中，还有一条格外值得关注，即“10万人脸信息备案制”，也就是要求，处理人脸信息达10万人的企业，需向省级网信部门备案。业界认为，这一制度设计体现了“抓大放小”的监管智慧，既避免了对中小企业的过度监管，又将互联网平台、连锁酒店等大型机构纳入重点监控范围，符合数字经济的规模化特征。

从古希腊的“认识你自己”，到数字时代的“证明你自己”，人类对身份确认的追求，从未改变。

其实，真正的科技进步，永远是技术理性与人性尊严的和谐共鸣。本次实施的《人脸识别技术应用安全管理办法》，不仅在于条文本身的完善，更在于其折射出的治理哲学：

在技术创新与权利保护之间，永远保持必要的张力，让科技发展始终沿着人类文明的轨道，行稳而致远。

【责任编辑：缪露】