8月8日,国家网信办发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称“《管理规定》”),向社会公开征求意见。《管理规定》对人脸识别技术运用划出“红线”,强调只有在具有特定目的和充分的必要性,并采取严格保护措施的情形下,才能使用人脸识别技术处理人脸信息。此外,在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。南都记者采访多位法律和业内人士获悉,《管理规定》对不同场景的人脸识别技术应用给出了不同层级的合规要求,这意味着人脸识别技术的使用将纳入精细化管理。若按照管理规定中的规定执行,不仅技术提供方需要合规经营,大量技术使用方也将被纳入合规监管范畴,如商场、办公楼宇、电影院、博物馆等线下主体将会迎来大规模整改。
A
对人脸识别应用场景分层级“划红线”
从手机开屏解锁到智慧城市建设,人脸识别技术已广泛用于金融、医疗、安检等领域,在给人们带来便利的同时,也带来了个人信息泄露的风险。现实中,一些经营者滥用人脸识别技术盗用个人信息获取利益,其中一些线下门店使用“无感式”人脸识别技术,在未经同意的情况下擅自采集消费者人脸信息、有的卖家在社交平台公开贩卖人脸信息等。
在上海星瀚律师事务所合伙人律师吴晴霞看来,作为上位法的《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等法律已经对敏感个人信息的保护做出了一些原则性的规定,而2021年7月27日,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,也从司法层面对违法处理人脸信息的行为及救济进行了部分的规定。
“本次征求意见稿分别阐述了不同场景下对人脸识别技术的使用应当采取不同层级的合规要求,增加了更多可对照执行的操作性措施。同时,也提出了人脸识别技术使用者处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录的前置要求。”吴晴霞向南都记者表示,《管理规定》明确了公共浴室、卫生间、旅馆客房、更衣室等涉及个人隐私的场所不得安装图像采集、个人身份识别设备。同时,首次提出了在社会救助、不动产处分等涉及个人重大权益的场景下,不得使用人脸识别技术代替人工审核个人身份。此外,首次提出了针对远距离、无感式人脸识别技术的场景使用规范。
B
经营场所不得将“刷脸”作为唯一验证方式
本次《管理规定》针对经营性场所对人脸识别技术的应用有了更详细的规范。其中,明确规定在宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
“《管理规定》这里所说针对的是经营性公共场所,对于非经营性的场所其实不受本条款的限制”,吴晴霞表示,《管理规定》中所称的法律、行政法规规定的情形,主要是指出于“维护国家安全”、“公共安全”、“为紧急情况下保护自然人生命健康和财产安全”等情形,“例如边检边控为了海关安全设立的人脸认证系统、公安机关的‘天眼’系统”。
值得注意的是,今年以来大量线下演唱会、体育赛事、展览会等活动现场都在入场处开展人脸识别,要求观众刷身份证核验入场,并且仅提供这一种验证方式。如果按照此次《管理规定》要求,今后经营场所为了验证身份信息而使用人脸识别技术的,也应当同时提供其他核实身份信息的选项供用户自愿选择。
同时,《管理规定》第十四条提出,物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人不同意通过人脸信息进行身份验证的,物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。
此前曾有业主因“不刷脸不让进小区”将物管告上法庭,而早在2021年8月,最高法也曾出台司法解释,明确了人脸信息作为人人信息中的生物识别信息,已经被纳入保护范围,其中专门规定,物业公司不得将人脸识别作为出入小区唯一验证方式。
针对出入公司、上班打卡“刷脸”的使用,广东合邦律师事务所专职律师李泽坤认为,日常可以用非生物特征识别技术的场景如进出小区、上班打卡等,也将逐步用密码、指纹等方式替代,不能将刷脸作为唯一验证方式,“使用该技术的APP、物业、公司亦面临向所属地市级以上网信部门备案的要求,可以预见企业对人脸识别技术的使用会趋于保守和谨慎。”
C
远距离、无感式人脸识别纳入强监管
南都记者留意到,近年来,不少售楼处为了辨别客源,分析客户个人信息,通过远距离、无感式的人脸识别系统,抓拍消费者人脸照片并记录消费者在售楼中心内的行动轨迹议。同时,央视3·15晚会也曾曝光多个线下门店未经消费者同意,用摄像头捕捉消费者人脸、擅自采集消费者信息的违法行为。
本次首次提出了针对远距离、无感式人脸识别技术的场景使用规范。其中,《管理规定》第十条中明确指出,“在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人,应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出”。同时,《管理规定》还规定,必须将相关服务限定在最小、必要的时间、地点或者人群范围内,不得关联与个人请求事项无直接必然相关的个人信息。
“相关规定等于禁止了商家以自身经营目的为由而识别特定自然人”,吴晴霞向南都记者表示。
李泽坤同样认为,楼盘、线下商场等场所使用摄像头抓拍人脸这一模式是否有必要性需要进一步深究。据他介绍,《管理规定》第四条指出,“只有在具有特定目的和充分的必要性”的前提下才能使用该模式,“楼盘、商场不一定具备这种大前提,即使该模式可行也需要显著提示和充分告知消费者,如有被采集人的书面授权同意或签署告知书方可使用。这意味着人脸采集将进入精细化,使用企业将能不采集尽量不采集”,李泽坤说。
D
存储超过1万人脸信息的使用者应当备案
《管理规定》还指出,在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。同时,在人脸信息处理上,应当尽量避免采集与提供服务无关的人脸信息,无法避免的,应当及时删除或者进行匿名化处理。
在李泽坤看来,备案制度从源头杜绝了人脸采集滥用,涉及的企业多为营利性APP、小区物业、打卡公司等,从使用企业的角度出发,人脸技术的使用门槛和风险都大幅提升,大部分企业都会降低人脸采集的使用频率。
吴晴霞则向南都记者表示,《管理规定》中所要求备案的主体是“人脸识别使用者”,而不是单纯的“技术提供方”,所以之前常常会被忽略的商场、办公楼宇、电影院、博物馆等都将被纳入备案的范围。
“公共场所的经营者都必须严格遵守《个保法》《管理规定》中明确的各项义务,而不能粗暴地将责任推卸到设备提供商或者技术服务方身上。”吴晴霞称,表示公共场所今后不得随心所欲地安装带有人脸识别功能的摄像头,也不得擅自存储带有人脸信息的画面,更不能随意对人脸信息进行进一步的处理甚至于向第三方分享、转让。“例如咖啡店门口安装摄像头不能随心所欲拍摄门口的公共空间,汽车的车外摄像头只能出于驾驶目的进行录像,而不能随意扩大范围拍摄路面或是对路上车辆和行人进行身份识别”。
同时,吴晴霞认为,由于现在线下要求强行进行,或是无感进行人脸识别的场所不在少数,“若《管理规定》正式实施,必将掀起一波整改的浪潮。”
值得注意的是,管理规定还就未成年人脸识别方面做出指示,强调在处理不满十四周岁未成年人人脸信息时,应当取得未成年人的父母或者其他监护人的单独同意或者书面同意。未成年人的父母或者其他监护人也应当正确履行监护职责,教育引导不满十四周岁未成年人增强个人信息保护意识和能力。
出品:南都政商数据新闻部、上海新闻部
采写:南都记者 马宁宁 实习生 魏珊珊 发自上海
