人臉識(shí)別���,就是指自動(dòng)處理包含個(gè)人面部的數(shù)字圖像�����,以便對個(gè)人進(jìn)行識(shí)別�����、認(rèn)證(驗(yàn)證)或者分類��。人臉識(shí)別技術(shù)被廣泛運(yùn)用于很多場景��,主要是安全應(yīng)用����、醫(yī)療保健、產(chǎn)品服務(wù)營銷等三大領(lǐng)域��,如機(jī)場�����、火車站����、銀行對乘客或用戶的身份進(jìn)行驗(yàn)證,公安機(jī)關(guān)從人流中識(shí)別出網(wǎng)上追逃的犯罪分子等�����。歸納起來,人臉識(shí)別的基本功能就是身份驗(yàn)證���、個(gè)體識(shí)別與面部分析。
《個(gè)人信息保護(hù)法》
已對人臉識(shí)別技術(shù)應(yīng)用作出規(guī)范
人的臉部信息屬于自然人的生物識(shí)別信息����,是敏感的個(gè)人信息。如果個(gè)人或者組織可以不受規(guī)范����,隨意使用人臉識(shí)別技術(shù)處理人臉信息或提供人臉識(shí)別技術(shù)產(chǎn)品或服務(wù),勢必會(huì)侵害自然人的人格尊嚴(yán)���、人身自由及人身財(cái)產(chǎn)權(quán)益���,也會(huì)危害國家安全,損害社會(huì)公共利益與擾亂社會(huì)秩序�。
在我國起草《個(gè)人信息保護(hù)法》時(shí),就如何嚴(yán)格規(guī)范人臉識(shí)別技術(shù)的應(yīng)用的問題就有深入的討論和廣泛的關(guān)注��。最終《個(gè)人信息保護(hù)法》從以下方面作出了規(guī)范�����。
首先,明確將包括人臉信息在內(nèi)的生物識(shí)別信息作為敏感的個(gè)人信息��,并就敏感個(gè)人信息的處理進(jìn)行了非常嚴(yán)格的規(guī)范�。其次,該法第26條要求���,在公共場所安裝圖像采集����、個(gè)人身份識(shí)別設(shè)備�����,應(yīng)當(dāng)為維護(hù)公共安全所必須����,遵守國家有關(guān)規(guī)定,并設(shè)置顯著的提示標(biāo)識(shí)����。所收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的,不得用于其他目的�,除非取得個(gè)人單獨(dú)同意。再次����,依據(jù)該法第62條第2項(xiàng),國家網(wǎng)信部門要統(tǒng)籌有關(guān)部門����,針對人臉識(shí)別技術(shù)制定專門的個(gè)人信息保護(hù)規(guī)則或標(biāo)準(zhǔn)。
網(wǎng)信辦征求意見稿作出
全方位的��、具體的規(guī)范
不久前��,國家互聯(lián)網(wǎng)信息辦公室面向社會(huì)公開征求對于《人臉識(shí)別技術(shù)應(yīng)用安全管理規(guī)定(試行)(征求意見稿)》(以下稱《意見稿》)的意見�����。該《意見稿》正是國家網(wǎng)信部門依據(jù)《個(gè)人信息保護(hù)法》的授權(quán)��,與工業(yè)和信息化部�、公安部����、國家市場監(jiān)督管理總局聯(lián)合制定的針對人臉識(shí)別技術(shù)應(yīng)用的專門的個(gè)人信息保護(hù)規(guī)則。《意見稿》共25條���,從人臉識(shí)別技術(shù)應(yīng)用的法定條件���、具體場景、安全保護(hù)等三大方面�,對利用人臉識(shí)別技術(shù)處理人臉信息以及提供人臉識(shí)別技術(shù)產(chǎn)品或者服務(wù)作出了全方位的、具體的規(guī)范��。
處理人臉信息應(yīng)當(dāng)符合法律規(guī)定的條件
