人臉識(shí)別技術(shù)�,是指通過對(duì)人臉信息的自動(dòng)化處理,實(shí)現(xiàn)驗(yàn)證個(gè)人身份��、辨識(shí)特定自然人或者預(yù)測(cè)分析個(gè)人特征等目的的技術(shù)��。伴隨數(shù)字化的普及與應(yīng)用��,人臉識(shí)別技術(shù)越發(fā)成熟��,現(xiàn)已拓展至刷臉支付�、門禁考勤、鐵路驗(yàn)票���、治安管理等多個(gè)具體應(yīng)用場(chǎng)景��。這項(xiàng)技術(shù)在顯著提升生活便利度的同時(shí)�����,也引發(fā)了來(lái)源多樣���、程度深刻的潛在安全風(fēng)險(xiǎn)。
(資料圖)
日前����,為規(guī)范人臉識(shí)別技術(shù)應(yīng)用����,國(guó)家網(wǎng)信辦關(guān)于《人臉識(shí)別技術(shù)應(yīng)用安全管理規(guī)定(試行)(征求意見稿)》(下稱《征求意見稿》)向社會(huì)公開征求意見���?��!墩髑笠庖姼濉妨⒆阌?ldquo;人臉識(shí)別技術(shù)的具體應(yīng)用”的安全管理,從保障個(gè)人權(quán)利���、強(qiáng)化使用者責(zé)任���、科學(xué)設(shè)定監(jiān)管等層面對(duì)人臉識(shí)別技術(shù)使用、人臉信息的采集����、使用、處理���、儲(chǔ)存等全流程��、全周期做出了詳細(xì)規(guī)定���,為保護(hù)個(gè)人權(quán)益、維護(hù)公共利益指明了方向����,具有十分重要的意義。
保障權(quán)利:夯實(shí)個(gè)人信息保護(hù)框架
人臉識(shí)別信息屬于個(gè)人敏感信息����,不僅涵蓋了“人臉”的人格利益,而且還體現(xiàn)了“數(shù)據(jù)”的財(cái)產(chǎn)價(jià)值�����,具有內(nèi)容豐富性����、高度敏感性、難以保護(hù)性及強(qiáng)社交屬性等特征�。因此,如果對(duì)人臉識(shí)別信息的收集�����、分析和使用超越了個(gè)人同意的場(chǎng)景,則極有可能會(huì)對(duì)信息主體的人格��、財(cái)產(chǎn)甚至人身安全造成損害��?��!墩髑笠庖姼濉穭t從個(gè)人權(quán)利角度對(duì)人臉識(shí)別信息施以了更加具有針對(duì)性的保護(hù)措施��,將處理生物識(shí)別信息活動(dòng)納入了法治化�、規(guī)范化軌道�����。
第一����,《征求意見稿》貫徹“非必要不使用”原則,對(duì)于人臉信息的采集進(jìn)行嚴(yán)格控制�����,最大限度地尊重了個(gè)人用戶的各項(xiàng)數(shù)據(jù)權(quán)利���。《個(gè)人信息保護(hù)法》規(guī)定��,處理個(gè)人信息應(yīng)當(dāng)遵循合法��、正當(dāng)����、必要和誠(chéng)信原則,處理個(gè)人信息應(yīng)當(dāng)采取對(duì)個(gè)人權(quán)益影響最小的方式��?����!墩髑笠庖姼濉返谒臈l明確規(guī)定:“只有在具有特定的目的和充分的必要性���,并采取嚴(yán)格保護(hù)措施的情形下,方可使用人臉識(shí)別技術(shù)處理人臉信息��。”為更好地保護(hù)個(gè)人信息����,嚴(yán)格控制采集信息的使用范圍,是人臉識(shí)別技術(shù)使用的首要原則�。
第二,《征求意見稿》有助于推動(dòng)數(shù)據(jù)規(guī)則的構(gòu)建����,完善用戶同意規(guī)則體系����,將場(chǎng)景理論引入人臉識(shí)別信息保護(hù)的同意規(guī)則之中��。此前��,我國(guó)對(duì)于人臉識(shí)別信息的保護(hù)一直停留在靜態(tài)的知情同意階段����,難以有效協(xié)調(diào)人臉識(shí)別信息保護(hù)與利用之間的利益沖突,無(wú)法從根本上解決同意困境���?�!墩髑笠庖姼濉穭t嚴(yán)格保證了信息主體知情權(quán)��,第五條規(guī)定��,使用人臉識(shí)別技術(shù)處理人臉信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意或者依法取得書面同意����。
