21世纪经济报道记者钟雨欣北京报道人脸信息又被称为“生物密码”,具有特殊属性。近年来,人脸识别技术普及度不断提升,随之而来的风险隐患不容忽视。8月8日,国家网信办就《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《征求意见稿》)向社会公开征求意见。

多位受访专家表示,《征求意见稿》坚持安全与发展并重,通过区分应用场景、环节设定不同的法律义务、监管要求等,促进人脸识别技术应用逐步走向规范化。


(资料图)

建构流程化治理框架

中国人民大学法学院教授、中国人民大学民商事法律科学研究中心执行主任石佳友此前在接受21世纪经济报道记者采访时指出,近几年人脸识别为个人信息保护带来的挑战逐渐被公众和监管部门重视。在认可人脸识别技术带来的便利性时,也应注意其背后的风险和隐患。拉网式人脸信息收集的过程可能严重威胁个人隐私,造成人身、财产以及心理上的安全隐忧。

实际上,在全球范围内,关于人脸识别的规制问题存在一定争议。美国旧金山、波士顿等城市陆续立法禁止政府使用人脸识别技术,波特兰的人脸识别禁令更是涵盖了私营机构。今年6月,欧盟议会通过《人工智能法案》草案,其中提到禁止实时远程生物识别技术,意味着不能在公共场合进行人脸识别。石佳友认为,鉴于中国经济与社会发展的实际情况,不宜照搬欧美的做法,“一刀切”地完全禁止是不现实的,不如讨论如何更有效地进行规制。

北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括表示,《征求意见稿》旨在提升人脸识别技术的规范应用与合规水平,进而实现保护个人信息权益及其他人身和财产权益,维护社会秩序和公共安全。

“在机制设计层面,《征求意见稿》注重建构人脸识别技术应用的流程化治理框架,从设备的安装到图像的采集,从数据的处理、存储到数据的提供、删除,从人脸识别技术应用的准度、精度到置信度阈值,从人脸识别技术使用者到产品或者服务提供者的责任义务,力图实现场景全要素的流程化合规应用。”吴沈括说。

北京航空航天大学法学院副教授,北京科技创新中心研究基地副主任赵精武分析认为,《征求意见稿》的特色表现在几个方面:一、安全与发展并重是人脸识别技术应用的监管原则,并不完全限制或禁止该项技术的应用;二、个人信息保护影响评估成为使用人脸识别技术应用的前置性条件,个人信息权益保障得到充分落实;三、细分人脸识别技术应用场景,根据应用场景的不同设定不同的义务内容。

北京大成律师事务所高级合伙人邓志松表示,《征求意见稿》延续了《个人信息保护法》的基本思路,以“堵不如疏,疏不如引”的辩证思维看待人脸识别技术应用所蕴含的法律风险,并未“一刀切”地全面禁止,也未放任其无序发展,而是通过区分应用场景、环节设定不同的法律义务、监管要求等,促进人脸识别技术应用逐步走向规范化。

对重点场景作出针对性设计

人脸识别技术应用的“合目的性”和“必要性”贯穿《征求意见稿》始终。其中第四条拟规定,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。”

北京理工大学法学院教授洪延青撰文指出,该条是“最少使用”原则的具体体现。应用人脸识别技术应当具有合法、正当目的,遵循充分必要原则,实现相同目的存在其他可选的非生物特征识别技术方案的,应当优先选择其他技术方案。

分场景治理是《征求意见稿》的亮点之一。吴沈括表示,《征求意见稿》注重规定针对重点场景的技术应用专门治理规则,涵盖旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场景,在公共场所安装图像采集、个人身份识别设备的场景,组织机构为实施内部管理安装图像采集、个人身份识别设备的场景,在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人的场景等,及时回应了社会公众的焦点关切,也为具体合规操作提供了直接、明确的业务规则。

赵精武也指出,《征求意见稿》反映了场景化的监管思路,根据应用场景可能存在的具体风险类型和涉及的特定法律关系确定相应的使用者、提供者义务。这也与我国数据分级分类保护基础制度相契合,能够实现更为直接有效的监管效果。

“各场景下人脸识别技术应用所带来的法律风险各不相同,因此有必要对其进行分场景管控,这也有利于监管资源的合理分配。区分应用场景对法律规则做出针对性设计是个人信息保护领域的全球共识。”邓志松表示,低风险场景高等级措施所带来的高昂合规成本,高风险场景低等级措施所具有的高违法风险,对于立法者、监管者与技术使用者都是难以接受的。

21世纪经济报道记者注意到,对于在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人的场景,《征求意见稿》拟要求“应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出。”

此外,“人脸识别技术使用者应个人或者利害关系人请求使用人脸识别技术远距离、无感式辨识特定个人或者利害关系人的,应当将相关服务限定在最小必要的时间、地点或者人群范围内,不得关联与个人请求事项无直接必然相关的个人信息。”

邓志松表示,公共场所、经营场所等场景中的远距离、无感式人脸识别设备由于其影响范围较广,外溢效应难以控制,其应用是否具有合法性基础易被质疑,需要设定更为严格的合规义务。根据《征求意见稿》规定,实践中其应用以个人或者利害关系人主动提出为前提,仅限于维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需等目的,并且仅适用于辨识特定自然人,而不得私自为其他任何目的大规模、无限制地批量对不特定社会公众进行识别。

吴沈括分析,实践中判断“最小必要”的核心依据是业务需求和相关数据颗粒度之间的直接逻辑关联是否符合比例性和相称性的要求。而禁止关联性分析主要是为了保护人脸信息,防止非法的二次处理使用以及可能由此引发的安全问题。

前移监管治理关口

《征求意见稿》第十五条、第十六条分别对事前个人信息保护影响评估、备案机制作出要求。拟规定人脸识别技术使用者处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录,以及在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。

“这反映了监管机关前移治理关口、最大限度降低人脸识别技术应用安全风险水平的综合治理思路。”吴沈括说。

邓志松分析,对于企业而言,相关规定一方面意味着短期内合规投入的增加,需要支付各项成本对自身人脸识别技术应用合规工作进行全面梳理,并依法履行评估、备案等义务;另一方面,这实际上也是在技术应用与监管间相对平衡的较优方案,企业的个人信息保护实体与程序违法风险都能得到有效控制。

“《征求意见稿》仅对两类重点主体提出了备案要求。而相较于许可,备案给企业的负担相对较低,相关主体仅需按照规定要求制定相应的制度、履行相应的评估要求即可,而无需另行等待监管机构的审查批准才能从事技术应用活动。”邓志松说。

值得注意的是,《征求意见稿》还在个人信息保护影响评估和年度风险检测评估内容中对准度、精度、置信度阈值等作出规定。

赵精武认为,这本质上是为了尽可能确保义务主体能够按照监管要求履行个人信息保护义务。精准度的提出也是为了与人脸识别信息的敏感性相匹配,实现真正意义上的“合目的性”与“必要性”,确保人脸识别信息的采用和使用不至于扩大潜在的个人信息泄露风险。

“在不同的准度、精度、置信度阈值下,可能收集到的人脸信息量不同,对个人权益造成的影响也可能不同。例如,在某些场景下,仅需记录人流量、各区域拥挤程度等一般信息时,如其采取过高精度的人脸识别技术,显然超出了实现其目的所需的范畴。同时,不同精度的人脸信息如发生泄露,对个人造成的影响也不同,因此对其相应的安全保障措施也需要有所区分。”邓志松表示。

推荐内容