《办法》围绕落地实施的可操作性和实效性,针对监管部门、个人信息处理者、社会大众等,建立了主体明确、要求清晰、相互协作的责任体系,体现了科学立法的精神。
首先,《办法》明确了有关部门的监管责任。《办法》第十六条规定“网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作”,第十七条规定“收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉人、举报人”。通过多部门的协同配合,形成了强有力的监管合力。
其次,《办法》对个人信息处理者应承担的责任给出明确规定。前端设置告知同意规则,《办法》第六条明确规定,“基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意”;中端规定存储传输限制,《办法》第八条明确规定,“除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输”;后端建立备案管理制度等。同时,要求个人信息处理者应当配合监管部门的监督检查。
此外,《办法》还鼓励社会大众积极参与监管。《办法》第十七条明确规定,“任何组织、个人有权对违法应用人脸识别技术处理人脸信息的活动向履行个人信息保护职责的部门进行投诉、举报”。通过公众的广泛参与,形成社会共治的良好氛围。
《办法》的出台,标志着我国在人脸识别技术应用管理方面迈出了重要一步,是我国个人信息保护历程中的里程碑,必将为提高我国个人信息保护水平、提升我国数据安全治理监管能力发挥重要作用。(作者:王志成 国家网信办数据与技术保障中心副主任)