人脸解锁、刷脸取款、刷脸买单、刷脸寄快递、刷脸住店、刷脸坐高铁、刷脸打游戏、刷脸考勤、刷脸入园……随着人脸识别技术的发展和推广，“刷脸”这一动作，正在越来越频繁地深入公共生活。

　　随着信息技术的快速发展，人脸识别技术已广泛应用于社会治安和公共服务的诸多领域。在火车站、机场、汽车客运站等场所，多地都在积极推广进站人脸识别等智慧安检模式。如果说人脸识别技术在上述场景中的应用，主要是基于公共利益的考虑，那么，当经营机构理直气壮地推行人脸识别技术的时候，不能不让人表示疑虑和警惕——商业运用的边界在哪里？个人隐私和权益是否会因此受到伤害？

　　这样的担心并非多余。线上交易平台的人脸数据买卖屡见不鲜，有媒体记者暗访发现，一些网络黑产从业者利用电商平台，批量倒卖非法获取的人脸等身份信息，低至5角钱一份。更有甚者，大肆兜售“照片活化”网络工具及教程——通过这种工具，简单的人脸照片，可以被修改为执行“眨眨眼、张张嘴、点点头”等操作的人脸验证视频。

　　黑色产业链中兜售的人脸数据不只是单纯的照片，而是绑定了身份证号、银行卡号、手机号等一系列敏感数据的“资料包”。问题在于，是谁将个人信息打包销售？相比起传统的验证登录，人脸识别简单快捷的“优势”，对于不法分子来说同样成立——与破解用户密码相比，获取人脸信息数据无疑要简单得多。

　　身处大数据时代，个人信息安全的重要性毋庸赘言。同为生物特征识别，人脸识别与指纹识别的最大差别在于不易被察觉。简单说，进行指纹识别必须经当事人确认和配合，但人脸识别则完全可以在当事人浑然不觉的前提下完成。更为重要的是，与指纹信息不同，人脸信息时刻暴露在明处，如果人脸信息被泄露和滥用，将意味着个人合法权益有可能在不知不觉间随时遭受侵害。

　　2019年8月，AI换脸应用“ZAO”一度刷爆了朋友圈，随后很快无疾而终。究其原因，大张旗鼓搜集人脸数据的做法，引起了公众对这一技术的恐惧和反思。随着人脸识别技术的发展和完善，或明或暗采集人脸数据的商家越来越多，如果不能明确人脸识别技术的使用边界和管理责任，如何避免个人生物识别信息沦为待价而沽的商品？从这个角度来看，网络黑产的泛滥既是对加强网络监管的提醒，同时也是对明确人脸识别技术法律边界作出的警示。

　　消费者权益保护法明确规定，经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。在商家纷纷热衷于采集人脸数据的过程中，是否满足“合法、正当、必要”的基本条件呢？答案似乎不容乐观，因为有些采集并无必要，有些悄无声息的采集甚至连“合法”和“正当”都无法满足。

　　针对人脸信息保护，国内法律并不缺少原则性规定。网络安全法第四十一条明确规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。其中，人脸信息是个人核心隐私，也是个人敏感信息。民法典则明确将人脸信息为代表的生物识别信息，纳入了个人信息的保护范畴。在此基础上，谁能收集人脸信息、需要遵循什么原则、满足什么条件、如何进行数据管理、怎样进行责任追究……这些问题，都需要法律作出更加细致的规定。

　　“刷脸”的便利性有多高，风险性就有多大。在个人提高警惕的同时，完善的信息管理机制和严格的法律保障体系缺一不可。无论如何，个人生物信息都不应沦为任人宰割的“唐僧肉”。