安全419关注到,8月8日,国家互联网信息办公室发布关于《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《规定》)公开征求意见的通知,旨在规范人脸识别技术应用,保护个人信息权益及其他人身和财产权益。意见反馈截止时间为9月7日。
人脸识别应用价值凸显 公民隐私陷入威胁
人脸识别是一种广泛使用的技术,它利用计算机视觉和模式识别技术,通过分析和识别人脸图像中的特征,实现人脸识别、情感分析、活体检测等功能。
根据《规定》的立意,将对该项技术的具体应用进行安全规范。随着技术的不断发展,人脸识别已在多个领域显示出巨大的潜力和应用价值。比如:
安防领域,人脸识别系统可以用于监控和门禁系统,提高安全性和便利性。例如,机场、火车站、政府机构、小区等场所的安检通道通常会采用人脸识别技术。
零售行业,人脸识别技术可以帮助零售商进行客户身份验证,提高购物体验。例如,自助结账设备可以通过扫描顾客的脸来验证其身份。
金融行业,人脸识别技术可以用于ATM机、手机银行等金融服务场景,提高安全性和便利性。例如,通过面部识别验证用户身份后,用户可以快速完成转账操作。
教育领域,人脸识别技术可以用于考勤系统和学生管理系统,提高管理效率。例如,学校可以通过识别学生的脸部特征来记录出勤情况。
旅游行业,人脸识别技术可以用于景区门票、酒店入住等场景,提高服务质量和效率。例如,游客可以使用自己的面部信息办理入住手续。
娱乐产业,人脸识别技术可以用于电影院票务系统、游戏平台等场景,实现个性化推荐和互动体验。例如,观众可以通过扫描自己的脸部特征获取电影推荐和座位选择。
医疗行业,人脸识别技术可以用于医院挂号、病人识别等场景,提高医疗服务质量。例如,医生可以通过扫描患者的脸来确认患者的身份并获取相关病历资料。
与此同时,人脸识别应用也引发了诸多安全隐患。
例如,2019年“全国人脸识别纠纷第一案”在当时引起广泛关注,并被选入“人民法院2021年度十大案件”。2021年9月发布的《个人信息保护法》明确将人脸识别等包含个人生物识别特征信息作为敏感个人信息并加以特别保护。
2021年,央视3·15晚会曝光,商家通过安装人脸识别摄像头识别区分顾客,进而采取差异化的营销策略。商家在使用人脸识别技术捕捉顾客人脸信息时,并未履行告知同意等法定义务,致使公民在不知情的状态下被采集了人脸信息。
事实上,人脸识别技术不仅可以抓取公民人脸信息,还能进一步锁定个人身份,追踪行踪轨迹等。将这些信息进行简单的关联整合,就极易导致公民的隐私权、财产权受到威胁。
《规定》从多方面立体构筑公民人脸识别信息安全
因此,此次出台的《规定》将处理生物识别信息活动纳入法治化、规范化轨道,遵循我国个人信息保护现有框架,针对特定技术场景与信息敏感程度,细化人脸识别技术的应用落地与安全管理工作。其原则亮点主要体现在以下三个方面:
第一,《规定》明确对于使用人脸识别技术采取“特定目的”“充分必要”“非优选”原则,为我国人脸识别技术安全应用划定基线。
第二,《规定》鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。从国家层面支撑人脸识别技术的数据开放供给,以安全可信的数据来源,为个人信息安全保驾护航。
第三,《规定》是对我国网络与数据安全、个人信息保护体系的进一步衔接落实。其中,个人信息保护影响评估、申请备案、网络安全等级保护测评等规定亦是对我国现有保护框架的积极回应。
并且,《规定》明确,使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意,法律、行政法规规定不需取得个人同意的除外。在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。
落实到更具体的应用场景和技术使用中,《规定》与每个公民的隐私权益都休戚相关。
旅馆客房等场所不得安装个人身份识别设备
《规定》明确,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,设置显著提示标识。
在公共场所安装图像采集、个人身份识别设备的建设、使用、运行维护单位,对获取的个人图像、身份识别信息负有保密义务,不得非法泄露或者对外提供。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备。
不得利用人脸识别技术分析健康状况、社会阶层等敏感个人信息
《规定》强调,个人自愿选择使用人脸识别技术验证个人身份的,应当确保个人充分知情并在个人主动参与的情况下进行,验证过程中应当以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的。
人脸识别技术使用者处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的单独同意或者书面同意。未成年人的父母或者其他监护人应当正确履行监护职责,教育引导不满十四周岁未成年人增强个人信息保护意识和能力。
人脸识别技术使用者应个人或者利害关系人请求使用人脸识别技术远距离、无感式辨识特定个人或者利害关系人的,应当将相关服务限定在最小必要的时间、地点或者人群范围内,不得关联与个人请求事项无直接必然相关的个人信息。
此外,除维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,或者取得个人单独同意外,任何组织或者个人不得利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息。
物业不得将人脸识别作为出入唯一方式
《规定》指出,除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。
物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人不同意通过人脸信息进行身份验证的,物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。
总而言之,人脸识别因其具备得天独厚的技术优势,已经成为了发展数字经济和社会有效治理的技术手段。防范化解技术及应用的滥用风险,亟须在尊重人格权与隐私权、保护个人信息和维护公共利益的基础之上,对人脸识别技术的应用进行规制,树立明确的裁判规则和正确的价值导向。