網(wǎng)信辦擬出臺人臉識別新規(guī) 銀行、展館、小區(qū)等場所不得強(qiáng)制“刷臉”

新規(guī)填補(bǔ)了長久以來對于人臉識別技術(shù)安全管理方面的立法空白，明確了人臉識別技術(shù)應(yīng)用場景中安全管理的基本立場

       人臉識別法規(guī)進(jìn)一步完善。8月8日，國家互聯(lián)網(wǎng)信息辦公室（下稱“網(wǎng)信辦”）發(fā)布《人臉識別技術(shù)應(yīng)用安全管理規(guī)定（試行）（征求意見稿）》（下稱“征求意見稿”），明確了人臉識別的使用條件，要求只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，方可使用人臉識別技術(shù)處理人臉信息；實現(xiàn)相同目的或者達(dá)到同等業(yè)務(wù)要求，存在其他非生物特征識別技術(shù)方案的，應(yīng)當(dāng)優(yōu)先選擇非生物特征識別技術(shù)方案。征求意見稿還要求，使用人臉識別技術(shù)處理人臉信息應(yīng)當(dāng)取得個人的單獨(dú)同意或者依法取得書面同意。

　　對于人臉識別的不同使用場景，征求意見稿規(guī)定不同。整體來說，在公共場所安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，遵守國家有關(guān)規(guī)定，設(shè)置顯著提示標(biāo)識；組織機(jī)構(gòu)為實施內(nèi)部管理安裝圖像采集、個人身份識別設(shè)備的，應(yīng)當(dāng)根據(jù)實際需求合理確定圖像信息采集區(qū)域

　　對于旅館客房、公共浴室、更衣室、衛(wèi)生間及其他可能侵害他人隱私的場所，征求意見稿要求，不得安裝圖像采集、個人身份識別設(shè)備。

　　對于賓館、銀行、車站、機(jī)場、體育場館、展覽館、博物館、美術(shù)館、圖書館等經(jīng)營場所，征求意見稿要求，除法律、行政法規(guī)規(guī)定應(yīng)當(dāng)使用人臉識別技術(shù)驗證個人身份的，不得以辦理業(yè)務(wù)、提升服務(wù)質(zhì)量等為由強(qiáng)制、誤導(dǎo)、欺詐、脅迫個人接受人臉識別技術(shù)驗證個人身份。

　　對于物業(yè)，征求意見稿特別規(guī)定，物業(yè)服務(wù)企業(yè)等建筑物管理人不得將使用人臉識別技術(shù)驗證個人身份作為出入物業(yè)管理區(qū)域的唯一方式，個人不同意通過人臉信息進(jìn)行身份驗證的，物業(yè)服務(wù)企業(yè)等建筑物管理人應(yīng)當(dāng)提供其他合理、便捷的身份驗證方式。

　　此前，對于物業(yè)使用人臉識別技術(shù)，法院已有判例。2021年8月，因不滿居住地物業(yè)公司僅提供人臉識別作為唯一的門禁驗證方式，天津一租戶將物業(yè)告上法庭。2022年5月25日，原告顧城收到終審判決，天津市第一中級法院判令物業(yè)公司刪除他的人臉信息，提供替代通行驗證方式，并賠償律師費(fèi)等合理費(fèi)用。（詳見《特稿｜以防疫為由只提供“刷臉”門禁 法院為何判其敗訴》）

　　2021年8月1日，最高法院《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》生效施行，其第10條規(guī)定，物業(yè)服務(wù)企業(yè)或者其他建筑物管理人以人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗證方式，不同意的業(yè)主或者物業(yè)使用人請求其提供其他合理驗證方式的，法院依法予以支持。（詳見《司法新規(guī)對強(qiáng)制“刷臉”說不》）

　　在個人信息保護(hù)方面，征求意見稿要求，人臉識別技術(shù)使用者處理人臉信息，應(yīng)當(dāng)事前進(jìn)行個人信息保護(hù)影響評估，并對處理情況進(jìn)行記錄。征求意見稿還要求，在公共場所使用人臉識別技術(shù)，或者存儲超過1萬人人臉信息的人臉識別技術(shù)使用者，應(yīng)當(dāng)在30個工作日內(nèi)向所屬地市級以上網(wǎng)信部門備案。個人信息保護(hù)影響評估報告應(yīng)當(dāng)至少保存三年。

