7月5日，央视《焦点访谈》专题报道人脸识别技术应用安全问题：近日，国家互联网信息办公室、公安部联合公布的《人脸识别技术应用安全管理办法》正式实施，这是我国首部专门针对人脸识别技术应用的综合性规章。人脸识别技术的适用边界在哪里，什么地方能用人脸识别技术，什么地方不能用？管理办法实施一个多月了，这期间发生了不少变化？

《人脸识别技术应用安全管理办法》明确规定：应用人脸识别技术时，除了要具备充分的必要性，也要采取对个人权益影响最小的方式，并且不得将人脸识别技术作为唯一的验证方式。像周女士这样的公众诉求，有了更清晰的规章依据。

而在6月1日《人脸识别技术应用安全管理办法》正式实施后，记者发现，节目中所提到的这家健身房已进行了进一步的整改，更衣室取消了人脸识别；而健身房入口的闸机也可以通过手环通过。

专家表示，要实现个人权益的最小影响，就要做到最小化的数据采集，而分类采集是一种有效的方式。

采访中记者了解到，很多人会关注人脸信息的采集是否合法，但并未关注到采集的信息数据去哪了。

《人脸识别技术应用安全管理办法》对数据的存储和传输提出了更加明确的要求，比如“人脸信息应当存储于人脸识别设备内，不得通过互联网对外传输”，体现了对网络攻击风险的高度警惕。

张庭：“本地化存储天然给网络攻击设很大的一个屏障，因为数据不用直接存储在云端，大多数情况下需要接触到这台设备，才有可能取到终端的信息，能做到物理隔离，极大降低数据泄露的风险和数据泄露的范围。”

记者注意到，《人脸识别技术应用安全管理办法》规定，人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。

专家指出，一旦批量数据泄露，会引发巨大风险。如果信息持有者将个人识别数据与个人身份等敏感个人信息关联存储，还可能关联个人行为和交往规律，重构特定目标的“关系网”，进而带来更大的安全隐患。

张庭：“因为数据在这条整个商业的产业链里面能够变现。这是整个过程中最核心的点，变现途径。这个数据A公司买了，A公司卖给B公司、C公司，每个公司都有自己的一些数据，再把这些数据合并完成之后，做商业的推广也好，都能够产生比较大的经济收益。”   

记者了解到，《人脸识别技术应用安全管理办法》延续了数据分类分级管理的思路，针对存储数量达到10万人的个人信息处理者，设置了网信部门备案的要求。

张庭：“因为整体数据量比较大，责任和义务就更大，所以对于量越大管理越严，这也是对于数据做分级分类要求的一个体现。中国的算法技术和人脸识别应用场景在全球是领先的，这次办法的出台，让我们进入了一个技术和质量并行的新阶段，推动人脸识别技术更好地造福于社会大众。”

人脸信息具有唯一性和终身性，一旦泄露，无法像密码那样更改。对此，我们应该强化人脸信息安全保护意识，对一些公共场所、手机应用提出的人脸信息采集保持谨慎态度。值得注意的是，关于人脸识别的授权，也有了更加人性化的保护原则。比如，基于个人同意处理人脸信息的，个人有权撤回同意，个人信息处理者应当提供便捷的撤回同意的方式。相信随着法制的进步和完善，人脸识别的问题将得到有效的治理和纠偏，真正让科技进步造福大众。