人脸识别的“红线”和“底线”,你了解吗?
【慧聪通信网】为规范人脸识别技术应用,2023年8月8日,由国家互联网信息办公室起草的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《人脸识别技术征求意见稿》)正式面向社会公开征求意见。
人脸识别技术自诞生以来一直备受争议。支持者认为,人脸识别技术应用前景广阔,在特定领域需求迫切;反对者则认为,人脸识别技术滥用会严重侵害个人信息安全。
应该说,按照《民法典》《网络安全法》《数据安全法》《个人信息保护法》等法律规定,类似人脸等生物识别信息是需要重点予以保护的个人信息,人脸识别技术的应用绕不开人脸等生物识别信息的收集、存储、使用、加工、传输、提供、公开等,是典型的对个人敏感信息的处理,因此细化技术规则和应用规范势在必行。
那么,此次《人脸识别技术征求意见稿》的公布和后续正式出台,将给我国人脸识别技术应用的规范和发展带来哪些影响?《人脸识别技术征求意见稿》又有哪些亮点值得关注?
五大亮点:划定“红线”和“底线”
目前正在公开征求意见的《人脸识别技术征求意见稿》全文共计3200余字,由25例条款组成,属于典型的“小切口”式立法。
《人脸识别技术征求意见稿》旨在对人脸识别技术应用的规范和管理提出细化且可供执行的监管规则及要求,其在使用条件、授权规则、应用场景、禁止性要求及权利义务设定等方面的规定值得关注。
第一,明确了人脸识别技术应用的前置条件。包括“特定目的合理性、应用的充分必要性及使用时要有严格保护措施”。简单说,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。
第二,细化了人脸识别技术应用的许可授权规则。《人脸识别技术征求意见稿》提出,使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外。
第三,划定了人脸识别技术应用的禁止性范围。一是可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备;二是在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,设置显著提示标识。
第四,限定了人脸识别技术验证个人身份的范围和规则。一是除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。二是个人自愿选择使用人脸识别技术验证个人身份的,应当确保个人充分知情并在个人主动参与的情况下进行,验证过程中应当以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的。
第五,明确了相关各方对个人图像、身份识别信息的保密和保护义务。一是在公共场所安装图像采集、个人身份识别设备的建设、使用、运行维护单位,对获取的个人图像、身份识别信息负有保密义务,不得非法泄露或者对外提供。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。二是组织机构为实施内部管理安装图像采集、个人身份识别设备的,应当根据实际需求合理确定图像信息采集区域,采取严格保护措施,防止违规查阅、复制、公开、对外提供、传播个人图像等行为,防止个人信息泄露、被篡改、丢失或者被非法获取、非法利用。
此外,《人脸识别技术征求意见稿》还提出建立个人信息保护影响评估机制,明确了不当处理、存储、使用等相关义务内容及需承担的法律责任。
填补空白:人脸识别技术应用将“有规可依”
回顾人脸识别技术应用在我国的发展及引发的争议,有两个关键时间节点不容忽视,其一是“人脸识别第一案”的终审宣判,其二是相关司法解释的出台。
2021年4月9日,浙江省杭州市中级人民法院对郭兵与杭州野生动物世界有限公司服务合同纠纷二审案件进行终审宣判,此案成为《民法典》施行以来,因人脸识别技术应用引发诉讼的“第一案”,伴随该案件的终审判决出台,一些关于人脸识别技术的法律救济方式、司法保护措施和业务操作细则得以明确。
2021年7月27日,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《审理人脸识别案件规定》)正式对外发布,并于2021年8月1日起施行。《审理人脸识别案件规定》以司法解释的方式,对于人脸识别技术应用及人脸信息处理可能给民众造成的损害以及司法救济方式率先作出了规定。
例如,《审理人脸识别案件规定》对“经营场所、公共场所等违法使用人脸识别技术进行人脸验证、辨识或者分析”“未公开处理人脸信息的规则或者未明示处理的目的、方式、范围”“未征得自然人或者其监护人的单独同意处理人脸信息”“违反公示或约定处理”“未采取措施致使人脸信息泄露、篡改、丢失”“违法或违反约定向他人提供以及违背公序良俗处理”等行为认定属于侵害自然人人格权益的行为,赋予权利人起诉救济的权利。
而目前正在公开征求意见的《人脸识别技术征求意见稿》对于什么场景、什么条件下可以或不得使用人脸识别技术采集或处理人脸信息均作出了规定:对于依法可以使用人脸识别技术采集或处理人脸信息的主体、场景,相关信息的采集、存储、处理等均做了细致要求,也就是明确了相关参与方的责任和义务。这对于遏制相关主体使用人脸识别技术的冲动、保护个人信息将带来积极和正面的影响。
在《人脸识别技术征求意见稿》公开前,我国对人脸识别技术应用的规范和治理在行政监管范畴存在一定的“真空”地带。此次《人脸识别技术征求意见稿》公布及后续正式出台,有望填补人脸识别技术应用的行政监管“空白”,实现“有规可依”。此外,对于类似上述纠纷的处理和化解,也有望发挥积极的作用。
当然,也必须看到,划定使用人脸识别技术的“红线”和“底线”是第一步,更重要的是,确保后续《人脸识别技术应用安全管理规定》正式出台后得到有效执行,确保不应使用人脸识别技术的主体、场所或场景不使用,如有不当使用,监管部门应依法追究其法律责任。
*本文刊载于《通信世界》
总第925期 2023年8月25日 第16期
原文标题:《人脸识别技术新规:加强个人信息保护 划定应用“红线”和“底线”》