人脸识别技术,是指通过对人脸信息的自动化处理,实现验证个人身份、辨识特定自然人或者预测分析个人特征等目的的技术。伴随数字化的普及与应用,人脸识别技术越发成熟,现已拓展至刷脸支付、门禁考勤、铁路验票、治安管理等多个具体应用场景。这项技术在显著提升生活便利度的同时,也引发了来源多样、程度深刻的潜在安全风险。

日前,为规范人脸识别技术应用,国家网信办关于《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(下称《征求意见稿》)向社会公开征求意见。《征求意见稿》立足于“人脸识别技术的具体应用”的安全管理,从保障个人权利、强化使用者责任、科学设定监管等层面对人脸识别技术使用、人脸信息的采集、使用、处理、储存等全流程、全周期做出了详细规定,为保护个人权益、维护公共利益指明了方向,具有十分重要的意义。


(资料图片仅供参考)

保障权利:夯实个人信息保护框架

人脸识别信息属于个人敏感信息,不仅涵盖了“人脸”的人格利益,而且还体现了“数据”的财产价值,具有内容丰富性、高度敏感性、难以保护性及强社交属性等特征。因此,如果对人脸识别信息的收集、分析和使用超越了个人同意的场景,则极有可能会对信息主体的人格、财产甚至人身安全造成损害。《征求意见稿》则从个人权利角度对人脸识别信息施以了更加具有针对性的保护措施,将处理生物识别信息活动纳入了法治化、规范化轨道。

第一,《征求意见稿》贯彻“非必要不使用”原则,对于人脸信息的采集进行严格控制,最大限度地尊重了个人用户的各项数据权利。《个人信息保护法》规定,处理个人信息应当遵循合法、正当、必要和诚信原则,处理个人信息应当采取对个人权益影响最小的方式。《征求意见稿》第四条明确规定:“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。”为更好地保护个人信息,严格控制采集信息的使用范围,是人脸识别技术使用的首要原则。

第二,《征求意见稿》有助于推动数据规则的构建,完善用户同意规则体系,将场景理论引入人脸识别信息保护的同意规则之中。此前,我国对于人脸识别信息的保护一直停留在静态的知情同意阶段,难以有效协调人脸识别信息保护与利用之间的利益冲突,无法从根本上解决同意困境。《征求意见稿》则严格保证了信息主体知情权,第五条规定,使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。

《征求意见稿》还立足于“人脸识别技术的具体应用”的安全管理,其中第六条、第七条、第八条针对“旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所”“公共场所”“为实施内部管理的组织机构”“宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所”分别制定了专门治理规则,及时回应了公众关切,有助于保护个人信息权益及其他人身和财产权益,维护社会秩序和公共安全。

第三,《征求意见稿》凸显了信息身份保护的理念,充分保障人民群众对于人脸信息使用的人格权与数据用益权,改变了用户在数据管理中的弱势地位。《征求意见稿》第九条规定,个人自愿选择使用人脸识别技术验证个人身份的,应当确保个人充分知情并在个人主动参与的情况下进行,验证过程中应当以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的。第十三条更是规定了未成年人收集人脸要监护人单独同意,对未成年人的特殊处理,这些都进一步保障了公众的“数据人权”,助益各方准确理解和把握人脸信息技术使用必须达到的合规水准。

规范责任:强化使用者主体责任意识

安全是发展的前提,人脸识别作为科技进步改变生活的生动案例,从技术角度而言,固然具有无可比拟的精准性和便捷性,但从安全角度来看,其并不是适合优先选择的技术方案。企业出于商业利益追求信息收集的方便快捷,而公众看重和在意的则是安全,安全也是国家监管和立法层面的遵循。人脸识别信息能不能使用、如何使用,都必须在制度的框架内进行,切不能让企业收集利益和方便考量,凌驾于个人的信息安全之上。

企业作为生产经营活动的主体,在经济社会中承担着法律赋予的第一责任人的义务。落实企业主体责任,是安全治理、秩序维护之本。为了社会更好的发展,《征求意见稿》重视人脸识别技术的安全应用,强调人脸识别技术应用中法律治理和伦理治理的统一。不管是以何种手段来收集个人信息,都应该是以让渡个人信息的个体为本位,而不是以企业收集和使用的需求为本位,让人脸识别技术真正便民、利民、护民。