首先���,人臉信息屬于敏感的個(gè)人信息��。故此���,利用人臉識(shí)別技術(shù)處理人臉信息以及提供人臉識(shí)別技術(shù)或服務(wù)就是在處理敏感的個(gè)人信息,應(yīng)當(dāng)滿足《個(gè)人信息保護(hù)法》等法律所規(guī)定的條件要求�,《意見稿》對此作出了如下規(guī)定:(1)利用人臉識(shí)別技術(shù)處理人臉信息的活動(dòng)必須遵守合法、正當(dāng)����、必要、目的限制等個(gè)人信息處理的基本原則�,尤其是必要原則,即如果實(shí)現(xiàn)相同目的或者達(dá)到同等業(yè)務(wù)要求,存在其他非生物特征識(shí)別技術(shù)方案的�����,應(yīng)當(dāng)優(yōu)先選擇非生物特征識(shí)別技術(shù)方案���;(2)該處理活動(dòng)必須具有特定的目的和充分的必要性并采取嚴(yán)格保護(hù)措施�����,同時(shí)取得個(gè)人單獨(dú)同意或者依法取得書面同意(除非法律��、行政法規(guī)另有規(guī)定)���;(3)除維護(hù)國家安全��、公共安全或者為緊急情況下保護(hù)自然人生命健康和財(cái)產(chǎn)安全所必需��,或者取得個(gè)人單獨(dú)同意外���,任何組織或者個(gè)人不得利用人臉識(shí)別技術(shù)分析個(gè)人種族����、民族、宗教信仰��、健康狀況�����、社會(huì)階層等敏感個(gè)人信息���。
人臉識(shí)別技術(shù)的應(yīng)用場景
哪些場景下禁止使用人臉識(shí)別技術(shù)�,哪些場景下可以使用人臉識(shí)別技術(shù)但嚴(yán)格加以限制等問題���,《意見稿》作出了明確規(guī)定����。一方面����,旅館客房、公共浴室���、更衣室�、衛(wèi)生間及其他可能侵害他人隱私的場所不得安裝圖像采集�����、個(gè)人身份識(shí)別設(shè)備;另一方面���,以下場景可以使用人臉識(shí)別技術(shù)�����,但必須滿足相應(yīng)的要求:(1)在公共場所安裝圖像采集�、個(gè)人身份識(shí)別設(shè)備���,應(yīng)當(dāng)為維護(hù)公共安全所必需�,遵守國家有關(guān)規(guī)定���,設(shè)置顯著提示標(biāo)識(shí)���;同時(shí)����,如果在公共場所通過人臉識(shí)別技術(shù)遠(yuǎn)距離、無感式辨識(shí)特定自然人的�����,應(yīng)當(dāng)為維護(hù)國家安全、公共安全或者為緊急情況下保護(hù)自然人生命健康和財(cái)產(chǎn)安全所必需���,并由個(gè)人或者利害關(guān)系人主動(dòng)提出���;(2)組織機(jī)構(gòu)為實(shí)施內(nèi)部管理,可以安裝圖像采集���、個(gè)人身份識(shí)別設(shè)備����,但應(yīng)當(dāng)根據(jù)實(shí)際需求合理確定圖像信息采集區(qū)域���,采取嚴(yán)格保護(hù)措施��,履行個(gè)人信息安全保護(hù)義務(wù)��;(3)賓館�、銀行����、車站�����、機(jī)場等經(jīng)營場所只有在法律�、行政法規(guī)規(guī)定應(yīng)當(dāng)使用人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份時(shí)���,才能強(qiáng)制使用人臉識(shí)別技術(shù)來進(jìn)行個(gè)人身份驗(yàn)證����,否則�,不得強(qiáng)制、誤導(dǎo)�、欺詐、脅迫個(gè)人接受人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份�����;(4)物業(yè)服務(wù)企業(yè)等建筑物管理人不得將使用人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份作為出入物業(yè)管理區(qū)域的唯一方式��,個(gè)人不同意通過人臉信息進(jìn)行身份驗(yàn)證的���,物業(yè)服務(wù)企業(yè)等建筑物管理人應(yīng)當(dāng)提供其他合理����、便捷的身份驗(yàn)證方式����。
安全保護(hù)的具體規(guī)定
為保護(hù)個(gè)人權(quán)益、公共利益和國家安全�����,《意見稿》對于人臉識(shí)別技術(shù)應(yīng)用的安全問題作出了具體的規(guī)定:(1)依據(jù)《個(gè)人信息保護(hù)法》的規(guī)定�,《意見稿》就人臉識(shí)別技術(shù)使用者處理人臉信息之前應(yīng)當(dāng)進(jìn)行的個(gè)人信息保護(hù)影響評(píng)估的內(nèi)容、評(píng)估報(bào)告的保存等作出了具體的要求����;(2)要求特定的人臉識(shí)別技術(shù)使用者——在公共場所使用人臉識(shí)別技術(shù),或者存儲(chǔ)超過1萬人人臉信息的人臉識(shí)別技術(shù)使用者——在30個(gè)工作日內(nèi)向所屬地市級(jí)以上網(wǎng)信部門備案���;(3)人臉識(shí)別技術(shù)使用者必須對相關(guān)技術(shù)系統(tǒng)的安全性負(fù)責(zé)�,并采取數(shù)據(jù)加密���、安全審計(jì)�、訪問控制��、授權(quán)管理��、入侵檢測和防御等措施保護(hù)人臉信息安全;必須對圖像采集設(shè)備��、個(gè)人身份識(shí)別設(shè)備的安全性和可能存在的風(fēng)險(xiǎn)進(jìn)行檢測評(píng)估�。
