國家網信辦就人臉識別技術應用安全管理規(guī)定征求意見 旅館客房等場所不得安裝圖像采集和個人身份識別設備

核心閱讀

只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可使用人臉識別技術處理人臉信息。實現相同目的或者達到同等業(yè)務要求，存在其他非生物特征識別技術方案的，應當優(yōu)先選擇非生物特征識別技術方案。

□ 熱點關注

□ 法治日報記者 劉欣

“刷臉”支付、“刷臉”存取物品、“刷臉”進入小區(qū)……如今，使用人臉識別技術的場景越來越多，影響人們生活方方面面，但在方便高效的背后，也存在著信息泄露和個人身份被盜用等風險隱患。

為規(guī)范人臉識別技術應用，保護個人信息權益及其他人身和財產權益，維護社會秩序和公共安全，國家互聯(lián)網信息辦公室起草了《人臉識別技術應用安全管理規(guī)定（試行）（征求意見稿）》（以下簡稱《征求意見稿》），近日向社會公開征求意見。

《征求意見稿》指出，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可使用人臉識別技術處理人臉信息。實現相同目的或者達到同等業(yè)務要求，存在其他非生物特征識別技術方案的，應當優(yōu)先選擇非生物特征識別技術方案。

濫用的危害性極大

某野生動物世界強制消費者“刷臉”入園、知名衛(wèi)浴品牌被曝抓拍消費者人臉信息、一些售樓處擅自安裝人臉識別設備……近年來，關于人臉識別的爭議和擔憂層出不窮。

浙江大學網絡空間安全學院雙聘教授王春暉告訴記者，人臉識別給人們帶來便利的同時，濫用人臉識別技術的現象極為嚴重，已經導致高危害性與高隱蔽性并存的趨勢，這不但背離了借助新興技術推動經濟社會發(fā)展的初衷，還為本應便民利民的人臉識別技術的應用蒙上了陰影。

“人臉信息具有唯一性和不可更改性，一旦泄露將對個人的人身和財產安全造成極大危害，甚至還可能威脅公共安全?！蓖醮簳熣f，我國個人信息保護法規(guī)定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

“部分經營者在進行刷臉驗證之前，既沒有對人臉識別應用系統(tǒng)的安全性進行事前評估，也沒有向公民明確告知人臉識別信息收集目的、范圍與處理方式，侵害了公民的知情權?！北本┖娇蘸教齑髮W法學院副教授、北京科技創(chuàng)新中心研究基地副主任趙精武說。

中央財經大學數字經濟與法治研究中心執(zhí)行主任劉權教授說，人臉識別技術可能侵犯隱私。人臉信息可能被不當收集，甚至用來非法交易，只要擁有人臉信息，個人行蹤軌跡和行為內容就可能一直被監(jiān)控。而如果人臉識別被用于深度偽造，可能侵犯肖像權、名譽權、知識產權等權利，還可能被用于詐騙等犯罪活動。

“違法使用人臉識別技術對社會的危害性極大，特別是依托被抓取的人臉信息和AI換臉技術實施電信詐騙，這比傳統(tǒng)電信詐騙成本更低、角色更多、概率更高和防范更難，對社會造成的危害也更大?！蓖醮簳熣f。

“人臉識別技術可能導致歧視，造成新的不平等。”劉權說，通過人臉識別出不同的種族、性別、身份等信息，個人可能受到不公平對待，算法歧視問題可能更嚴重。

此外，如果一國的大規(guī)模人臉信息不當出境，沒有遵守個人信息出境安全評估的要求，還可能影響到國家安全。

明確禁止使用場景

此次公布的《征求意見稿》亮點頗多。

“總體上看，《征求意見稿》明確了一項義務性規(guī)定和一項禁止性規(guī)定。首先，使用人臉識別技術應當遵守法律法規(guī)，遵守公共秩序，尊重社會公德，承擔社會責任，履行個人信息保護義務；其次，不得利用人臉識別技術從事危害國家安全、損害公共利益、擾亂社會秩序、侵害個人和組織合法權益等法律法規(guī)禁止的活動。”王春暉告訴記者。