首先,《征求意见稿》完善有效法律法规,强化有效制度设计,严格划定了人脸识别技术应用红线。企业要实现有效自律,一般需要以一定的外部压力为条件,这种外部压力主要来自法律的威慑。《征求意见稿》第三条严格要求使用人脸识别技术遵守法律法规,不得利用人脸识别技术从事危害国家安全、损害公共利益、扰乱社会秩序、侵害个人和组织合法权益等法律法规禁止的活动等。

其中,《征求意见稿》第九条更是从企业层面明确规定,“不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份”,并贯彻告知与选择机制,有意通过《征求意见稿》改变用户在数据管理中的弱势地位,强化隐私保护的技术手段。同时,《征求意见稿》在惩戒措施层面,不只体现在对企业的经济处罚,构成犯罪的,要求依法追究刑事责任,并通过法律手段,进一步调动全社会的监管资源,逐步形成社会共治格局,督促企业落实主体责任。

其次,在部分特定场景中,《征求意见稿》将人脸识别技术应用从主位移至辅位,遵循“以人工审核为基础,以人脸识别验证作为辅助”的规则,不断提升人脸识别信息采集、处理与使用的透明度。《征求意见稿》第十二条对于“涉及社会救助、不动产处分等个人重大利益的”场景,要求不得使用人脸识别技术替代人工审核个人身份,并表示只可作为验证身份的辅助手段。第十四条规定,物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人如果不同意通过人脸信息进行验证,物业服务企业等建筑物管理人应当提供其他合理、便捷的验证方式。

可见,《征求意见稿》通过强制性和义务性规定,对企业使用人脸识别技术、采集人脸信息进行了严格限制。实际上,这是通过构建“有所为、有所不为”的规则体系,进一步强化企业和公众用户之间的信任关系。这不仅有利于对个人信息与隐私实行最大限度的保护,而且通过安全、规范的制度构建可切实促进用户的信息披露意愿,有助于企业合规运营,行稳致远。

科学监管:筑牢数据信息安全屏障

目前,五花八门的人脸识别应用已经在社会生活中逐步普及,相关政策制度的完善,不仅是对违规行为的一种预防,更是立足于对业已出现的乱象作出更有力的规制和纠偏。为了更好规范人脸识别技术的应用,须不断强化与完善科学监管,筑牢数据信息的安全防线。《征求意见稿》从事前加强个人信息保护影响评估,事中事后强化和完善监督执行,改进安全策略等全周期监管上,不断调整人脸识别技术应用的置信度阈值。

第一,《征求意见稿》与《个人信息保护法》要求“在处理敏感个人信息前进行个人信息保护影响评估”的规定相衔接,将个人信息保护影响评估作为使用人脸识别技术应用的前置性条件。同时,监管部门对人脸识别技术应用采取审慎严谨的态度,要求个人信息保护影响评估报告应当至少保存三年。处理人脸信息的目的、方式发生变化,或者发生重大安全事件的,人脸识别技术使用者应当重新进行个人信息保护影响评估。此外,新规亦规定了针对图像采集设备、个人身份识别设备的安全性和潜在风险进行年度检测评估的义务,也需要对应关注。

第二,《征求意见稿》强调了信息备案的重要性,针对人脸识别技术的“线上使用者”“线下使用者”进行分类规定,强化各方主体义务。信息备案的义务主体是“人脸识别使用者”,而不是“技术提供方”,备案主体涉及范围较大,包括在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的所有人脸识别技术使用者。加之备案内容较为详细丰富,涉及人脸识别技术使用者及其个人信息保护负责人的基本情况、处理人脸信息的必要性说明、人脸信息的处理目的、处理方式和安全保护措施、人脸信息的处理规则和操作规程、个人信息保护影响评估报告以及网信部门认为需要提供的其他材料。

第三,《征求意见稿》在监管层面针对面向社会公众提供人脸识别技术服务者提出了严格规定,从技术安全等多个角度筑牢数据信息安全防线。人脸识别服务提供者就是“技术服务商”,是给市场主体提供人脸识别技术部署或接口的主体。《征求意见稿》从优选官方数据库、网络安全等级保护第三级以上保护要求、关键产品目录等三个方面对人脸识别技术服务进行了限定,要求相关技术系统需符合,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。

(作者系南开大学竞争法研究中心主任、法学院副院长、教授,南开大学数字经济交叉科学中心研究员)

推荐内容