《意見稿》仍有可進(jìn)一步完善之處
總體而言,《意見稿》對人臉識(shí)別技術(shù)的應(yīng)用作出了較為全面且科學(xué)的規(guī)范�,值得肯定。不過�,筆者認(rèn)為,有以下幾點(diǎn)可以進(jìn)一步完善:
禁止安裝圖像采集����、個(gè)人身份識(shí)別設(shè)備的場景規(guī)定得太狹窄。至少��,從目前很多地方政府頒布的規(guī)章來看�����,除了賓館房間����、公共浴室、更衣室���、衛(wèi)生間外����,還包括:集體宿舍����、公寓房間內(nèi);哺乳室��、化妝間�����、試衣間����;金融、保險(xiǎn)��、證券機(jī)構(gòu)內(nèi)可能泄露客戶個(gè)人信息的區(qū)域���;選舉箱�����、舉報(bào)箱�、投票點(diǎn)等附近可能觀察到個(gè)人意愿表達(dá)或者行為的區(qū)域。因此��,建議增加相應(yīng)的禁止使用人臉識(shí)別技術(shù)的場景的規(guī)定�����。
組織機(jī)構(gòu)安裝設(shè)備要以合法實(shí)施內(nèi)部管理為前提������!兑庖姼濉返8條規(guī)定“組織機(jī)構(gòu)為實(shí)施內(nèi)部管理安裝圖像采集、個(gè)人身份識(shí)別設(shè)備”��,該范圍建議限制為“組織機(jī)構(gòu)合法實(shí)施內(nèi)部管理”�,也就是說,組織機(jī)構(gòu)要么是依據(jù)法律的規(guī)定如國家機(jī)關(guān)依據(jù)公務(wù)員法等法律而實(shí)施內(nèi)部管理�,要么是按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理而實(shí)施內(nèi)部管理等,但都必須是合法實(shí)施的內(nèi)部管理�。
第10條規(guī)定有待斟酌調(diào)整����!兑庖姼濉返10條規(guī)定:“在公共場所�����、經(jīng)營場所使用人臉識(shí)別技術(shù)遠(yuǎn)距離����、無感式辨識(shí)特定自然人�����,應(yīng)當(dāng)為維護(hù)國家安全���、公共安全或者為緊急情況下保護(hù)自然人生命健康和財(cái)產(chǎn)安全所必需,并由個(gè)人或者利害關(guān)系人主動(dòng)提出�����。人臉識(shí)別技術(shù)使用者應(yīng)個(gè)人或者利害關(guān)系人請求使用人臉識(shí)別技術(shù)遠(yuǎn)距離�����、無感式辨識(shí)特定個(gè)人或者利害關(guān)系人的����,應(yīng)當(dāng)將相關(guān)服務(wù)限定在最小必要的時(shí)間、地點(diǎn)或者人群范圍內(nèi),不得關(guān)聯(lián)與個(gè)人請求事項(xiàng)無直接必然相關(guān)的個(gè)人信息����!痹摋l存在的問題是:一方面��,《個(gè)人信息保護(hù)法》第26條僅提及在公共場所為了維護(hù)公共安全而安裝圖像采集和個(gè)人身份識(shí)別設(shè)備����。《意見稿》本條將適用范圍擴(kuò)張為公共場所�、經(jīng)營場所是否合適?另一方面�,本條第1款中“為緊急情況下保護(hù)自然人生命健康和財(cái)產(chǎn)安全所必需”才涉及到個(gè)人或者利害關(guān)系人,至于為維護(hù)國家安全����、公共安全,并不存在由個(gè)人或者利害關(guān)系人主動(dòng)提出的問題���,前者使用人臉識(shí)別技術(shù)遠(yuǎn)距離����、無感式辨識(shí)特定自然人可能是持續(xù)性的��,而個(gè)人或者利害關(guān)系人主動(dòng)提出的情形是一次性的,僅適用于特定的情形����。在同一條中將兩種情形規(guī)定在一起,似有不妥���。
