近日���,國家互聯網信息辦公室起草了《人臉識別技術應用安全管理規定(試行) (征求意見稿)》 (下稱“《征求意見稿》”)�,向社會征求意見。結合我們此前對現有的相關法律法規以及司法解釋[1]�、國家標準[2]的解讀����,以及近期的實踐經驗���,我們在此就《征求意見稿》當中的一些重要條款進行探討�,希望對使用人臉識別技術的企業開展合規工作有所啟發和幫助。
1. “國家人口基礎信息庫”和“國家網絡身份認證公共服務”
《征求意見稿》第四條提到�����,使用人臉識別技術驗證個人身份�����、辨識特定自然人的�����,鼓勵優先使用國家人口基礎信息庫�、國家網絡身份認證公共服務等權威渠道。
guojiarenkoujichuxinxikushishougeshixianduobuweigongjiangongxiangdeguojiadianzizhengwushifangongcheng。gaixiangmushiyiguojiadianzizhengwuwaiwangweiyituo��,yougonganbuqiantou��,jiaoyubu��、民政部�����、人力資源和社會保障部�����、衛生和計劃生育委員會共建�����,覆蓋全國人口�����,以公民身份號碼為唯一標識的國家數據庫。國家人口基礎信息庫已於2017年底竣工驗收����,現已在民政部異地婚姻登記�����、低保救助���,人社部社保發卡��、養老保險管理�、衛計委跨省醫保辦理��、教(jiao)育(yu)部(bu)學(xue)籍(ji)網(wang)絡(luo)查(zha)詢(xun)等(deng)基(ji)礎(chu)業(ye)務(wu)工(gong)作(zuo)中(zhong)廣(guang)泛(fan)應(ying)用(yong)���,麵(mian)向(xiang)地(di)方(fang)政(zheng)府(fu)電(dian)子(zi)政(zheng)務(wu)服(fu)務(wu)大(da)廳(ting)提(ti)供(gong)公(gong)民(min)身(shen)份(fen)信(xin)息(xi)共(gong)享(xiang)核(he)查(zha)服(fu)務(wu)�����,並(bing)與(yu)國(guo)家(jia)數(shu)據(ju)共(gong)享(xiang)交(jiao)換(huan)平(ping)台(tai)對(dui)接(jie)���,實(shi)現(xian)了(le)人(ren)口(kou)基(ji)礎(chu)信(xin)息(xi)對(dui)跨(kua)部(bu)門(men)業(ye)務(wu)應(ying)用(yong)的(de)支(zhi)撐(cheng)。
國家網絡身份認證公共服務是由公安部會同有關部委組織建設的公共服務平台�,旨在為社會提供安全��、便捷����、權威�、高效的網絡身份認證公共服務。現已發布該平台的移動應用程序��,運營商為公安部第一研究所�����,公眾可在手機上安裝使用。
2. 在公共場所使用人臉識別技術處理人臉信息
《征求意見稿》規定����,公共場所所收集的個人圖像�����、身份識別信息隻能用於維護公共安全的目的��,不得用於其他目的��;並且�����,《征求意見稿》列舉了一些經營場所����,包括賓館�����、銀行����、車站�、機場����、體育場館��、展覽館���、博物館�、美術館�、圖書館。雖然沒有單獨就“公共場所”和“經營場所”進行定義或者區分�����,但結合上下文�,以及最高人民法院《關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若幹問題的規定》[3]��,還有通過公開渠道已經可以查詢到的不少公共場所經營者因不當使用人臉識別攝像頭而被處罰的案例[4] ��,我們認為�,在通常的人臉識別技術應用場景下��,這些經營場所都是公共場所。
另外���,《征求意見稿》的各項原則性規定均不區分近距離的單個人臉識別和通過遠距離���、無感式批量識別的技術手段。因此��,特別當相關場所的經營方擬采用遠距離����、無感式批量識別的方式����,來采集和識別個人身份信息的���,除了需要依照規定取得個人單獨同意外����,還要注意《征求意見稿》第十條的特殊規定。