　　征求意見稿要求，除法定條件或者取得個人單獨(dú)同意外，人臉識別技術(shù)使用者不得保存人臉原始圖像、圖片、視頻，經(jīng)過匿名化處理的人臉信息除外。

　　在網(wǎng)絡(luò)安全方面，征求意見稿要求，面向社會公眾提供人臉識別技術(shù)服務(wù)的，相關(guān)技術(shù)系統(tǒng)應(yīng)當(dāng)符合網(wǎng)絡(luò)安全等級保護(hù)第三級以上保護(hù)要求，并采取數(shù)據(jù)加密、安全審計、訪問控制、授權(quán)管理、入侵檢測和防御等措施保護(hù)人臉信息安全。屬于關(guān)鍵信息基礎(chǔ)設(shè)施的，還應(yīng)當(dāng)符合關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的相關(guān)要求。

　　征求意見稿還要求，人臉識別技術(shù)使用者應(yīng)當(dāng)每年對圖像采集設(shè)備、個人身份識別設(shè)備的安全性和可能存在的風(fēng)險進(jìn)行檢測評估，并根據(jù)檢測評估情況改進(jìn)安全策略，調(diào)整置信度閾值，采取有效措施保護(hù)圖像采集設(shè)備、個人身份識別設(shè)備免受攻擊、侵入、干擾和破壞。

　　近年來關(guān)于人臉識別的訴訟案件不斷。2019年10月，浙江理工大學(xué)法政學(xué)院教授郭兵對杭州野生動物世界提起訴訟，抗議強(qiáng)制人臉識別注冊的做法。該案成為“人臉識別第一案”。2021年4月，杭州中院作出終審判決，判令杭州野生動物世界賠償郭兵合同利益損失及交通費(fèi)共計1038元，刪除郭兵辦理指紋年卡時提交的包括照片在內(nèi)的面部特征信息，以及指紋識別信息。（詳見財新網(wǎng)《杭州野生動物園再成焦點(diǎn) 曾為人臉識別第一案被告》）

　　最高檢察院今年亦發(fā)布多起針對“人臉識別技術(shù)”應(yīng)用場景的公益訴訟案例。浙江墾丁律師事務(wù)所創(chuàng)始合伙人王瓊飛向財新舉例稱，“江蘇省無錫市新吳區(qū)人民檢察院督促保護(hù)服務(wù)場所消費(fèi)者個人信息行政公益訴訟案”等案件，重點(diǎn)聚焦于公共領(lǐng)域中的使用“人臉識別技術(shù)裝置”的規(guī)范性問題。此外，聚焦于個人在私有領(lǐng)域內(nèi)使用“人臉識別技術(shù)”裝置的規(guī)范性問題也同樣值得關(guān)注，如去年發(fā)布的“人臉識別裝置侵害鄰居隱私權(quán)案”。

　　“新規(guī)填補(bǔ)了長久以來對于人臉識別技術(shù)安全管理方面的立法空白，明確了人臉識別技術(shù)應(yīng)用場景中安全管理的基本立場，”王瓊飛指出，新規(guī)進(jìn)一步細(xì)分了相關(guān)法律場景，對于采集人臉信息所需要滿足的條件、人臉信息采集的精度要求、人臉信息的數(shù)據(jù)分級、流轉(zhuǎn)和存儲、公共空間和私人空間下人臉識別技術(shù)應(yīng)用的區(qū)分管理、人臉識別技術(shù)使用場景的限縮等問題做出了回應(yīng)。

　　不過，新規(guī)仍有改進(jìn)之處。王瓊飛指出，對于如何判斷人臉識別收集是否符合必要性原則和自主選擇原則，新規(guī)依然沒有做出更為細(xì)化的規(guī)定。

　　北京師范大學(xué)法學(xué)院博士生導(dǎo)師、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括進(jìn)一步向財新指出，新規(guī)多處內(nèi)容仍可以更加細(xì)化，例如，算法因素在實踐場景中日漸多見，應(yīng)針對重點(diǎn)場景中的人臉識別算法制定合規(guī)要求；對于備案機(jī)制，須細(xì)化操作規(guī)范與具體期限；針對特定的合規(guī)動作劃定清晰的實現(xiàn)基線，例如就人臉識別應(yīng)用場景中的“匿名化處理”要求，進(jìn)一步明確其實現(xiàn)途徑和實現(xiàn)程度。

本文轉(zhuǎn)自于  財新網(wǎng)