《征求意見稿》還立足于“人臉識(shí)別技術(shù)的具體應(yīng)用”的安全管理���,其中第六條����、第七條、第八條針對(duì)“旅館客房���、公共浴室�、更衣室��、衛(wèi)生間及其他可能侵害他人隱私的場(chǎng)所”“公共場(chǎng)所”“為實(shí)施內(nèi)部管理的組織機(jī)構(gòu)”“賓館�、銀行���、車站����、機(jī)場(chǎng)���、體育場(chǎng)館�、展覽館�����、博物館、美術(shù)館����、圖書館等經(jīng)營(yíng)場(chǎng)所”分別制定了專門治理規(guī)則,及時(shí)回應(yīng)了公眾關(guān)切��,有助于保護(hù)個(gè)人信息權(quán)益及其他人身和財(cái)產(chǎn)權(quán)益�,維護(hù)社會(huì)秩序和公共安全。
第三��,《征求意見稿》凸顯了信息身份保護(hù)的理念�,充分保障人民群眾對(duì)于人臉信息使用的人格權(quán)與數(shù)據(jù)用益權(quán),改變了用戶在數(shù)據(jù)管理中的弱勢(shì)地位��。《征求意見稿》第九條規(guī)定���,個(gè)人自愿選擇使用人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份的���,應(yīng)當(dāng)確保個(gè)人充分知情并在個(gè)人主動(dòng)參與的情況下進(jìn)行,驗(yàn)證過程中應(yīng)當(dāng)以清晰易懂的語(yǔ)音或者文字等方式即時(shí)明確提示身份驗(yàn)證的目的�����。第十三條更是規(guī)定了未成年人收集人臉要監(jiān)護(hù)人單獨(dú)同意���,對(duì)未成年人的特殊處理���,這些都進(jìn)一步保障了公眾的“數(shù)據(jù)人權(quán)”�,助益各方準(zhǔn)確理解和把握人臉信息技術(shù)使用必須達(dá)到的合規(guī)水準(zhǔn)�����。
規(guī)范責(zé)任:強(qiáng)化使用者主體責(zé)任意識(shí)
安全是發(fā)展的前提����,人臉識(shí)別作為科技進(jìn)步改變生活的生動(dòng)案例,從技術(shù)角度而言��,固然具有無(wú)可比擬的精準(zhǔn)性和便捷性��,但從安全角度來(lái)看�,其并不是適合優(yōu)先選擇的技術(shù)方案����。企業(yè)出于商業(yè)利益追求信息收集的方便快捷,而公眾看重和在意的則是安全���,安全也是國(guó)家監(jiān)管和立法層面的遵循�����。人臉識(shí)別信息能不能使用�����、如何使用���,都必須在制度的框架內(nèi)進(jìn)行�,切不能讓企業(yè)收集利益和方便考量�,凌駕于個(gè)人的信息安全之上。
企業(yè)作為生產(chǎn)經(jīng)營(yíng)活動(dòng)的主體��,在經(jīng)濟(jì)社會(huì)中承擔(dān)著法律賦予的第一責(zé)任人的義務(wù)���。落實(shí)企業(yè)主體責(zé)任����,是安全治理��、秩序維護(hù)之本����。為了社會(huì)更好的發(fā)展���,《征求意見稿》重視人臉識(shí)別技術(shù)的安全應(yīng)用,強(qiáng)調(diào)人臉識(shí)別技術(shù)應(yīng)用中法律治理和倫理治理的統(tǒng)一����。不管是以何種手段來(lái)收集個(gè)人信息,都應(yīng)該是以讓渡個(gè)人信息的個(gè)體為本位��,而不是以企業(yè)收集和使用的需求為本位�����,讓人臉識(shí)別技術(shù)真正便民�����、利民���、護(hù)民��。
