本文围绕国家互联网信息办公室和公安部联合发布的《人脸识别技术应用安全管理办法》展开,详细介绍了该办法在规范人脸识别技术使用、保护个人信息安全方面的具体规定,包括应对“强制刷脸”、公共场所安装设备要求、处理人脸信息规范、人脸信息存储传输规定以及个人信息处理者备案手续等内容。
近年来,人脸识别技术如同潮水般涌入我们生活的各个角落。从日常的刷脸支付,到进出小区的刷脸门禁,再到上班打卡的刷脸考勤,它已经渗透到我们衣食住行的方方面面。然而,在享受这份便捷的同时,我们也不得不面对隐藏在背后的隐忧。许多人都有这样的担忧:万一自己的脸被“盗用”,个人信息就可能会泄露,进而被不法分子利用实施诈骗等违法犯罪活动。
为了给人脸识别技术的使用套上“紧箍咒”,切实保护我们的个人信息安全,3月21日,国家互联网信息办公室和公安部联合发布了《人脸识别技术应用安全管理办法》。该《办法》将于今年6月1日正式实施。面对人脸识别技术应用,究竟该如何“立规矩”?我们是否可以勇敢地向“强制刷脸”说“不”?在公共场所安装人脸识别设备又有哪些具体要求呢?
先让我们聚焦几个备受关注的刷脸场景,像“刷脸”住宿、“刷脸”进小区等。相信不少人都曾遭遇过这类“强制刷脸”的问题。那么,《办法》针对这些问题是如何规定的呢?
《人脸识别技术应用安全管理办法》在技术应用安全规范方面明确指出,不能把人脸识别作为唯一的验证方式。具体来说,如果实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,就不得将人脸识别技术作为唯一验证方式。当然,国家另有规定的,要从其规定。
中国社会科学院大学互联网法治研究中心主任刘晓春表示:“比较典型的是在线上场景,有时候我们在线上办理一些金融相关或者强身份验证的手续时,除了刷人脸,还应该提供其他可行的替代便捷方式。比如要有一个线下的办理渠道,或者是可替代的线上其他方式。”
此外,《办法》还规定,不得以办理业务、提升服务为由,强迫或误导他人刷脸。应用人脸识别技术验证个人身份、辨识特定个人时,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施。同时明确,任何组织和个人都不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
中国信息通信研究院互联网法律研究中心主任何波指出:“在实践中,有一些主体或者企业,倾向于采取刷脸的方式引诱或者胁迫个人同意通过人脸识别验证的方式,这在一定程度上侵害了个人的权利。这一条规定的意义在于,一方面给处于弱势一方的个人提供了明确的法律依据,另一方面也对个人信息处理者的行为规范做了严格要求。”
再来看看公共场所安装人脸识别设备的要求。去年,上海一家游泳馆的更衣室采用人脸识别方式开启更衣柜,当摄像头开启时,更衣室内的情况一览无余。经当地有关部门核实查验后,涉事游泳馆被处罚。那么,在健身房、游泳馆、商场超市、旅游景区等公共场所安装人脸识别设备,《人脸识别技术应用安全管理办法》有哪些具体要求呢?
《办法》规定,在公共场所安装人脸识别设备,应当是为维护公共安全所必需,要依法合理确定人脸信息采集区域,并设置显著提示标识。同时,任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。
刘晓春主任解释道:“人脸识别设备的安装要严格限定在维护公共安全所必需的范围内,首先要把这个范围划分得比较合理,不能过分扩张,超出必要性。另外,需要在人脸识别设备上有一个显著的标识,比如‘此处有摄像头’。同时,如果是在公共场所的一些私密空间,像客房、公共浴室、更衣室、卫生间等场所,虽然它们属于公共场所,但属于私密空间,是严格禁止安装人脸识别设备的。”
人脸信息属于敏感个人信息,一旦泄露,容易对个人的人身和财产安全造成重大危害,甚至威胁公共安全。那么,对于应用人脸识别技术处理人脸信息的活动,《办法》提出了哪些具体要求呢?
《办法》中规定了应用人脸识别技术处理人脸信息的不同具体规范。人脸识别技术应用应当具有特定的目的和充分的必要性,要采取对个人权益影响最小的方式,并实施严格保护措施。
何波主任表示:“要利用人脸识别技术处理个人信息,需要具有充分的必要性。比如在公共场所,是为了公共安全所必需;在小区管理中,是为了小区的安全;在金融支付里,是为了防止网络电信诈骗。出于这些考量,才使用了人脸识别技术。”
专家指出,新规明确了应用人脸识别技术处理人脸信息的,应该有充分必要性,并且应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德等。《办法》还规定,使用人脸识别信息应当履行告知义务,处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定。基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。
在人脸信息的存储与传输方面,《办法》规定,除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。
何波主任解释说:“这个规定目的很明确,大家都知道人脸信息本身的特殊性,一旦通过互联网去传播或者提供,后面的风险就很大。要求在设备内存储,其实是通过物理存储的方式来避免信息向第三方提供。比如,银行基于业务的需求,采集了我们的人脸信息,业务办理完成后,没有存储必要性了,按照要求银行应该删除我们的人脸信息。”
当大量的人脸信息被采集、存储,这些敏感的个人信息关系到公共利益甚至是国家安全。对此,《办法》有一个制度上的创新,即设立了备案制度。那么,为何要建立备案制度?个人信息处理者又该如何履行备案手续呢?
《人脸识别技术应用安全管理办法》从信息数量、备案时间、备案部门、备案材料、备案变更和注销五个方面,对个人信息处理者应用人脸识别技术处理人脸信息备案提出了具体要求。《办法》规定,个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。
何波主任认为:“这是一个非常重要的制度创新,因为10万人的敏感个人信息,是一个数量比较大的体量,所以在分级分类的思路基础上,将10万人以上的敏感个人信息作为一个特类特殊的信息,规定了备案的要求。通过这样的备案手段,能够及时掌握这些信息的处理情况,在保护我们个人信息的同时,也能有效地维护相关的公共安全或者是国家利益。”
本文详细介绍了《人脸识别技术应用安全管理办法》的相关内容,包括应对“强制刷脸”、公共场所安装设备、处理人脸信息、人脸信息存储传输以及个人信息处理者备案等方面的规定。该办法的出台为规范人脸识别技术使用、保护个人信息安全提供了有力保障,有助于平衡技术发展与个人权益保护,维护公共安全和国家利益。
