近日,国家网信办发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见。《征求意见稿》立足于“人脸识别技术的具体应用”的安全管理,从保障个人权利、强化使用者责任、科学设定监管等层面对人脸识别技术使用、人脸信息的采集、使用、处理、储存等全流程、全周期做出了详细规定,为保护个人权益、维护公共利益指明了方向,具有十分重要的意义。
《征求意见稿》从个人权利角度对人脸识别信息施以更具有针对性的保护的方法,将相关信息活动纳入了法治化、规范化轨道。
第一,《征求意见稿》贯彻“非必要不使用”原则,对于人脸信息的采集进行严控,最大限度地尊重了个人用户的数据权利。明确规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。
第二,《征求意见稿》有助于推动数据规则的构建,完善用户同意规则体系,将场景理论引入人脸识别信息保护的同意规则中。其要求保证信息主体知情权,使用人脸识别技术应依法取得个人的单独同意或书面同意,对不同应用场所制定了专门治理规则,有助于保护个人隐私信息权益及其他人身财产权益,维护社会秩序和公共安全。
第三,《征求意见稿》凸显了信息身份保护的理念,充分保障公民对于人脸信息使用的人格权与数据用益权,改变了用户在数据管理中的弱势地位。《征求意见稿》要求在确保个人充分知情和主动参与的情况下进行人脸识别验证,明确提示验证目的,并规定未成年人收集要监护人单独同意,这些都进一步保障了公众的“数据人权”,助益各方准确理解和把握人脸信息技术使用一定要达到的合规水准。
《征求意见稿》重视人脸识别技术的安全应用,强调人脸识别技术应用中法律治理和伦理治理的统一。
首先,《征求意见稿》完善有效法律和法规,强化有效制度设计,严格划定了人脸识别技术应用红线。要求使用人脸识别技术须遵守法律和法规,不可以从事法律和法规禁止的活动。规定企业“不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份”,希望改变用户在数据管理中的弱势地位。在惩戒措施上通过法律手段进一步调动全社会的监管资源,逐步形成社会共治格局,督促企业落实主体责任。
其次,在“涉及社会救助、不动产处分等个人重大利益”的特定场景中,将人脸识别技术应用从主位移至辅位,遵循“以人工审核为基础,以人脸识别验证作为辅助”的规则,不断的提高人脸识别信息采集、处理与使用的透明度。
《征求意见稿》通过强制性和义务性规定,构建“有所为、有所不为”的规则体系,强化企业和用户之间的信任关系。不仅有利于对个人隐私信息与隐私实行最大限度的保护,也切实促进了用户的信息公开披露意愿,有助于企业合规运营,行稳致远。
为了更好地规范人脸识别技术应用,须不断强化与完善科学监管,筑牢数据信息的安全防线。《征求意见稿》从事前加强个人隐私信息保护影响评估,事中事后强化和完善监督执行,改进安全策略等全周期监管上,不断调整人脸识别技术应用的置信度阈值。
第一,《征求意见稿》与《个人隐私信息保护法》要求“在处理敏感个人隐私信息前进行个人隐私信息保护影响评估”的规定相衔接,将个人隐私信息保护影响评估作为使用人脸识别技术应用的前置性条件。此外,新规亦规定了针对图像采集设备、个人身份识别设备的安全性和潜在风险进行年度检验测试评估的义务。
第二,《征求意见稿》强调了信息备案的重要性,针对人脸识别技术的“线上使用者”“线下使用者”进行分类规定,强化各方主体义务。信息备案的义务主体是“人脸识别使用者”,涉及范围较大。备案内容涉及人脸识别技术使用者及其个人隐私信息保护负责人的基本情况、处理人脸信息的必要性说明等网信部门认为需要出示的其他材料。
第三,《征求意见稿》在监管层面针对面向社会公众提供人脸识别技术服务者提出了严格规定,从技术安全等多个角度筑牢数据信息安全防线。人脸识别服务提供者是“技术服务商”,是给市场主体提供人脸识别技术部署或接口的主体。《征求意见稿》从优选官方数据库、网络安全等级保护第三级以上保护要求、关键产品目录等三个方面对人脸识别技术服务进行了限定,要求相关技术系统需符合,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。(中新经纬APP)
