人臉識別,就是指自動處理包含個人面部的數(shù)字圖像���,以便對個人進(jìn)行識別����、認(rèn)證(驗證)或者分類。人臉識別技術(shù)被廣泛運用于很多場景����,主要是安全應(yīng)用、醫(yī)療保健���、產(chǎn)品服務(wù)營銷等三大領(lǐng)域�����,如機場���、火車站、銀行對乘客或用戶的身份進(jìn)行驗證����,公安機關(guān)從人流中識別出網(wǎng)上追逃的犯罪分子等�����。歸納起來�����,人臉識別的基本功能就是身份驗證����、個體識別與面部分析�����。 《個人信息保護(hù)法》 已對人臉識別技術(shù)應(yīng)用作出規(guī)范 人的臉部信息屬于自然人的生物識別信息����,是敏感的個人信息。如果個人或者組織可以不受規(guī)范�����,隨意使用人臉識別技術(shù)處理人臉信息或提供人臉識別技術(shù)產(chǎn)品或服務(wù),勢必會侵害自然人的人格尊嚴(yán)����、人身自由及人身財產(chǎn)權(quán)益,也會危害國家安全���,損害社會公共利益與擾亂社會秩序���。 在我國起草《個人信息保護(hù)法》時,就如何嚴(yán)格規(guī)范人臉識別技術(shù)的應(yīng)用的問題就有深入的討論和廣泛的關(guān)注���。最終《個人信息保護(hù)法》從以下方面作出了規(guī)范���。 首先�����,明確將包括人臉信息在內(nèi)的生物識別信息作為敏感的個人信息��,并就敏感個人信息的處理進(jìn)行了非常嚴(yán)格的規(guī)范����。其次,該法第26條要求,在公共場所安裝圖像采集���、個人身份識別設(shè)備����,應(yīng)當(dāng)為維護(hù)公共安全所必須���,遵守國家有關(guān)規(guī)定���,并設(shè)置顯著的提示標(biāo)識。所收集的個人圖像�����、身份識別信息只能用于維護(hù)公共安全的目的����,不得用于其他目的,除非取得個人單獨同意����。再次,依據(jù)該法第62條第2項���,國家網(wǎng)信部門要統(tǒng)籌有關(guān)部門����,針對人臉識別技術(shù)制定專門的個人信息保護(hù)規(guī)則或標(biāo)準(zhǔn)。 網(wǎng)信辦征求意見稿作出 全方位的��、具體的規(guī)范 不久前���,國家互聯(lián)網(wǎng)信息辦公室面向社會公開征求對于《人臉識別技術(shù)應(yīng)用安全管理規(guī)定(試行)(征求意見稿)》(以下稱《意見稿》)的意見��。該《意見稿》正是國家網(wǎng)信部門依據(jù)《個人信息保護(hù)法》的授權(quán)����,與工業(yè)和信息化部�����、公安部�����、國家市場監(jiān)督管理總局聯(lián)合制定的針對人臉識別技術(shù)應(yīng)用的專門的個人信息保護(hù)規(guī)則��?�!兑庖姼濉饭?5條��,從人臉識別技術(shù)應(yīng)用的法定條件��、具體場景�、安全保護(hù)等三大方面,對利用人臉識別技術(shù)處理人臉信息以及提供人臉識別技術(shù)產(chǎn)品或者服務(wù)作出了全方位的��、具體的規(guī)范��。 處理人臉信息應(yīng)當(dāng)符合法律規(guī)定的條件 首先��,人臉信息屬于敏感的個人信息�����。