吴晨/文 我的一个朋友上个月去深圳出差，在一家办公楼被要求先登记人脸信息，然后才能刷脸上楼。他犹豫了一下，最终还是选择“合规”。但事后，他越想越怕，感叹如果下次再遇到要求刷脸上楼的“霸王”办公楼，自己应该坚持原则，即使生意做不成，也不能冒自己的生物信息被滥用和盗用的风险。

“刷脸”似乎日益成为安检便利化的手段，在机场和火车站，通过“人脸识别”刷脸验证身份证件通关常态化，让越来越多行业大踏步跟进。办公室大楼和小区物业就是两个应用场景。和机场和火车站不同，在这两个应用场景中要实现刷脸安检，首先需要一个注册登记和验证的过程，这就让很多人很纠结，担心隐私被侵犯，也担心一旦个人生物数据被盗用，会带来一系列难以预估的损失。

清华大学法学教授劳东燕也曾经专门发文表示反对小区“刷脸”，因为她居住的小区想要推行人脸识别系统，要求业主录入人脸信息，用于门禁升级。

10月26日，《杭州市物业管理条例（修订草案）》提请杭州市十三届人大常委会第三十次会议审议，代表了关于“隐私和数据安全，相对于便利性”什么更重要的讨论，进入到地方立法的视野之中。这一草案希望禁止强制业主通过指纹、人脸识别等生物信息方式进入小区。

杭州市在地方性法规层面，严肃探讨人脸识别的适用范围，的确是一大进步。希望从这一条例开始，在更高立法层级上增加对人脸识别以及其他个人隐私生物信息的采集和应用的讨论，强化规范与合规。

首先，需要规范谁可以搜集人脸和指纹等其他个人生物信息。搜集人脸信息，需要明确采集的目的、存储的方式、网络安全和数字安全的保障。同事，还要及允许个人有不参与（opt out）的选项，并且如果个人选择“不参与”，必须提供其他可替代方式来验证身份。

其次，即使允许搜集人脸信息，也需要公开透明规范人脸信息使用的场景，防止人脸被滥用。因为，在监管并不完善和存在许多漏洞，甚至灰色交易市场的情况下，即使合法采集的人脸数据也可能被滥用。

第三，需要对人脸识别高科技企业寻找更多应用场景的利益驱动做出有效的制衡。中国在人工智能领域的飞速发展，一部分原因就是所采集的大数据数量远远高于欧美。人脸识别是人工智能找到广泛的真实应用场景为数不多的可以被成功商业化的领域。但恰恰因此，我们更需要对这样“高歌猛进”的商业化提高警惕。无论是办公楼还是小区物业，都没有独自开发人脸识别系统的能力，其背后推手是高科技公司全面铺开人脸识别应用的推广。如果仅仅禁止办公楼和物业小区，而不让系统提供商作为主体参与到规则制定的博弈过程中，那立法只会演变成一种猫捉老鼠的游戏。

最后，还需要提醒的是，高科技给我们的便利，的确方便了许多人。但是在人脸识别问题上，需要有更清醒的认知。有专家就提出一个非常重要的问题：我们每个人的人脸到底是账户，还是密码？这其实是所有人脸识别应用场景中最值得问的问题。区别账户和密码，其实很简单。账户通常不变，而密码可以随意改变，而且为了保密起见，需要经常更换。每个人只有一张脸，除非花大价钱去韩国整容，脸是不会变的。如果把不变的人脸作为验证很多服务的密码，这一做法本身就增加了风险。

（作者系《经济学人·商论》执行总编辑）