细化落实上位法规定 对人脸识别进行精细化治理 《人脸识别技术应用安全管理规定(试行)(征求意见稿)…
原创 任文岱 民主与法制时报
核心提示:《人脸识别技术应用安全管理规定(试行)(征求意见稿)》在遵循上位法治理路径的同时,进一步细化上位法规定,具有较强的可操作性,为人脸识别技术应用的精细化治理提供明确指引。
(资料图)
武丹/制图
记者|任文岱
责编|薛应军
正文共3605个字,预计阅读需11分钟▼
8月8日,为规范人脸识别技术应用,国家互联网信息办公室根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,起草、发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见。意见反馈截止时间为2023年9月7日。
近日,民主与法制社记者就《征求意见稿》主要亮点等内容采访了有关专家学者。受访专家学者表示,《征求意见稿》在遵循上位法治理路径的同时,进一步细化上位法规定,具有较强的可操作性,为人脸识别技术应用的精细化治理提供明确指引。
细化落实上位法规定
当前,我国对人脸识别的规制散见于民法典、个人信息保护法等法律中。受访专家学者表示,《征求意见稿》延续了我国民法典、个人信息保护法等上位法中有关人脸识别的法律规定。如,《中华人民共和国个人信息保护法》第六十二条规定,国家网信部门统筹协调有关部门针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。此外,围绕人脸识别重点安全问题,国家市场监管总局、国家标准化管理委员会发布的国家标准《信息安全技术 人脸识别数据安全要求》(以下简称《安全要求》)于今年5月1日正式实施。
中国政法大学数据法治研究院教授、中国法学会网络与信息法学研究会副会长王立梅表示,相较于《安全要求》对人脸信息处理规则的详细规定,《征求意见稿》更宏观,适用范围更广泛。
“系统来看,《征求意见稿》的条款总体上与上位法及《安全要求》等形成较为清楚的层级划分,设计较为科学,属于我国推进人脸识别技术应用治理规划的关键动作之一。”王立梅说。
受访专家学者表示,《征求意见稿》在延续上位法规定基础之上,在多方面作出了更精细的规定。比如,《个人信息保护法》第五十五条规定,处理敏感个人信息的个人信息处理者,应当事前进行个人信息保护影响评估,并对处理情况进行记录。《征求意见稿》第十五条则对事前个人信息保护影响评估作了具体明确的要求。
上海政法学院教授张继红表示,《征求意见稿》将“事前进行个人信息保护影响评估”具体到了人脸识别技术应用场景,具有较强的可操作性。具体而言,《征求意见稿》第十五条在合法性上补充了国家标准的强制性要求以及伦理道德要求,在必要性上补充了“处理人脸信息是否具有特定的目的和充分的必要性”“是否限于实现目的所必需的准度、精度及距离要求”,在危害性上补充了“发生或者可能发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、非法利用的风险以及可能造成的危害”。
王立梅表示,《征求意见稿》结合人脸识别场景进行更具有针对性的细化规定,既为人脸识别技术使用者提供了更具有操作性的指引,也为监管部门实施监管提供了更加明确的抓手。
针对“最小必要”原则的亮点设计
《征求意见稿》第四条第一款规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。
王立梅表示,该规定采取以“特定目的+充分必要性+严格保护措施”方式,对采用“刷脸”作为身份识别机制的方案进行了前提性限制,这对实践中存在的强制或诱导用户优先或必须使用人脸识别完成身份验证等现象进行了有效规制。
《征求意见稿》第四条还规定“存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案”“鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道”。
在王立梅看来,这是颇具亮点的设计,分别意味着默认“刷脸后置”和“非权威渠道后置”。
张继红表示,除第四条规定外,《征求意见稿》第八条、第十条、第十八条的相关规定,都贯彻落实了个人信息保护法规定的“最小必要”原则,并对“最小必要”原则进行细化。比如,第八条要求“应当根据实际需求合理确定图像信息采集区域”;第十条要求对使用人脸识别技术远距离、无感式辨识的,“应当将相关服务限定在最小必要的时间、地点或者人群范围内”;第十八条规定,“应当尽量避免采集与提供服务无关的人脸信息”“应当及时删除或者进行匿名化处理”人脸信息。