故此��,利用人臉識別技術(shù)處理人臉信息以及提供人臉識別技術(shù)或服務(wù)就是在處理敏感的個人信息����,應(yīng)當(dāng)滿足《個人信息保護(hù)法》等法律所規(guī)定的條件要求,《意見稿》對此作出了如下規(guī)定:(1)利用人臉識別技術(shù)處理人臉信息的活動必須遵守合法���、正當(dāng)�����、必要�����、目的限制等個人信息處理的基本原則�����,尤其是必要原則�����,即如果實現(xiàn)相同目的或者達(dá)到同等業(yè)務(wù)要求�,存在其他非生物特征識別技術(shù)方案的,應(yīng)當(dāng)優(yōu)先選擇非生物特征識別技術(shù)方案���;(2)該處理活動必須具有特定的目的和充分的必要性并采取嚴(yán)格保護(hù)措施����,同時取得個人單獨同意或者依法取得書面同意(除非法律��、行政法規(guī)另有規(guī)定)��;(3)除維護(hù)國家安全�����、公共安全或者為緊急情況下保護(hù)自然人生命健康和財產(chǎn)安全所必需���,或者取得個人單獨同意外����,任何組織或者個人不得利用人臉識別技術(shù)分析個人種族��、民族�、宗教信仰、健康狀況����、社會階層等敏感個人信息。 人臉識別技術(shù)的應(yīng)用場景 哪些場景下禁止使用人臉識別技術(shù)����,哪些場景下可以使用人臉識別技術(shù)但嚴(yán)格加以限制等問題,《意見稿》作出了明確規(guī)定���。一方面���,旅館客房���、公共浴室、更衣室��、衛(wèi)生間及其他可能侵害他人隱私的場所不得安裝圖像采集�����、個人身份識別設(shè)備���;另一方面��,以下場景可以使用人臉識別技術(shù)���,但必須滿足相應(yīng)的要求:(1)在公共場所安裝圖像采集、個人身份識別設(shè)備���,應(yīng)當(dāng)為維護(hù)公共安全所必需����,遵守國家有關(guān)規(guī)定���,設(shè)置顯著提示標(biāo)識����;同時�����,如果在公共場所通過人臉識別技術(shù)遠(yuǎn)距離�����、無感式辨識特定自然人的��,應(yīng)當(dāng)為維護(hù)國家安全�、公共安全或者為緊急情況下保護(hù)自然人生命健康和財產(chǎn)安全所必需,并由個人或者利害關(guān)系人主動提出�����;(2)組織機構(gòu)為實施內(nèi)部管理���,可以安裝圖像采集����、個人身份識別設(shè)備,但應(yīng)當(dāng)根據(jù)實際需求合理確定圖像信息采集區(qū)域����,采取嚴(yán)格保護(hù)措施,履行個人信息安全保護(hù)義務(wù)���;(3)賓館����、銀行�、車站、機場等經(jīng)營場所只有在法律�、行政法規(guī)規(guī)定應(yīng)當(dāng)使用人臉識別技術(shù)驗證個人身份時,才能強制使用人臉識別技術(shù)來進(jìn)行個人身份驗證�,否則,不得強制�����、誤導(dǎo)���、欺詐���、脅迫個人接受人臉識別技術(shù)驗證個人身份����;(4)物業(yè)服務(wù)企業(yè)等建筑物管理人不得將使用人臉識別技術(shù)驗證個人身份作為出入物業(yè)管理區(qū)域的唯一方式����,個人不同意通過人臉信息進(jìn)行身份驗證的���,物業(yè)服務(wù)企業(yè)等建筑物管理人應(yīng)當(dāng)提供其他合理����、便捷的身份驗證方式�����。 安全保護(hù)的具體規(guī)定 為保護(hù)個人權(quán)益���、公共利益和國家安全�����,《意見稿》對于人臉識別技術(shù)應(yīng)用的安全問題作出了具體的規(guī)定:(1)依據(jù)《個人信息保護(hù)法》的規(guī)定��,《意見稿》就人臉識別技術(shù)使用者處理人臉信息之前應(yīng)當(dāng)進(jìn)行的個人信息保護(hù)影響評估的內(nèi)容�����、評估報告的保存等作出了具體的要求�;(2)要求特定的人臉識別技術(shù)使用者——在公共場所使用人臉識別技術(shù),或者存儲超過1萬人人臉信息的人臉識別技術(shù)使用者——在30個工作日內(nèi)向所屬地市級以上網(wǎng)信部門備案�����;(3)人臉識別技術(shù)使用者必須對相關(guān)技術(shù)系統(tǒng)的安全性負(fù)責(zé)�,并采取數(shù)據(jù)加密、安全審計���、訪問控制��、授權(quán)管理�、入侵檢測和防御等措施保護(hù)人臉信息安全����;必須對圖像采集設(shè)備、個人身份識別設(shè)備的安全性和可能存在的風(fēng)險進(jìn)行檢測評估���。 