新规填补了长久以来对于人脸识别技术安全管理方面的立法空白,明确了人脸识别技术应用场景中安全管理的基本立场
人脸识别法规进一步完善。8月8日,国家互联网信息办公室(下称“网信办”)发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(下称“征求意见稿”),明确了人脸识别的使用条件,要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息;实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。征求意见稿还要求,使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。
对于人脸识别的不同使用场景,征求意见稿规定不同。整体来说,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,设置显著提示标识;组织机构为实施内部管理安装图像采集、个人身份识别设备的,应当根据实际需求合理确定图像信息采集区域
对于旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所,征求意见稿要求,不得安装图像采集、个人身份识别设备。
对于宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,征求意见稿要求,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
对于物业,征求意见稿特别规定,物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人不同意通过人脸信息进行身份验证的,物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。
此前,对于物业使用人脸识别技术,法院已有判例。2021年8月,因不满居住地物业公司仅提供人脸识别作为唯一的门禁验证方式,天津一租户将物业告上法庭。2022年5月25日,原告顾城收到终审判决,天津市第一中级法院判令物业公司删除他的人脸信息,提供替代通行验证方式,并赔偿律师费等合理费用。(详见《特稿|以防疫为由只提供“刷脸”门禁 法院为何判其败诉》)
2021年8月1日,最高法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》生效施行,其第10条规定,物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,法院依法予以支持。(详见《司法新规对强制“刷脸”说不》)
在个人信息保护方面,征求意见稿要求,人脸识别技术使用者处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。征求意见稿还要求,在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。个人信息保护影响评估报告应当至少保存三年。
征求意见稿要求,除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。
在网络安全方面,征求意见稿要求,面向社会公众提供人脸识别技术服务的,相关技术系统应当符合网络安全等级保护第三级以上保护要求,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。属于关键信息基础设施的,还应当符合关键信息基础设施安全保护的相关要求。
征求意见稿还要求,人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
近年来关于人脸识别的诉讼案件不断。2019年10月,浙江理工大学法政学院教授郭兵对杭州野生动物世界提起诉讼,抗议强制人脸识别注册的做法。该案成为“人脸识别第一案”。2021年4月,杭州中院作出终审判决,判令杭州野生动物世界赔偿郭兵合同利益损失及交通费共计1038元,删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息,以及指纹识别信息。(详见财新网《杭州野生动物园再成焦点 曾为人脸识别第一案被告》)
最高检察院今年亦发布多起针对“人脸识别技术”应用场景的公益诉讼案例。浙江垦丁律师事务所创始合伙人王琼飞向财新举例称,“江苏省无锡市新吴区人民检察院督促保护服务场所消费者个人信息行政公益诉讼案”等案件,重点聚焦于公共领域中的使用“人脸识别技术装置”的规范性问题。此外,聚焦于个人在私有领域内使用“人脸识别技术”装置的规范性问题也同样值得关注,如去年发布的“人脸识别装置侵害邻居隐私权案”。
“新规填补了长久以来对于人脸识别技术安全管理方面的立法空白,明确了人脸识别技术应用场景中安全管理的基本立场,”王琼飞指出,新规进一步细分了相关法律场景,对于采集人脸信息所需要满足的条件、人脸信息采集的精度要求、人脸信息的数据分级、流转和存储、公共空间和私人空间下人脸识别技术应用的区分管理、人脸识别技术使用场景的限缩等问题做出了回应。
不过,新规仍有改进之处。王琼飞指出,对于如何判断人脸识别收集是否符合必要性原则和自主选择原则,新规依然没有做出更为细化的规定。
北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括进一步向财新指出,新规多处内容仍可以更加细化,例如,算法因素在实践场景中日渐多见,应针对重点场景中的人脸识别算法制定合规要求;对于备案机制,须细化操作规范与具体期限;针对特定的合规动作划定清晰的实现基线,例如就人脸识别应用场景中的“匿名化处理”要求,进一步明确其实现途径和实现程度。
本文转自于 财新网
