案例分享丨高校人脸识别应用的风险和应对措施-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > 校园信息化 > 高等教育

案例分享丨高校人脸识别应用的风险和应对措施

2025-10-15 中国教育网络

　　近年来，随着人工智能技术的快速发展，以人脸识别为代表的生物识别技术依靠其高效性、唯一性、安全性和便捷性等特点，逐步成为个人身份信息核验的主要方式。与此同时，人们对数据安全和个人隐私的保护也愈加重视，尤其是《个人信息保护法》颁布实施以来，越来越多的人意识到未正确使用人脸识别技术可能引发安全风险。

　　高校智慧校园建设过程中大量应用人脸识别技术，有力提升了学校的智能化管理水平，但同时其安全风险也引起了广大师生及社会公众的关切。思考如何安全合规地应用人脸识别技术，对高校智慧校园建设具有重要的研究价值。

高校人脸识别技术应用场景

　　2021年教育部发布的《高等学校数字校园建设规范(试行）》指出，校园运行应充分利用物联网、图像语音识别、数据分析等新兴技术，提供智能化校园园区服务。目前，人脸识别技术在国内高校应用广泛，主要有校园安全管理、教学科研管理、学生自助报到以及智慧服务应用等场景。

　　校园安全管理

　　校园安全管理是高校应用人脸识别技术最早和最多的场景，主要包括安防管理系统和智慧门禁系统等。安防管理系统是通过校园的监控系统，通过自动识别校园内人员信息实现对目标人员的安全管理，是确保校园安全的重要措施。借助于人脸识别技术的智慧门禁系统，用户无需携带任何证件即可通过刷脸完成身份识别，同时可以避免借用或者盗用他人证件的问题，有效提高识别效率和安全管理质量。

　　教学科研管理

　　高校教学科研管理领域的应用主要有人脸识别考试认证和人脸签到等场景。人脸识别考试认证是防止考试作弊的重要手段，通过身份证件和现场采集的人脸图像与身份库的照片比对识别考生身份，可确保是考生本人参加考试。目前，人脸识别考试认证已经广泛应用于硕士研究生统一招生考试和大学英语四六级考试等国家统一考试以及部分在线考试系统。人脸识别签到是利用人脸识别技术进行签到和认证的方法，通过摄像设备或专用人脸图像采集设备扫描人脸面部特征，快速识别人员身份信息。部分高校已将人脸识别签到技术应用于课堂考勤和会议签到等场景，实现准确高效的签到流程。

　　学生自助报到

　　为落实教育部严格审查新生入学资格的要求，高校需对新生身份信息进行核查确认，目前已经有多家高校将人脸识别技术用于新生报到。

　　智慧服务应用

　　高校校园里有大量具有人脸识别功能的智慧服务应用，主要有刷脸登录和刷脸支付等场景。刷脸登录是利用人脸识别技术实现自助身份认证，部分高校的自助终端、图书馆自助借阅或者移动校园应用APP等系统具有刷脸登录功能。

高校人脸识别技术应用安全风险分析

　　法律法规落实存在差距

　　“告知-同意”是个人信息保护的基本原则，对于人脸信息的处理，更是要取得个人在充分知情的前提下自愿、明确作出的“单独同意”。高校在使用人脸识别技术时，为方便管理和操作，往往会直接使用其他照片库的师生人脸图像默认开通人脸识别，未征求信息主体的“单独同意”。

　　《人脸识别技术应用安全管理办法》要求，应用人脸识别技术应当具有特定的目的和充分的必要性。高校在安全管理领域应用人脸识别技术，具有维护公共安全的必要性，但应用在教学管理、智慧服务等场景，缺乏充分的必要性。例如课堂考勤和学生上课表情状态分析等场景，存在滥用人脸信息的倾向。法律规定个人有权撤回同意处理人脸信息，但目前大部分高校在开通人脸识别后，并未提供撤回同意的相关渠道和操作。

　　管理制度体系有待完善

　　高校在数据安全，尤其是个人信息保护的管理上，普遍缺乏系统化、标准化的管理制度。一方面，学校内部对人脸信息采集、使用、存储、共享的职责划分不清，缺乏明确的数据责任主体，存在多个部门重复采集的问题。另一方面，缺乏覆盖数据生命周期全过程的管理要求，包括数据采集来源、访问审批流程、使用日志审计、数据存储与删除等环节的操作规程。此外，高校数据安全应急响应机制多数仍以网络安全事件为主，面对突发的数据安全事件时，无法在第一时间进行处置和溯源。总体来看，当前高校在制度层面尚未形成科学、闭环的数据安全管理体系。

　　技术防护能力仍需提高

　　随着高校面临的攻击威胁不断增加，人脸识别数据等敏感个人信息逐步成为攻击者的重要攻击目标，如“北京某高校学生照片被非法盗取后建颜值打分网站事件”造成了很大的社会影响。

　　目前，大部分高校已经具有完备的网络安全防护体系，但针对数据安全的防护体系仍需进一步完善。数据传输环节，由于门禁等系统使用的是内部网络，部分高校在人脸信息传输时采用HTTP协议明文传输，存在数据被窃取风险。数据存储环节，高校主要采取的是本地服务器或私有云的存储模式，早期建设的系统往往未能进行加密存储和设置有效的访问控制策略，同时会将人脸识别信息与身份信息同时存储，一旦泄露会造成比较严重的后果。数据使用环节，缺乏完整的日志记录和有效的安全监测措施，承载人脸信息的系统遭受恶意访问攻击时难以被及时发现。