待征求意見的工作結束����,《人臉識別技術應用安全管理規定》正zheng式shi發fa布bu後hou����,其qi自zi然ran會hui成cheng為wei一yi項xiang主zhu要yao的de監jian管guan依yi據ju��,由you監jian管guan部bu門men進jin一yi步bu推tui動dong個ge人ren生sheng物wu識shi別bie信xin息xi的de監jian管guan工gong作zuo。這zhe也ye對dui使shi用yong相xiang關guan技ji術shu的de企qi業ye提ti出chu了le新xin一yi輪lun的de合he規gui要yao求qiu。
3. 合規義務
《征求意見稿》明確�����,人臉識別技術使用者處理人臉信息����,應當事前進行個人信息保護影響評估��,並對處理情況進行記錄[5]。並且�,在公共場所使用人臉識別技術�,或者存儲超過1萬人人臉信息的人臉識別技術使用者�,應當在30個工作日內向所屬地市級以上網信部門備案[6]。人臉識別技術使用者還應當每年對圖像采集設備����、個(ge)人(ren)身(shen)份(fen)識(shi)別(bie)設(she)備(bei)的(de)安(an)全(quan)性(xing)和(he)可(ke)能(neng)存(cun)在(zai)的(de)風(feng)險(xian)進(jin)行(xing)檢(jian)測(ce)評(ping)估(gu)��,並(bing)根(gen)據(ju)檢(jian)測(ce)評(ping)估(gu)情(qing)況(kuang)改(gai)進(jin)安(an)全(quan)策(ce)略(lve)�,調(tiao)整(zheng)置(zhi)信(xin)度(du)閾(yu)值(zhi)�����,采(cai)取(qu)有(you)效(xiao)措(cuo)施(shi)保(bao)護(hu)圖(tu)像(xiang)采(cai)集(ji)設(she)備(bei)���、個人身份識別設備免受攻擊��、侵入���、幹擾和破壞[7]。
4. 有關物業服務企業的專門規定
可能是由於前段時間在全國各地出現的住戶投訴物業服務企業不當使用人臉識別技術的情況����,《征求意見稿》專門在第十四條針對物業服務企業作出規定:物wu業ye服fu務wu企qi業ye等deng建jian築zhu物wu管guan理li人ren不bu得de將jiang使shi用yong人ren臉lian識shi別bie技ji術shu驗yan證zheng個ge人ren身shen份fen作zuo為wei出chu入ru物wu業ye管guan理li區qu域yu的de唯wei一yi方fang式shi�,個ge人ren不bu同tong意yi通tong過guo人ren臉lian信xin息xi進jin行xing身shen份fen驗yan證zheng的de���,物wu業ye服fu務wu企qi業ye等deng建jian築zhu物wu管guan理li人ren應ying當dang提ti供gong其qi他ta合he理li�、便捷的身份驗證方式。該條規定同時適用於住宅����、酒店����、辦公樓�、廠房��、倉儲設施等各類物業。
5. 需要更加審慎地選擇人臉識別技術方案
《征求意見稿》第(di)四(si)條(tiao)規(gui)定(ding)����,隻(zhi)有(you)在(zai)具(ju)有(you)特(te)定(ding)的(de)目(mu)的(de)和(he)充(chong)分(fen)的(de)必(bi)要(yao)性(xing)��,並(bing)采(cai)取(qu)嚴(yan)格(ge)保(bao)護(hu)措(cuo)施(shi)的(de)情(qing)形(xing)下(xia)�,方(fang)可(ke)使(shi)用(yong)人(ren)臉(lian)識(shi)別(bie)技(ji)術(shu)處(chu)理(li)人(ren)臉(lian)信(xin)息(xi)。實(shi)現(xian)相(xiang)同(tong)目(mu)的(de)或(huo)者(zhe)達(da)到(dao)同(tong)等(deng)業(ye)務(wu)要(yao)求(qiu)�����,存(cun)在(zai)其(qi)他(ta)非(fei)生(sheng)物(wu)特(te)征(zheng)識(shi)別(bie)技(ji)術(shu)方(fang)案(an)的(de)��,應(ying)當(dang)優(you)先(xian)選(xuan)擇(ze)非(fei)生(sheng)物(wu)特(te)征(zheng)識(shi)別(bie)技(ji)術(shu)方(fang)案(an)。
