界面新闻记者 |
界面新闻编辑 | 翟瑞民
人脸识别技术在现实生活中应用正越来越广泛。如何确保其合理规范发展,已成为个人信息保护领域的一个焦点问题。
日前,国家互联网信息办公室起草了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(下称《征求意见稿》),并面向社会公开征求意见,意见反馈截止时间为2023年9月7日。
专家指出,《征求意见稿》回应了人脸识别技术滥用等问题,对人脸识别技术的使用条件、使用禁则、备案要求、数据保护作了规定,为保护个人信息权益及财产权益、维护社会秩序和公共安全指明了方向。
人脸识别,是基于人的脸部特征信息进行身份识别的一种生物识别技术。
近些年,人脸识别技术应用引发的争议不断。前有杭州野生动物园因强制游客“刷脸”入园被告上法庭,被媒体称作“人脸识别第一案”,后有清华大学法学院教授劳东燕拒绝小区使用人脸识别作为门禁方式引发网络热议,公民个人敏感信息保护问题伴随着人脸识别技术应用日益浮现。
人脸识别技术之所以被广泛应用,中国人民大学法学院教授、民商事法律科学研究中心执行主任石佳友对界面新闻表示,一方面离不开这项技术相比于传统验证方式迅捷、准确、降低人力成本的特点,另一方面,也跟技术开发者主动大力推介有关,“过去很多年,技术开发者会主动跟不同单位形成数据收集合作关系,不计成本地推行人脸设备,用来收集大量数据、训练模型并提高技术精度。”
2021年11月1日,我国个人信息保护法正式施行,为公民个人信息保护提供法律保障。目前,我国采用分散立法模式对公民个人信息进行保护,民法典、个人信息保护法、网络安全法等法律均对此领域有所涉及。针对人脸识别技术,2021年,最高人民法院曾发布关于审理使用人脸识别技术处理个人信息的司法解释,为人脸识别技术相关的民事案件提供参考。
“人脸识别技术为企业和社会管理带来便利的情况下,也正在带来个人信息泄露、财产损失甚至人身安全威胁等风险,因此有必要采取法律规制,在个人权益保护和公共利益之间寻求平衡。”石佳友告诉界面新闻。
《征求意见稿》的亮点之一是从网络信息安全使用的角度对“人脸识别技术使用者”进行规制。此外,《征求意见稿》还区分了“公共场所”和‘组织机构实施内部管理’两种技术应用场景,对其安装图像采集、个人身份识别设备的行为提出了不同要求。
人脸识别技术中隐藏在暗处的摄像头是公众的心头隐患,《征求意见稿》第6条明确指明,旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备。
《征求意见稿》第9条规定,宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
石佳友表示,该条规定指明,经营性场所为了验证身份信息而使用人脸识别技术的,也应当提供除了人脸识别之外能够核实身份信息的方式来供用户自主选择。此外,此处限定的是经营性的公共场所,对于国家机关单位的办事大厅等非经营性场所来说,并不受本条款限制。
《征求意见稿》第16条还规定,在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。石佳友认为,该规定对人脸识别技术使用者增加了“备案”的要求,加强了对人脸识别技术使用者的监管,且规定了什么样的场景下必须要备案,有利于形成统一、规范、透明的备案制度。而备案制度让人脸识别技术使用门槛提高,小区物业、手机应用、打卡公司等企业或将降低人脸采集技术的应用频率。
人脸识别技术抓取人脸信息之后,如何处理这一类个人敏感信息是公众担心的问题。对此,《征求意见稿》第17条指出,除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。
石佳友认为,此条规定尝试从源头杜绝人脸数据被泄露和不法使用的问题,“人脸信息收集的目的就是识别,按原则来说,达到识别目的后,原始人脸信息就应该被删除,没有保存一说,技术使用者如果在应用中能落实这一条,后续个人信息泄露所引发的问题将大大减少。”他说。
远距离、无感知识别指的是在被识别者不知情的情况下对其进行人脸辨别。近些年,有房地产销售商为判定客源,在消费者进入售楼中心后使用该技术抓拍消费者的人脸照片并记录其行动轨迹,以分析其购买意愿、心理特征等,引发社会争议。
对此,《征求意见稿》指出, “远距离、无感式辨识特定自然人”的使用前提应当是“为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需”。石佳友表示,这类使用目的对应到实际场景中通常是寻找失踪人员、犯罪嫌疑人、犯罪受害人等,使用者也多是公安机关等国家单位。实际上,这也是国际上公认的人脸识别技术所允许应用的场景。
《征求意见稿》还指明,使用未成年人人脸信息需要其监护人同意。石佳友指出,未成年人的风险认知能力较弱,“在网络游戏等一些场景中,或出于小恩小惠就把人脸信息提供出去,而人脸信息不可更改,一旦泄露并被滥用,或将对其一生产生重大影响。因此,采集未成年人人脸识别技术需要警惕。”
此外,《征求意见稿》中部分条款是对个人信息保护法的重申或细化落实。比如第4、5条规定,使用人脸识别技术需要具有“特定目的”和“充分必要性”,且应当“取得个人同意”,分别是对个人信息保护法第28条和第13条的细化落实。
石佳友认为,上述两条法规在人脸识别技术的实际应用中并未得到严格执行。“生活里很多本可以使用刷卡等验证方式的场景,诸如进出校园、小区等,却升级为人脸识别验证。且人脸识别服务存在‘使用即同意'的现象,或者将人脸识别设置为唯一的识别方式,导致个体因需要选择服务而不得不同意,这并不符合法律规范”,他说,“《征求意见稿》中重申这两条法规,希望技术使用者能落地执行,人脸识别技术不可以被随处使用,也不能不经个人同意就施加使用。”
值得注意的是,《征求意见稿》中首次提出“人脸识别技术使用者”这一主体,而个人信息保护法中使用的是“个人信息处理者”表述。石佳友表示,目前,法律对这两个主体概念范围的辨析尚不明确,建议《征求意见稿》可进一步对“人脸识别技术使用者”这一关键词进行解释界定,明确主体含义后,才能精准地界定适用对象和范围。
石佳友认为,法律应对人脸识别技术使用者违法行为的具体认定标准和处罚措施进一步细化。目前,《征求意见稿》中对人脸识别技术使用者的监督机制较弱,对于违法行为的认定和处罚措施参照的是个人信息保护法、网络安全法、数据安全法等上位法。他建议,可以在《征求意见稿》中细化法律责任,“何种情况下约谈?何种情况下罚款,罚多少?都可以细化,法律责任部分充实了,才能对违法者起到震慑作用。”
此外他建议,《征求意见稿》中尚且缺乏对公民在人脸识别场景下个人信息权益具体的保护措施,当公民个人敏感信息被泄露或不法使用时,需要为个体指明救济途径和渠道,以及当发生严重的人脸信息泄露问题,需要具备应对问题的应急预案。
评论