《意見稿》仍有可進(jìn)一步完善之處 總體而言���,《意見稿》對人臉識別技術(shù)的應(yīng)用作出了較為全面且科學(xué)的規(guī)范����,值得肯定��。不過�,筆者認(rèn)為,有以下幾點可以進(jìn)一步完善: 禁止安裝圖像采集����、個人身份識別設(shè)備的場景規(guī)定得太狹窄�����。至少���,從目前很多地方政府頒布的規(guī)章來看��,除了賓館房間���、公共浴室、更衣室��、衛(wèi)生間外,還包括:集體宿舍��、公寓房間內(nèi)���;哺乳室���、化妝間、試衣間�;金融、保險�����、證券機構(gòu)內(nèi)可能泄露客戶個人信息的區(qū)域���;選舉箱����、舉報箱���、投票點等附近可能觀察到個人意愿表達(dá)或者行為的區(qū)域���。因此��,建議增加相應(yīng)的禁止使用人臉識別技術(shù)的場景的規(guī)定�����。 組織機構(gòu)安裝設(shè)備要以合法實施內(nèi)部管理為前提��?����!兑庖姼濉返?條規(guī)定“組織機構(gòu)為實施內(nèi)部管理安裝圖像采集��、個人身份識別設(shè)備”��,該范圍建議限制為“組織機構(gòu)合法實施內(nèi)部管理”,也就是說�����,組織機構(gòu)要么是依據(jù)法律的規(guī)定如國家機關(guān)依據(jù)公務(wù)員法等法律而實施內(nèi)部管理�����,要么是按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理而實施內(nèi)部管理等��,但都必須是合法實施的內(nèi)部管理。 第10條規(guī)定有待斟酌調(diào)整����。《意見稿》第10條規(guī)定:“在公共場所����、經(jīng)營場所使用人臉識別技術(shù)遠(yuǎn)距離、無感式辨識特定自然人�����,應(yīng)當(dāng)為維護(hù)國家安全��、公共安全或者為緊急情況下保護(hù)自然人生命健康和財產(chǎn)安全所必需�����,并由個人或者利害關(guān)系人主動提出�����。人臉識別技術(shù)使用者應(yīng)個人或者利害關(guān)系人請求使用人臉識別技術(shù)遠(yuǎn)距離�����、無感式辨識特定個人或者利害關(guān)系人的,應(yīng)當(dāng)將相關(guān)服務(wù)限定在最小必要的時間�����、地點或者人群范圍內(nèi)���,不得關(guān)聯(lián)與個人請求事項無直接必然相關(guān)的個人信息����?�!痹摋l存在的問題是:一方面����,《個人信息保護(hù)法》第26條僅提及在公共場所為了維護(hù)公共安全而安裝圖像采集和個人身份識別設(shè)備?���!兑庖姼濉繁緱l將適用范圍擴(kuò)張為公共場所�����、經(jīng)營場所是否合適�����?另一方面,本條第1款中“為緊急情況下保護(hù)自然人生命健康和財產(chǎn)安全所必需”才涉及到個人或者利害關(guān)系人�,至于為維護(hù)國家安全、公共安全��,并不存在由個人或者利害關(guān)系人主動提出的問題��,前者使用人臉識別技術(shù)遠(yuǎn)距離�����、無感式辨識特定自然人可能是持續(xù)性的���,而個人或者利害關(guān)系人主動提出的情形是一次性的�,僅適用于特定的情形�����。在同一條中將兩種情形規(guī)定在一起���,似有不妥��。 第12條規(guī)定有待完善�����?����!