第12條規(guī)定有待完善���。《意見稿》第12條規(guī)定��,涉及社會(huì)救助�、不動(dòng)產(chǎn)處分等個(gè)人重大利益的�����,不得使用人臉識(shí)別技術(shù)替代人工審核個(gè)人身份����,人臉識(shí)別技術(shù)可以作為驗(yàn)證個(gè)人身份的輔助手段。顯然《意見稿》最終是由國家網(wǎng)信辦��、工業(yè)和信息化部��、公安部、國家市場監(jiān)督管理總局聯(lián)合發(fā)布的規(guī)章�����,但是這四個(gè)部委發(fā)布的規(guī)章無權(quán)對其他行政機(jī)關(guān)的審核活動(dòng)作出規(guī)定����。比如,不動(dòng)產(chǎn)處分時(shí)的身份驗(yàn)證是自然資源行政管理部門的職責(zé)�,社會(huì)救助是民政部門的職責(zé)。而且�,不得使用人臉識(shí)別技術(shù)替代人工審核個(gè)人身份,只能作為輔助手段��,此種規(guī)定也有不妥�����。如果使用人臉識(shí)別技術(shù)并且按照《意見稿》第4條第2款使用的是國家人口基礎(chǔ)信息庫�����、國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)等權(quán)威渠道��,此種身份驗(yàn)證比人工審核更權(quán)威�����?此外,即便可以規(guī)定����,那么涉及到個(gè)人重大利益的場景顯然也不僅僅是列舉的社會(huì)救助、不動(dòng)產(chǎn)處分���。
缺少針對違法行為的法律責(zé)任的細(xì)致規(guī)定�����。法律責(zé)任是法律的“牙齒”���,如果沒有相應(yīng)的法律責(zé)任尤其是對行政機(jī)關(guān)通過行政執(zhí)法而施加的行政處罰的規(guī)定����,那么行為人違反規(guī)定使用人臉識(shí)別技術(shù),廣大個(gè)人也是束手無策������!兑庖姼濉纷畲蟮膯栴}就是在于沒有針對違法行為作出具體的細(xì)致的法律責(zé)任的規(guī)定��。而只是在第23條第1款非����;\統(tǒng)地規(guī)定�����,“人臉識(shí)別技術(shù)使用者或者相關(guān)產(chǎn)品�、服務(wù)提供者違反本規(guī)定的,由網(wǎng)信����、電信、公安����、市場監(jiān)管等有關(guān)部門在職責(zé)范圍內(nèi)依照《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)進(jìn)行處罰。違反《治安管理處罰法》的����,依法給予治安管理處罰;構(gòu)成犯罪的�����,依法追究刑事責(zé)任��!北M管部門規(guī)章的立法權(quán)限有限制�,但是依據(jù)《行政處罰法》第13條,部門規(guī)章是可以在法律�����、行政法規(guī)規(guī)定的給予行政處罰的行為�����、種類和幅度的范圍內(nèi)作出具體規(guī)定的�。即便是尚未制定法律、行政法規(guī)的����,國務(wù)院部門規(guī)章對違反行政管理秩序的行為,也可以設(shè)定警告�、通報(bào)批評(píng)或者一定數(shù)額罰款的行政處罰(罰款的限額由國務(wù)院規(guī)定)。故此��,建議能夠?qū)Ψ韶?zé)任尤其是行政處罰作出細(xì)化規(guī)定��,也就是說��,要明確列舉人臉識(shí)別技術(shù)使用者或者相關(guān)產(chǎn)品��、服務(wù)提供者違反本規(guī)定的行為類型�����,并有針對性地明確哪一類違法行為由哪一個(gè)部門在職責(zé)范圍內(nèi)給予何種種類和數(shù)額的行政處罰���。唯其如此����,才能真正使人臉識(shí)別技術(shù)使用者或相關(guān)產(chǎn)品�����、服務(wù)的提供者遵守法律法規(guī)�,遵守公共秩序,尊重社會(huì)公德���,承擔(dān)社會(huì)責(zé)任�����,履行個(gè)人信息保護(hù)義務(wù)�����,不利用人臉識(shí)別技術(shù)從事危害國家安全�、損害公共利益、擾亂社會(huì)秩序��、侵害個(gè)人和組織合法權(quán)益的活動(dòng)�。(作者為清華大學(xué)法學(xué)院副院長、教授)