麵部識別特征作為《中華人民共和國個人信息保護法》第二十八條明文定義的“敏感個人信息”��,其收集��、存儲���、處理都需要適用更加嚴格的標準�,《信息安全技術 個人信息安全規範(GB/T 35273一2020)》中明確提出了“ 個人生物識別信息應與個人身份信息分開存儲”����、“原則上不應存儲原始個人生物識別信息”���、“個人生物識別信息原則上不應共享�����、轉讓”等要求。而前述《征求意見稿》的規定進一步明確了“特定的目的和充分的必要性”以及“采取嚴格保護措施”的前提條件�,同時提出了“存在其他非生物特征識別技術方案的���,應當優先選擇非生物特征識別技術方案”的(de)要(yao)求(qiu)��,個(ge)人(ren)信(xin)息(xi)處(chu)理(li)者(zhe)需(xu)要(yao)更(geng)加(jia)審(shen)慎(shen)地(di)選(xuan)擇(ze)人(ren)臉(lian)識(shi)別(bie)技(ji)術(shu)方(fang)案(an)�,充(chong)分(fen)考(kao)慮(lv)該(gai)技(ji)術(shu)方(fang)案(an)的(de)必(bi)要(yao)性(xing)以(yi)及(ji)是(shi)否(fou)存(cun)在(zai)可(ke)替(ti)代(dai)的(de)非(fei)生(sheng)物(wu)特(te)征(zheng)識(shi)別(bie)技(ji)術(shu)方(fang)案(an)。
Photo from Viola, P. and Jones, M. (2001) Rapid Object Detection Using a Boosted Cascade of Simple Features.
和個人的聯係方式�����、銀行賬號�����、支zhi付fu密mi碼ma等deng個ge人ren信xin息xi不bu同tong的de是shi�����,人ren臉lian識shi別bie信xin息xi等deng生sheng物wu識shi別bie信xin息xi不bu是shi可ke以yi輕qing易yi改gai變bian的de����,一yi旦dan被bei泄xie露lu或huo被bei非fei法fa使shi用yong���,更geng加jia容rong易yi導dao致zhi自zi然ran人ren的de人ren格ge��、人身和財產受到危害或侵害。人臉識別技術經過幾十年的發展�����,在大數據�、機器學習等技術的加持下��,其識別精確度正在飛速提高�����,並已經實現了廣泛的應用。但很顯然���,並不是每個技術使用者都具有完備的����、合規的技術能力和管理能力�����,來保障其收集���、存儲�����、使用���、傳輸����、提供����、公開��、刪除等具體處理活動的安全。有關人臉識別技術應用的便利性和安全性的爭論還在繼續。
《征求意見稿》的意見反饋截止時間為2023年9月7日。如果您希望和我們就生物識別技術的合規作進一步探討���,歡迎隨時聯係我們。
[1] 主要包括《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》�����,以及最高人民法院《關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若幹問題的規定》等。
[2] 主要指《信息安全技術 個人信息安全規範(GB/T 35273一2020)》《信息安全技術 人臉識別數據安全要求(GB/T 41819—2022)》《信息安全技術 生物特征識別信息保護基本要求(GB/T 40660-2021)》等。
[3] 最高人民法院2021年7月27日公布�,2021年8月1日施行。
[4] 比較知名的有�����,某房地產開發商安裝⼈臉識別攝像頭��,未取得單獨同意的情況下擅⾃在訪客進⼊售樓⼤廳後⾃動采集⼈臉信息���,防⽌售樓中⼼⾃訪客⼾轉化成中介客⼾�;以及某衛浴品牌經營部安裝⼈臉識別攝像頭��,使⽤具有⼈臉識別的監控設備收集⼈臉信息�����,統計分析客流量����、性別構成�、年齡段等數據��,並⽤於製定銷售政策。
[5] 《征求意見稿》第十五條。
[6] 《征求意見稿》第十六條。
[7] 《征求意見稿》第十七條。
