解读《人脸识别技术应用安全管理规定(试行)(征求意见稿)》|mhp君悦评论
2023-08-156471
打开微信,扫一扫二维码
订阅我们的微信公众号
打开手机,扫一扫二维码
即可通过手机访问网站并分享给朋友
近年来,政务管理、金融支付、门禁考勤等诸多领域大量使用了人脸识别技术,在极大便捷公众生活的同时也带了诸多问题,包括存在不规范使用的情况。人脸识别因其技术特点,涉及公众敏感个人信息,其不规范应用易引发一系列安全隐患,可能导致公民隐私权、财产权受到威胁。在此背景下,中央网信办2023年8月8日发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《规定》),征求反馈期为2023年9月7日。我们试图从政策法规层面解读人脸识别技术应用、个人权益保护、公共利益衡平等内容。
一、明确人脸识别技术使用的“最小必要”限度 《规定》第4条指出“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息”。《民法典》作为上位法对于个人信息保护的规定主要体现为第1035条强调,对于个人信息“不得过度处理”,要求采取对权利人最小侵害的方式处理信息,而《规定》“具有特定目的”与“充分的必要性”则是对“不得过度使用”的细化。具体而言,如能采取其他技术的方式,则无必要使用人脸识别技术,即严格要求“非必要,不使用”。 二、明确人脸识别技术在不同场景下的使用要求 (一)涉及个人隐私的公共场所、经营场所 《规定》第6条首次提出并且明令禁止在可能侵害他人隐私的场所,如旅馆客房、公共浴室、更衣室、卫生间等,安装图像采集、个人识别设备,以充分保护个人隐私。 在此基础上,《规定》第9条、第10条对在公共场所、经营场所使用人脸识别技术进行了进一步的规定,除法定义务及对“最小必要”限度的遵循外,在经营场所使用人脸识别技术还应征得信息主体的单独同意,不得以办理业务等原因强制使用。 使用远距离、无感式的人脸识别技术擅自采集人脸信息,无疑是人脸识别技术在公共场所、经营场所滥用的典型样态,在过往的实践中引发社会公众普遍质疑,楼盘、线下商场等场所使用摄像头抓拍人脸即为此例。对此,《规定》第10条严格限制了此类技术的前提条件,包括(1)为维护国家安全、公共安全或者在紧急情况下为保护自然人生命健康和财产安全所必需;(2)由个人或者利害关系人主动提出;(3)符合最小必要原则,将相关服务限定在最小必要的时间、地点或者人群范围内,不得关联与个人请求事项无直接、必然联系的个人信息。 (二)涉及个人隐私的组织机构内部使用 根据《规定》第8条,组织机构可以为实施内部管理安装图像采集、个人身份识别设备,但是同时应当根据实际需求合理确定图像信息采集区域,并采取严格保护措施,包括防止违规查阅、复制、公开、对外提供、传播个人图像以及防止个人信息泄露、篡改、丢失或者被非法获取、非法利用。 三、明确人脸识别技术的全链条保护 (一)人脸数据保护与删除 对敏感个人信息的存储,特别是个人生物识别信息的存储做了限制性规定,要求原则上不应存储原始个人生物识别信息(如样本、图像等)。《规定》第17条第1款规定,“除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。” 此外,人脸识别技术使用者应当采取相应技术保障人脸数据不被窃取或者系统侵入。《规定》第17条第2款要求人脸识别技术的服务提供者需达到网络安全等级保护3级以上的保护要求,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。属于关键信息基础设施的,还应当符合关键信息基础设施安全保护的相关要求。 (二)人脸识别技术风险评估 《规定》第19条增设了人脸识别技术使用者进行风险评估的义务,要求其每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并要求人脸识别技术使用者根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。 (三)强制性合格认证与配套监管 《规定》第20条额外规定了对外销售或者提供被列入网络关键设备和网络安全专用产品目录的图像采集设备、个人身份识别设备的前提条件,即按照相关国家标准的强制性要求,由具备资格的机构进行合格认证或者检测,例如“要求用户提供以电子信息或生物信息为载体的身份鉴别信息,确认应用系统使用者的身份鉴别产品”等。 《规定》第21条则规定了网信部门、电信主管部门(即工业和信息化部和省、自治区、直辖市通信管理局)、公安机关、市场监管部门为相应监管部门,负责对人脸技术的识别、使用以及备案进行监督和指导,人脸识别技术的使用者、产品或者服务提供者均负有配合监管的义务。然而,在监管层面,相关部门尚未制定人脸识别技术相关的专门规定或细则,后续监管动态备受瞩目。 四、明确人脸识别技术的单独同意规则 人脸识别技术存在两种适用情形:第一,法律法规允许的、为实现重大的利益所需的情形,例如公共安全、公共健康所需等;第二,法律法规不禁止,且获得主体明示同意授权的情形。在知情同意领域,同意的模式不断发展演变。传统的知情同意要求明确、具体且详实,被称为特别同意,但特别同意在以往生物特征信息处理(基因研究或生物资料库等)的实践中,被证明存在效率较低、无法满足实践所需的问题。无论是法定许可还是基于主体知情同意的情形,人脸识别势必需要采集海量人脸图像,并和数据库中存储的人脸识别符进行比对,因此完全适用特别同意的难度和成本之大将超乎想象。作为同属于生物识别信息的基因,在其处理实践中,概括同意模式允许将信息主体的同意从当下处理目的延伸扩充至固定框架下的未来处理目的,凭借其灵活性和自由度受到推崇。 《个人信息保护法》明确处理敏感个人信息需要在原有同意的基础上适用单独同意规则,对个人信息处理者处理敏感个人信息提出了更高的合规标准。人脸信息属于敏感个人信息的一种,处理人脸信息当然要符合《个人信息保护法》中关于敏感个人信息的特殊规定。《规定》第5条提出,人脸识别技术使用者应取得个人的单独同意或者依法取得书面同意,方可使用人脸识别技术处理人脸信息,法律、行政法规规定不需取得个人同意的除外。《规定》第9条指出,在使用人脸识别技术认证个人身份时,应确保个人自愿选择、充分知情、主动参与,并在验证过程中以语音或文字明确提示身份验证的目的。 未来“人脸识别技术应用安全管理规定”等系列法律法规的出台一定会更好的平衡技术进步和个人权利保护,在充分保护个人私有权利的同时便利我们每个人的生活。
