近日,国家网信办发布了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《意见稿》),向社会公开征求意见。《意见稿》从多个角度贯彻和落实人脸识别技术应用安全管理,引发社会高度关注。
最近几年来,公众对人脸识别技术应用可能存在的隐私侵害风险越来越关注。从有的野生动物园在办理年卡时强制要求消费者提供人脸信息,到多地物业要求业主刷脸入小区,再到高校普遍采取刷脸入校管理措施,这些举措是否正当且有必要,都引发了热议。而此前媒体报道的“客户为避免被售楼部采集识别人脸信息而戴着头盔去看房”等典型事件,也提醒公众警惕人脸识别技术可能被滥用的风险。
面对这一问题,立法层面和司法层面都给予了积极回应:个人信息保护法将人脸信息列为敏感信息,予以特别保护;最高人民法院专门发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,对相关案件应该如何认定和处理予以明确。但即便如此,对于人脸识别技术应用应如何从安全以及风险防范的角度予以管理,仍然存在模糊之处,这也是《意见稿》一经发布就引发社会关注的重要原因。
《意见稿》明确规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。使用人脸识别技术验证个人身份、辨识特定自然人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。
这一规定进一步明确了人脸识别技术应用在使用上的最低限度原则,即只有在具备非常充分的必要性的前提下,才可以使用这项技术,并且如果存在其他非生物特征识别技术方案的,应当优先选择其他方案。此外,即使采用人脸识别技术,也要尽量采用国家层面上的权威渠道。这些规定旨在限制人脸识别技术运用过于泛化,以及尽可能减少由此导致的安全问题。
作为这一原则的体现,《意见稿》规定,物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人不同意通过人脸信息进行身份验证的,物业等建筑物管理人应当提供其他合理、便捷的身份验证方式。这一规定明确了关于人脸识别技术应用在此前一直存在争议的一个场景,即刷脸进入小区是否合法的问题。由于不符合最低限度要求,《意见稿》明确禁止将人脸识别作为进入物业管理区域的唯一方式。这一明确表态具有重要价值,意味着采取人脸识别入校园、人脸识别乘地铁、人脸识别进大楼等应用场景,同样要受到最低限度原则的检验。
为了进一步落实最低限度原则,《意见稿》还规定,宾馆、银行、车站、博物馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。这一规定在某种意义上是对此前杭州人脸识别第一案的制度回应。
此外,公众之所以对人脸识别的技术应用存在顾虑,主要原因在于对运用相关技术的主体是否有足够的信息安全保障能力存在疑问。为了解决这一问题,《意见稿》规定了一系列配套制度,如在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的使用者,应当向网信部门备案,等等。应该说,这些配套措施实质性地提高了人脸识别技术应用的使用门槛以及合规运营的成本,使得一些无资质,无认证,无等级的小规模经营者必然被淘汰出局。这无疑有利于提高人脸识别技术应用者的安全保障水准。不过,需要注意的是,相关管理措施在具体落实中要注意保障市场的公平竞争。毕竟,推行这些管理措施的目的都是为了减少技术应用的附带风险,而非成为变相的壁垒或准入障碍。