(二)坚持守正创新,健全人脸识别技术应用基本原则。《办法》既注重监管逻辑的延续性,又充分发挥部门规章的创新空间,在继承《个人信息保护法》确立的基本原则和处理规则基础上,进一步完善了相关安全管理要求。一方面,重申使用人脸识别技术应当遵守法律法规、履行个人信息保护义务等相关法律法规中已经明确的制度要求,如第三条。另一方面,根据人脸识别技术应用的特殊性,规定了“非强制”等新的原则要求和制度设计,例如,第十条规定,实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。
(三)坚持突出重点,规定特殊应用场景安全管理要求。随着人脸识别技术不断优化发展,其开发应用的场景和空间将更加广阔。《办法》坚持突出重点,围绕公共场所等人脸识别技术应用的高频场景,以及宾馆客房、公共浴室等私密场景,都做了专门规定。第十三条明确,在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。
(四)坚持规范有序,压实技术使用者主体责任义务。防范人脸识别技术滥用风险,要加强对使用主体的监管,《办法》通过压实个人信息处理者的主体责任,全面提高个人信息安全保护力度,促进各场景安全水平提升。例如,第九条规定,个人信息处理者应用人脸识别技术处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录,评估报告和处理情况记录应当至少保存3年。再如,第十四条规定,人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。
(五)坚持分类分级,建立人脸识别技术使用备案制度。《办法》延续数据分类分级管理思路,针对应用人脸识别技术处理的人脸信息存储数量达到10万人的个人信息处理者,设置了备案要求。符合相关情形的个人信息处理者,应当在30个工作日内向所在地省级以上网信部门履行备案手续,并提交相关材料。备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。《办法》通过备案制度促进个人信息处理者积极进行个人信息保护影响评估,采取安全保护措施,督促个人信息处理者在应用人脸识别技术过程中关注合规问题。
三、新起点上推动人脸识别技术应用安全管理走深向实
当前,全球人工智能技术持续快速发展、深度赋能,人脸识别作为其中的重要应用之一,已渗透到公共安全、社会治理、商业服务、社会民生等各个领域。在此背景下,《办法》及时制定出台,构建全面系统的安全管理制度,实现了人脸识别技术应用发展治理“有法可依”,开启技术应用型专项立法的新征程。面对人脸识别技术应用发展带来的机遇与挑战,《办法》既创新制度设计,又保持监管体系的连贯性,既注重安全风险防范,又兼顾技术产业发展的多方需求,不仅为全球人脸识别技术治理提供了中国方案,更为我国未来人工智能等相关领域的立法与治理积累了宝贵经验。与此同时,《办法》的出台不仅是人脸识别技术应用治理的起点,更是各项制度落地的开端。6月1日,《办法》将开始施行,未来还需推动将制度优势转化为治理效能,真正实现技术创新与权利保障的共生共赢。(作者:何波 中国信息通信研究院互联网法律研究中心主任)