　　以中山大学智慧门禁系统为例，该系统是分期建设的，不同校园的门禁设备分别来自不同的供应商，所采取的技术方案也各有不同。早期建设的门禁系统是由学校数据共享交换平台将个人身份信息和人脸信息共享交换到门禁系统的终端设备，多个终端设备明文存储有全部人脸信息和身份信息，存在较大的数据泄露风险，目前已经全部被替换。

　　人员安全意识相对薄弱

　　在高校人脸信息管理过程中，人员安全意识是保障数据安全的重要组成部分，但也是相对薄弱的部分，主要体现在以下两个方面。一方面是工作人员的对个人信息的敏感性认识不足，缺乏最小范围授权和最短时间存储原则的意识，存在系统过度授权、账户共享以及人脸信息数据文件随意发送和存储等现象，增加了数据滥用和泄露风险。系统第三方运维人员往往具有信息系统的最大访问权限，如果缺乏安全操作流程约束，存在数据泄露或者被恶意破坏的隐患。另一方面是师生的个人隐私保护意识不强，往往在不知情的情况下“默认同意”授权，缺乏主动维护个人隐私权益的意识。

高校人脸识别技术应用安全风险的应对措施

　　面对应用人脸识别技术过程中可能存在的诸多风险，高校应该积极应对，依据《数据安全法》《个人信息保护法》及其他相关法规要求，从合规、制度、技术和人员等维度全面加强安全管理，提高人脸识别技术应用的安全性。

　　加强法律法规执行力度

　　高校作为个人信息保护的重要战场，应深入贯彻落实《网络安全法》《数据安全法》《个人信息保护法》等法律法规，处理人脸信息时遵循合法、正当、必要和诚信原则。采集人脸信息前必须取得用户的“单独同意”，确保用户知情且自愿授权，并提供可替代的非人脸识别技术方式。在学生报到或者教职工入职时增加人脸信息采集及应用告知流程，仅在取得师生“单独同意”后开通人脸识别功能。提供人脸识别功能关闭渠道和操作入口，当用户不同意使用人脸识别时，可撤回“同意”并关闭相关功能。按照法规要求开展个人信息保护影响评估，评估人脸信息处理过程中的安全风险和保护措施，并按要求留存。

　　完善安全管理制度体系

　　高校应加强网络安全和信息化领导小组的统筹指导，不断完善数据安全和个人信息保护管理制度体系。明确数据责任单位，按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，落实安全责任。建立人脸信息安全保护指南，规范人脸信息全生命周期的安全措施，按照“一数一源”的原则，统一采集数据，避免分散采集。规范使用场景，使用人脸识别前应进行充分论证，建议除公共安全所必需之外，其他场景应优先采取非生物特征识别技术方案。完善数据删除制度流程，按照最短时间要求保存人脸识别数据，在学生毕业、教职工离退休等人员离校后及时删除人脸识别数据。

　　提高技术安全防护能力

　　技术是保障数据安全的基础，通过构建多层次、立体化的安全防护体系，能有效提高数据安全性。首先，要加强网络安全基础防护能力，通过部署入侵检测、防火墙、日志监控等安全设备，提升对外部网络攻击的防护能力。其次，要建立数据采集、传输、存储、使用和删除等全流程安全防护技术体系，确保数据流动过程中的安全。数据访问使用HTTPS协议确保通道安全，人脸信息加密存储并与个人身份信息隔离存储。应利用API监测技术对人脸信息的访问使用情况进行监测，当发生数据泄露风险时能够及时预警，安全事件可以追踪溯源。

图1 中山大学统一人脸认证管理平台逻辑架构

　　中山大学从2019年开始启动建设统一人脸认证管理平台（逻辑架构如图1），建立人脸信息采集入口，形成人脸信息的统一标准，集中采集和存储全校人员的人脸特征数据。平台具有人脸特征值抽取算法和人脸识别算法管理功能，不同应用和供应商均可申请注册算法引擎，进行人脸特征提取和识别认证。应用算法注册后，平台通过应用提供的算法提取特征值，将特征值存储在人脸平台或下发到终端门禁系统，避免使用原始人脸图像。同时，平台将人脸图像数据加密存储到对象存储系统，实现人脸数据与身份信息逻辑隔离。通过统一人脸认证管理平台，全校师生的人脸识别数据使用更加规范，在确保数据安全情况下发挥了人脸识别技术的应用价值。

　　强化人员数据安全意识

　　高校应面向系统管理员、运维人员、数据管理人员等重点人群，定期开展数据安全与个人信息保护专项培训，增强其对人脸信息敏感性的思想认识与合规操作能力。应根据需要签订数据安全保密协议并承担相应的法律责任，避免因管理或操作不规范出现数据泄露、被盗窃或非法使用等问题。同时应开展“个人信息保护”相关主题的宣传教育，宣传相关法律法规，加强全校师生的数据安全和个人隐私保护意识。

结语

　　人脸识别技术在高校中的应用场景日益丰富，已成为智慧校园建设的重要组成部分，尤其在校园安全方面发挥了重要作用。但由于数据的敏感性，其使用过程中也面临着较大的安全风险。如何正确使用人脸识别技术是一项融合法律、管理、技术和伦理等多重因素的系统性工程，既要充分发挥其在提升校园管理效率方面的优势，又要严守个人信息保护的法律底线，实现技术发展与数据安全的动态平衡。

　　高校在使用人脸识别技术时，应从全局统筹，在合规基础上做好人脸信息的安全管理，从制度、技术和人员三个层面加强建设，确保人脸识别技术有效赋能智慧校园建设。同时，高校还应积极推动技术创新，探索差分隐私、联邦学习等新型安全技术的落地应用，以更高水平的技术手段支撑数据安全目标的实现。

　　来源：《中国教育网络》2025年7月刊

　　作者：李冬阳夏碧瑜李淑清张永强（中山大学网络与信息中心）

　　责编：陈茜

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。