提出人脸识别技术使用备案制度
《征求意见稿》第十六条规定,在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。
“备案制度是较审批制度灵活且较评估制度严格的管理机制”。王立梅认为,在人脸识别技术应用领域作出备案制度设计,是继App备案、个人信息出境标准合同备案、算法备案之后的又一备案制度,它逐渐成为我国在个人信息保护、数据安全等领域常态化的监管手段之一。
“在大型文体活动的入场核验等环节,‘刷脸’规模动辄以万人计,且演出活动等一旦结合巡回、连场等形式,涉及人脸信息体量更庞大。”王立梅表示,这是对具有规模性、公共性的人脸识别应用作出的特别要求。
“备案制度能有效降低人脸采集信息可能被滥用的风险。”张继红表示,《征求意见稿》规定的备案制度扩大义务主体范围,要求备案义务主体是“人脸识别使用者”,而不是单纯的“技术提供方”,将之前常忽略的线下主体如宾馆、商场、办公楼宇、电影院、博物馆等,都纳入备案范围。从使用企业角度看,人脸技术的使用门槛和合规要求大幅度提升,大部分企业可能会降低人脸识别技术采集个人信息的使用频率。
对不同场景设定差异化合规要求
除“精细化”规定外,“场景化”也是《征求意见稿》的一大亮点。比如第六条规定,旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备;第九条规定,宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
王立梅表示,实践中一些场所常以“管理要求”“提升服务质量”等为由,要求用户在验证个人身份时接受人脸识别技术验证。《征求意见稿》对以上述理由强制、误导、欺诈、胁迫个人“刷脸”的行为作了原则性禁止规定。
张继红表示,《征求意见稿》第九条对“经营场所”的列举,与2021年8月1日起实施的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中对应条款相比,所列的范围更广,但有所差异,后者仅列举了“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所”。
此外,《征求意见稿》第七条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,设置显著提示标识;第十四条对物业只以“刷脸”作为出入门禁的情形也作了禁止性规定。张继红认为,这都是针对人脸识别技术的不同应用场景提出的差异化合规要求。
王立梅表示,这些规定紧密结合场景,呈现出鲜明的针对性。
个别条款有待进一步完善
针对《征求意见稿》的个别条款,受访专家学者认为还可以进一步完善。
王立梅表示,《征求意见稿》第八条规定:“组织机构为实施内部管理安装图像采集、个人身份识别设备的,应当根据实际需求合理确定图像信息采集区域,采取严格保护措施,防止违规查阅、复制、公开、对外提供、传播个人图像等行为,防止个人信息泄露、篡改、丢失或者被非法获取、非法利用。”这里的“为实施内部管理”所需的合理的“图像信息采集区域”如何确定,应进一步明确。例如,组织机构出入口、考勤设备区、工位区和休息区等,哪些区域属于合理采集区域,实践中需要根据组织机构的性质、业务敏感度等因素细化规则。此外,《征求意见稿》第十二条提出的“个人重大利益”概念也需要进一步作出明确解释。
张继红建议,剔除《征求意见稿》中一些重复性、宣示性内容,尽可能将问题聚焦于人脸识别技术本身的安全风险与治理方案规则设计上。例如,第五条关于个人信息保护的单独同意或书面同意等规定,第七条第一款关于公共场所图像采集等设备的规定,第十三条第一款关于未成年人信息保护的规定,是对个人信息保护法的重复性规定。她认为,《征求意见稿》第十三条涉及的家庭教育等仅具有宣示性意义,且应放入《儿童个人信息网络保护规定》等专门性规定中。
此外,张继红表示,《个人信息保护法》第十三条规定了个人信息处理者处理个人信息的具体的合法性基础,但《征求意见稿》第十一条规定将处理人脸信息的合法性基础局限于“维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需”与“个人单独同意”,限缩了人脸信息处理的合法性基础,可能会对产业发展造成不良影响,建议对此内容进一步进行完善。
原标题:《细化落实上位法规定 对人脸识别进行精细化治理 《人脸识别技术应用安全管理规定(试行)(征求意见稿)》公开征求意见》