兑庖姼濉返?2條規(guī)定�����,涉及社會救助��、不動產(chǎn)處分等個人重大利益的���,不得使用人臉識別技術(shù)替代人工審核個人身份���,人臉識別技術(shù)可以作為驗證個人身份的輔助手段。顯然《意見稿》最終是由國家網(wǎng)信辦��、工業(yè)和信息化部����、公安部��、國家市場監(jiān)督管理總局聯(lián)合發(fā)布的規(guī)章,但是這四個部委發(fā)布的規(guī)章無權(quán)對其他行政機關(guān)的審核活動作出規(guī)定����。比如,不動產(chǎn)處分時的身份驗證是自然資源行政管理部門的職責(zé)����,社會救助是民政部門的職責(zé)。而且��,不得使用人臉識別技術(shù)替代人工審核個人身份�����,只能作為輔助手段�����,此種規(guī)定也有不妥�����。如果使用人臉識別技術(shù)并且按照《意見稿》第4條第2款使用的是國家人口基礎(chǔ)信息庫��、國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)等權(quán)威渠道,此種身份驗證比人工審核更權(quán)威���?此外����,即便可以規(guī)定���,那么涉及到個人重大利益的場景顯然也不僅僅是列舉的社會救助��、不動產(chǎn)處分����。 缺少針對違法行為的法律責(zé)任的細(xì)致規(guī)定��。法律責(zé)任是法律的“牙齒”���,如果沒有相應(yīng)的法律責(zé)任尤其是對行政機關(guān)通過行政執(zhí)法而施加的行政處罰的規(guī)定���,那么行為人違反規(guī)定使用人臉識別技術(shù),廣大個人也是束手無策����?�!兑庖姼濉纷畲蟮膯栴}就是在于沒有針對違法行為作出具體的細(xì)致的法律責(zé)任的規(guī)定��。而只是在第23條第1款非常籠統(tǒng)地規(guī)定�����,“人臉識別技術(shù)使用者或者相關(guān)產(chǎn)品���、服務(wù)提供者違反本規(guī)定的�����,由網(wǎng)信�����、電信��、公安����、市場監(jiān)管等有關(guān)部門在職責(zé)范圍內(nèi)依照《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》等法律法規(guī)進(jìn)行處罰����。違反《治安管理處罰法》的��,依法給予治安管理處罰�;構(gòu)成犯罪的����,依法追究刑事責(zé)任?�!北M管部門規(guī)章的立法權(quán)限有限制����,但是依據(jù)《行政處罰法》第13條,部門規(guī)章是可以在法律�����、行政法規(guī)規(guī)定的給予行政處罰的行為����、種類和幅度的范圍內(nèi)作出具體規(guī)定的。即便是尚未制定法律��、行政法規(guī)的�����,國務(wù)院部門規(guī)章對違反行政管理秩序的行為,也可以設(shè)定警告���、通報批評或者一定數(shù)額罰款的行政處罰(罰款的限額由國務(wù)院規(guī)定)����。故此�����,建議能夠?qū)Ψ韶?zé)任尤其是行政處罰作出細(xì)化規(guī)定�,也就是說����,要明確列舉人臉識別技術(shù)使用者或者相關(guān)產(chǎn)品、服務(wù)提供者違反本規(guī)定的行為類型���,并有針對性地明確哪一類違法行為由哪一個部門在職責(zé)范圍內(nèi)給予何種種類和數(shù)額的行政處罰���。唯其如此,才能真正使人臉識別技術(shù)使用者或相關(guān)產(chǎn)品�����、服務(wù)的提供者遵守法律法規(guī),遵守公共秩序����,尊重社會公德,承擔(dān)社會責(zé)任��,履行個人信息保護(hù)義務(wù)���,不利用人臉識別技術(shù)從事危害國家安全�、損害公共利益�����、擾亂社會秩序�����、侵害個人和組織合法權(quán)益的活動����。 |
