近日,国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》(以下简称《办法》),《办法》将于2025年6月1日起施行。《办法》坚持问题导向,积极回应当前人脸识别技术应用发展形势要求,构建了科学合理、系统全面、特色鲜明的制度框架,开启人脸识别技术应用安全治理法治化的新篇章,对于明确技术应用安全管理要求、提升依法管网治网水平具有重要意义,为护航数字经济高质量发展提供有力法治保障。
一、《办法》助推技术应用向善发展意义重大特色鲜明
近年来,人脸识别技术快速发展,应用场景不断丰富拓展,在便利人民群众生活的同时,也对个人信息保护提出了新的挑战。“技术前进一小步,管理难度增加一大步”,如何在合理使用人脸识别技术的同时有效地防止个人信息泄露滥用成为当务之急。国家网信部门和公安机关把握人脸识别技术发展规律,顺应广大人民群众迫切需要,及时制定出台《办法》,完善监管手段措施,创新具体制度内容,以良法促进发展、保障善治,意义重大。
(一)践行人民至上理念强化个人信息保护的切实行动。人脸信息作为“敏感个人信息”中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性、不可更改性等天然特性,关系到每个人的人格尊严,一旦泄露或者非法使用,将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。强化人脸信息保护,符合人民群众所急所盼。习近平总书记对加强个人信息保护工作提出明确要求,多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律、行政法规对个人信息保护作出原则性规定,但缺乏针对人脸识别技术应用的专门规则。国家互联网信息办公室、公安部适时制定出台《办法》,及时回应个人信息保护治理出现的新情况、新问题、新需求,以实际行动践行以人民为中心的发展思想。
(二)划定安全底线红线及时遏制技术滥用的关键举措。当前,人脸识别技术已在多个领域得到广泛应用,随着应用场景的不断拓展,面临的安全挑战也愈发凸显。例如,人脸信息滥采滥用问题时有发生,甚至还可能被用于电信网络诈骗等违法犯罪活动。《办法》立足实践问题,把握人脸识别技术发展规律,针对社会争议较大的强制刷脸等热点难点问题,明确了人脸识别技术的应用条件和应用人脸识别技术处理人脸信息的具体要求。作为一部“小切口”立法,《办法》聚焦人脸识别技术常见应用场景,为人脸信息的处理划定了清晰的法律边界,有效遏制防范技术滥用风险。
(三)平衡技术创新与治理促进良性发展的制度保障。在金融、安防、智能家居等领域旺盛需求推动下,我国人脸识别技术应用和产业发展迅速,产业链条不断拓展,市场规模快速增长。例如,在安防领域,人脸识别技术被广泛应用于机场、银行、商场等重要区域的门禁系统和监控系统,显著提升了公共安全和应急响应能力。在国际市场上,我国人脸识别技术产业也已具备一定的竞争力。《办法》充分考虑到技术产业创新发展与安全治理的良性互动,明确规制人脸识别技术的目的并非一刀切地予以禁止,而是旨在确保安全的前提下,倡导负责任地使用人脸识别技术,既明确公共场所安装人脸识别设备的具体规范,又严格禁止在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备,充分发挥了立法促进技术进步、规范产业发展、保障数据安全的作用,实现促进人脸识别技术应用发展与保障公民权利之间的有效平衡。
二、《办法》系统构建管理制度框架内容全面亮点突出
《办法》共二十条,首次以专门法律文件的形式系统规定了人脸识别技术应用安全管理的制度框架,细化完善了《个人信息保护法》等法律法规要求,既全盘考虑、统筹部署,也突出重点、实现精细化规制,内容全面、亮点突出。
(一)坚持与时俱进,明确人脸识别技术相关概念范围。人脸识别技术作为一项新技术新应用,已在产业实践中广泛应用,但长期以来,始终缺乏法律上的明确界定。《办法》立足当前产业发展和安全管理需要,在部门规章中明确了相关概念,厘清人脸识别技术应用边界,为技术应用发展提供有效引导。此外,《办法》还明确了人脸信息的含义,规定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的面部特征生物识别信息,不包括匿名化处理后的信息”,明确将匿名化处理后的信息排除在外,在大力保护个人信息权益的同时,也为相关服务提供者采用匿名化等技术留出空间,以保障正常的信息处理活动。