人脸识别技术实现发展和安全的价值平衡
随着人工智能和大数据技术的深入发展,人脸识别技术广泛应用于安防刑侦、交通出行、金融支付、疫情防控、门禁考勤等领域。但在为社会生活带来便利的同时,人脸识别技术所带来的个人信息安全问题也日益凸显,引发公众的关注和担忧。在此背景下,为规范人脸识别技术应用,保护个人信息权益及其他人身和财产权益,维护社会秩序和公共安全,国家网信办日前发布了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《管理规定》)。
细化使用原则和应用场景
在《管理规定》出台前,我国人脸识别的法律规范散见于现有法律法规、司法解释和国家标准等文件中,未形成系统的规范。
在法律层面,《网络安全法》《民法典》《数据安全法》将个人生物识别信息纳入个人信息的范围,从个人信息保护的角度作出原则性的规定。《刑法》对侵犯公民个人信息罪作出了规定。但是上述法律均未对人脸识别信息乃至生物识别信息作出专门规定,进行特别保护。
《个人信息保护法》虽未直接提及人脸识别信息的处理要求,但是将生物识别信息认定为敏感个人信息,确定了敏感个人信息的特殊处理规则,明确处理生物识别信息应取得个人的单独同意。规定在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。同时,明确由国家网信部门统筹协调有关部门推进人脸识别技术的个人信息保护工作,并制定专门的个人信息保护规则、标准。
在司法解释层面,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,列明了八种违规处理人脸识别信息的行为,为人脸识别相关司法案件提供了审判指引。
在国家标准层面,人脸识别及个人信息的安全规范相对明确,但其仅为推荐性国家标准,不具有强制效力。《信息安全技术个人信息安全规范》明确规定个人生物识别信息属于个人敏感信息,并对个人敏感信息进行了特殊保护。《信息安全技术 人脸识别数据安全要求》和《信息安全技术 生物特征识别信息保护基本要求》对处理人脸识别信息的收集、存储、使用等全生命周期环节提出了具体的安全要求。
《管理规定》在《网络安全法》《数据安全法》《个人信息保护法》等上位法制定的个人信息保护原则性规定基础上,对人脸识别技术的应用原则、应用场景及规范、使用规范等方面进行了细化规定。
坚持发展与安全并重的监管原则
坚持发展与安全并重的监管原则,兼顾权益保护和技术发展。面对人脸识别技术应用中出现的风险与挑战,区别于欧美国家较为严格的限制甚至禁止政策,《管理规定》坚持发展与安全并重的监管原则,通过提出人脸识别技术应用方面的安全管理基本原则和具体要求,加强人脸识别技术应用治理。一方面规范人脸识别信息处理活动,保护个人信息权益和数据安全;另一方面注重促进数字经济健康发展,促进人脸识别技术在不同场景下的合法应用,推动相关产业安全健康发展。
明确“非必要,不使用”的应用原则,不得滥用人脸识别技术。人脸信息具有唯一性和不可更改性,如被滥用将对个人隐私、个人安全和公共安全造成严重威胁。《管理规定》明确了“非必要,不使用”的原则,仅在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。
实现相同目的或者达到同等业务要求,存在其他可选的非生物特征识别技术方案的,应当优先选择其他技术方案。在涉及社会救助、不动产处分等个人重大利益情形下,人脸识别技术可以作为验证个人身份的辅助手段,但不得替代人工审核个人身份。使用人脸识别技术进行身份认证的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。
细分人脸识别技术应用的典型场景,提出不同强度的规范要求。《管理规定》列举了可能侵害他人隐私的场所、公共场所、组织机构内部、经营场所和物业服务等人脸识别技术应用的典型场景,并对不同的场景提出了不同的细化合规要求。
明确技术使用者的使用规范,强化人脸识别数据安全管理。《管理规定》明确了人脸识别技术使用者处理人脸信息的使用规范和安全要求,提出了个人信息保护影响评估、备案、风险评估、网络安全等级保护要求等合规义务。
在个人信息保护影响评估义务方面,要求人脸识别技术使用者处理人脸信息,必须事前进行个人信息保护影响评估并对处理情况进行记录。在备案义务方面,要求在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者应在30个工作日内向所属地市级以上网信部门备案。在风险评估义务方面,要求人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略。在网络安全等级保护要求方面,要求面向社会公众提供人脸识别技术服务的,相关技术系统应当符合网络安全等级保护第三级以上保护要求;属于关键信息基础设施的,还应符合关键信息基础设施安全保护的相关要求。
《管理规定》的发布填补了我国人脸识别领域缺乏系统性、专门性法律规范的空白,为使用人脸识别技术的社会企业和主体提供了明确的行为指引,也为监管部门提供了明确的执法依据。未来,随着《管理规定》的正式生效及监管执法的加强,将推动相关企业和主体在合法合规的基础上规范应用人脸识别技术,有助于解决当前人脸识别技术存在的滥用问题,如非授权滥用、低安全滥用、非必要滥用等,从而促进技术向善、实现技术发展和权益保护的价值平衡。
(作者单位:中国电信研究院)
(编辑:张群)