首先,《征求意見稿》完善有效法律法規(guī)��,強(qiáng)化有效制度設(shè)計(jì)�����,嚴(yán)格劃定了人臉識(shí)別技術(shù)應(yīng)用紅線。企業(yè)要實(shí)現(xiàn)有效自律�,一般需要以一定的外部壓力為條件,這種外部壓力主要來(lái)自法律的威懾���?���!墩髑笠庖姼濉返谌龡l嚴(yán)格要求使用人臉識(shí)別技術(shù)遵守法律法規(guī)����,不得利用人臉識(shí)別技術(shù)從事危害國(guó)家安全、損害公共利益��、擾亂社會(huì)秩序��、侵害個(gè)人和組織合法權(quán)益等法律法規(guī)禁止的活動(dòng)等���。
其中�,《征求意見稿》第九條更是從企業(yè)層面明確規(guī)定����,“不得以辦理業(yè)務(wù)����、提升服務(wù)質(zhì)量等為由強(qiáng)制�、誤導(dǎo)、欺詐����、脅迫個(gè)人接受人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份”,并貫徹告知與選擇機(jī)制�����,有意通過《征求意見稿》改變用戶在數(shù)據(jù)管理中的弱勢(shì)地位�����,強(qiáng)化隱私保護(hù)的技術(shù)手段����。同時(shí),《征求意見稿》在懲戒措施層面����,不只體現(xiàn)在對(duì)企業(yè)的經(jīng)濟(jì)處罰���,構(gòu)成犯罪的��,要求依法追究刑事責(zé)任��,并通過法律手段���,進(jìn)一步調(diào)動(dòng)全社會(huì)的監(jiān)管資源����,逐步形成社會(huì)共治格局�����,督促企業(yè)落實(shí)主體責(zé)任�����。
其次����,在部分特定場(chǎng)景中,《征求意見稿》將人臉識(shí)別技術(shù)應(yīng)用從主位移至輔位���,遵循“以人工審核為基礎(chǔ)���,以人臉識(shí)別驗(yàn)證作為輔助”的規(guī)則����,不斷提升人臉識(shí)別信息采集����、處理與使用的透明度。《征求意見稿》第十二條對(duì)于“涉及社會(huì)救助��、不動(dòng)產(chǎn)處分等個(gè)人重大利益的”場(chǎng)景���,要求不得使用人臉識(shí)別技術(shù)替代人工審核個(gè)人身份���,并表示只可作為驗(yàn)證身份的輔助手段。第十四條規(guī)定�����,物業(yè)服務(wù)企業(yè)等建筑物管理人不得將使用人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份作為出入物業(yè)管理區(qū)域的唯一方式���,個(gè)人如果不同意通過人臉信息進(jìn)行驗(yàn)證����,物業(yè)服務(wù)企業(yè)等建筑物管理人應(yīng)當(dāng)提供其他合理、便捷的驗(yàn)證方式�。
可見��,《征求意見稿》通過強(qiáng)制性和義務(wù)性規(guī)定�,對(duì)企業(yè)使用人臉識(shí)別技術(shù)、采集人臉信息進(jìn)行了嚴(yán)格限制����。實(shí)際上,這是通過構(gòu)建“有所為�、有所不為”的規(guī)則體系,進(jìn)一步強(qiáng)化企業(yè)和公眾用戶之間的信任關(guān)系����。這不僅有利于對(duì)個(gè)人信息與隱私實(shí)行最大限度的保護(hù),而且通過安全�����、規(guī)范的制度構(gòu)建可切實(shí)促進(jìn)用戶的信息披露意愿��,有助于企業(yè)合規(guī)運(yùn)營(yíng)����,行穩(wěn)致遠(yuǎn)��。
科學(xué)監(jiān)管:筑牢數(shù)據(jù)信息安全屏障
目前���,五花八門的人臉識(shí)別應(yīng)用已經(jīng)在社會(huì)生活中逐步普及,相關(guān)政策制度的完善�����,不僅是對(duì)違規(guī)行為的一種預(yù)防�����,更是立足于對(duì)業(yè)已出現(xiàn)的亂象作出更有力的規(guī)制和糾偏����。為了更好規(guī)范人臉識(shí)別技術(shù)的應(yīng)用,須不斷強(qiáng)化與完善科學(xué)監(jiān)管�,筑牢數(shù)據(jù)信息的安全防線?����!墩髑笠庖姼濉窂氖虑凹訌?qiáng)個(gè)人信息保護(hù)影響評(píng)估���,事中事后強(qiáng)化和完善監(jiān)督執(zhí)行��,改進(jìn)安全策略等全周期監(jiān)管上��,不斷調(diào)整人臉識(shí)別技術(shù)應(yīng)用的置信度閾值���。
