随着人脸识别技术的快速发展和广泛应用,人脸识别技术在提升社会管理效率、增强安全保障等方面发挥了重要作用。然而,技术的滥用也带来了隐私泄露、数据安全等风险。近日,国家互联网信息办公室与公安部联合出台了《人脸识别技术应用安全管理办法》(以下简称《办法》),对人脸识别技术应用的范围和要求做出具体规定,对于有效保护个人信息权益,提升国家数据安全治理监管能力具有重要意义。
一、《办法》突出问题导向,积极回应了社会关切
《办法》以维护广大人民利益作为出发点和落脚点,对人脸识别技术使用中人民群众反映强烈、社会关注度高的问题,给出明确具体的回应,体现了鲜明的问题导向。
针对强制使用人脸识别技术问题,例如国内某小区物业强制业主使用人脸识别技术作为唯一出入方式,某银行App强制人脸验证登录,某健身房强制会员刷脸入场等,《办法》确立非唯一验证原则,第十条明确规定“实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式”。同时,为了减少人脸信息收集、存储,第十一条明确规定“应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施,减少人脸信息收集、存储,保护人脸信息安全”。
针对社会反映强烈的部分弱势群体的人脸信息权益受损的问题,例如国内某在线教育平台通过摄像头采集学生课堂表情数据用于“学习效果分析”,某保姆利用人脸识别技术诈骗老人等,《办法》第五条明确规定“处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定”,第七条明确要求“基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意”。
针对社会广泛关注的公共场所、私密空间滥用人脸识别技术的问题,例如国内某酒店在客房内安装人脸识别门锁,《办法》第十三条明确规定“在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备”。
二、《办法》坚持系统观念,全面覆盖了治理重点环节
《办法》着眼人脸识别技术应用的全流程管理,明确了告知、评估、备案、处罚等重点环节的具体要求,环环相扣,层层递进,体现了立法的系统观念。
在告知环节,《办法》第五条明确规定应用人脸识别技术处理人脸信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式,人脸信息的处理目的、处理方式以及保存期限、处理的必要性等等,要求应用人脸识别技术的主体必须履行告知义务,保障公众的知情权。同时第十三条明确规定,在公共场所安装人脸识别设备时,应当设置显著提示标识。
在评估环节,《办法》第九条明确规定,个人信息处理者应用人脸识别技术处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估主要包括处理人脸信息的处理目的、处理方式的合法性、正当性、必要性等,并要求评估报告和处理情况记录至少保存3年。
在备案环节,《办法》第十五条明确规定,“个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续”。申请备案应当提交个人信息处理者的基本情况、人脸信息处理目的和处理方式、存储数量和安全保护措施、处理规则和操作规程、个人信息保护影响评估报告等材料。这不仅有助于监管部门掌握实际应用情况,也为后续监督检查提供了依据。
在处罚环节,《办法》第十八条明确规定,“违反本办法规定的,依照有关法律、行政法规的规定处理;构成犯罪的,依法追究刑事责任”。