王春暉認為，依據《征求意見稿》，在以下三種情形下方可使用人臉識別：一是具有特定的目的和充分的必要性；二是采取嚴格保護措施；三是取得個人的單獨同意。在這三種條件同時具備的情形下，方可使用人臉識別技術處理人臉信息?！疤囟康?充分必要+單獨同意+保護措施”，這是任何單位和個人采集和使用人臉識別技術的基本準則。

劉權指出，《征求意見稿》對一些具體場景中的人臉識別技術應用劃了“紅線”，明確禁止使用，有利于更好地保護個人隱私。例如，第六條規(guī)定旅館客房、公共浴室、更衣室、衛(wèi)生間及其他可能侵害他人隱私的場所不得安裝圖像采集、個人身份識別設備。

王春暉介紹說，《征求意見稿》列舉了九類經營場所，即賓館、銀行、車站、機場、體育場館、展覽館、博物館、美術館、圖書館等經營場所，明確它們除法律、行政法規(guī)規(guī)定應當使用人臉識別技術驗證個人身份的，不得以辦理業(yè)務、提升服務質量等為由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。

“《征求意見稿》回應民生，專設一條規(guī)定物業(yè)刷臉問題。物業(yè)服務企業(yè)等建筑物管理人不得將人臉識別技術作為出入物業(yè)管理區(qū)域的唯一方式，應當提供其他合理便捷的身份驗證方式。”趙精武說。

劉權補充說，《征求意見稿》明確不得將“刷臉”作為進小區(qū)的唯一方式，有助于消除物業(yè)服務企業(yè)濫用人臉識別技術的亂象。

趙精武認為，《征求意見稿》落實個人信息保護法規(guī)定的個人信息保護影響評估制度，明確技術使用者在處理人臉識別信息之前應當對處理個人信息是否具有特定目的和充分必要性等重要事項進行評估，有助于在事前階段降低風險。

“《征求意見稿》明確規(guī)定使用人臉識別技術應當事前進行個人信息保護影響評估，并詳細規(guī)定了評估內容，有利于防止評估的形式化。”劉權認為。

建議細化相關規(guī)定

談及如何進一步規(guī)范人臉識別技術應用，劉權認為，“《征求意見稿》的相關條款需要進一步具體化?！?/p>

劉權舉例說，如關于人臉識別技術應用的條件，《征求意見稿》第四條規(guī)定中“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可使用人臉識別技術處理人臉信息”，對“特定的目的”“充分的必要性”等作出更具體的規(guī)定，可能更有助于該條款的適用。

在法律責任方面，《征求意見稿》第二十三條規(guī)定，“人臉識別技術使用者或者相關產品、服務提供者違反本規(guī)定的，由網信、電信、公安、市場監(jiān)管等有關部門在職責范圍內依照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規(guī)進行處罰。違反《治安管理處罰法》的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。違反本規(guī)定，給他人造成損害的，依法承擔民事責任?！?/p>

“法律責任的設置過于簡單，第二十三條只作了非常寬泛的規(guī)定，不利于人臉信息保護執(zhí)法，建議細化責任設置?！眲嗾f。

對于如何進一步規(guī)范人臉識別技術應用，王春暉建議，從以下三個方面治理人臉識別技術的濫用：一是人臉識別技術的應用與發(fā)展應當體現對人權的保護；二是應高度重視和優(yōu)先考慮人臉識別技術對法律、社會倫理和侵犯個人隱私的沖擊；三是要通過更高階位的立法和強制性標準的制定和實施，削弱人臉識別技術對人類社會的風險和負面影響。

趙精武認為，在日常生活中，進出健身房、小區(qū)以及部分商場仍然存在未經告知的人臉識別圖像采集設備，理應在立法層面進一步明確相關場所經營者不得隱瞞人臉圖像采集事實的相關義務，禁止相關場所經營者以拒絕服務、誘導接受等方式強制或變相強制自然人接受人臉識別技術服務。