在实际的应用场景中,人脸识别技术也必须以采集人脸图像为前提。若应用于手机APP,图像采集应遵循的原则可通过弹窗策略、弹窗提示等方式体现出来。但是商场、动物园、公司等具体场所在应用人脸识别技术时,该应用主体不能像APP运营者那样直接在智能终端上显示信息采集的原则,因此很多主体在无明示告知采集目的和使用原则等情况下直接用设备采集人脸图像,因而不能像APP运营者那样直接在智能终端上进行信息采集。由于目前法律对采集这些场景中人脸信息的具体要求还没有相应的规定,相关应用主体可以采取有效的方式在图像采集场所展示其采集目的、形式以及隐私保护策略等,向公众告知。与此同时,应用主体应提供替代方案,如商家提供刷脸支付功能,还应支持现金支付、普通移动支付等其他方式。
对于人脸图像的存储,研究机构或应用主体应采用去标识化或加密的方法对人脸图像进行处理,并将可用于恢复识别个体的信息与去标识化的信息分开存储,并加强访问和使用的权限管理。另外,人脸图像信息应当与个人的其他身份信息分开存储,防止个人生物特征信息与个人其他信息打通,提高信息的安全性。当采集到人脸图像后,如果非技术性或用途需要,可以删除存储的原始图像,只保留生成的数字表示或数字模型,尽可能降低数据泄漏的风险。
在使用面部信息时,应遵循的基本原则是不超出同意的使用范围,更不能未经同意或处理就对外提供。随着业务范围的调整或应用功能的升级,研发主体或应用主体可能会导致人脸信息的使用超出最初同意的范围。发生此类情况时,应进行安全影响评估,采取有效的防护措施。与此同时,信息主体还应被允许修改、删除、撤销与授权同意权,保障人脸信息主体对自己信息自主决定的权利。