第一�����,《征求意見稿》與《個(gè)人信息保護(hù)法》要求“在處理敏感個(gè)人信息前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估”的規(guī)定相銜接,將個(gè)人信息保護(hù)影響評(píng)估作為使用人臉識(shí)別技術(shù)應(yīng)用的前置性條件��。同時(shí)���,監(jiān)管部門對(duì)人臉識(shí)別技術(shù)應(yīng)用采取審慎嚴(yán)謹(jǐn)?shù)膽B(tài)度��,要求個(gè)人信息保護(hù)影響評(píng)估報(bào)告應(yīng)當(dāng)至少保存三年�����。處理人臉信息的目的����、方式發(fā)生變化,或者發(fā)生重大安全事件的���,人臉識(shí)別技術(shù)使用者應(yīng)當(dāng)重新進(jìn)行個(gè)人信息保護(hù)影響評(píng)估���。此外,新規(guī)亦規(guī)定了針對(duì)圖像采集設(shè)備����、個(gè)人身份識(shí)別設(shè)備的安全性和潛在風(fēng)險(xiǎn)進(jìn)行年度檢測(cè)評(píng)估的義務(wù),也需要對(duì)應(yīng)關(guān)注����。
第二,《征求意見稿》強(qiáng)調(diào)了信息備案的重要性����,針對(duì)人臉識(shí)別技術(shù)的“線上使用者”“線下使用者”進(jìn)行分類規(guī)定,強(qiáng)化各方主體義務(wù)�����。信息備案的義務(wù)主體是“人臉識(shí)別使用者”���,而不是“技術(shù)提供方”���,備案主體涉及范圍較大����,包括在公共場(chǎng)所使用人臉識(shí)別技術(shù)��,或者存儲(chǔ)超過1萬(wàn)人人臉信息的所有人臉識(shí)別技術(shù)使用者����。加之備案內(nèi)容較為詳細(xì)豐富,涉及人臉識(shí)別技術(shù)使用者及其個(gè)人信息保護(hù)負(fù)責(zé)人的基本情況���、處理人臉信息的必要性說(shuō)明、人臉信息的處理目的�、處理方式和安全保護(hù)措施、人臉信息的處理規(guī)則和操作規(guī)程���、個(gè)人信息保護(hù)影響評(píng)估報(bào)告以及網(wǎng)信部門認(rèn)為需要提供的其他材料��。
第三���,《征求意見稿》在監(jiān)管層面針對(duì)面向社會(huì)公眾提供人臉識(shí)別技術(shù)服務(wù)者提出了嚴(yán)格規(guī)定,從技術(shù)安全等多個(gè)角度筑牢數(shù)據(jù)信息安全防線�����。人臉識(shí)別服務(wù)提供者就是“技術(shù)服務(wù)商”,是給市場(chǎng)主體提供人臉識(shí)別技術(shù)部署或接口的主體����。《征求意見稿》從優(yōu)選官方數(shù)據(jù)庫(kù)�����、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)以上保護(hù)要求��、關(guān)鍵產(chǎn)品目錄等三個(gè)方面對(duì)人臉識(shí)別技術(shù)服務(wù)進(jìn)行了限定����,要求相關(guān)技術(shù)系統(tǒng)需符合,并采取數(shù)據(jù)加密���、安全審計(jì)�����、訪問控制�����、授權(quán)管理�、入侵檢測(cè)和防御等措施保護(hù)人臉信息安全。
(作者系南開大學(xué)競(jìng)爭(zhēng)法研究中心主任��、法學(xué)院副院長(zhǎng)�����、教授�,南開大學(xué)數(shù)字經(jīng)濟(jì)交叉科學(xué)中心研究員)
