人脸识别,就是指自动处理包含个人面部的数字图像,以便对个人进行识别、认证(验证)或者分类。人脸识别技术被广泛运用于很多场景,主要是安全应用、医疗保健、产品服务营销等三大领域,如机场、火车站、银行对乘客或用户的身份进行验证,公安机关从人流中识别出网上追逃的犯罪分子等。归纳起来,人脸识别的基本功能就是身份验证、个体识别与面部分析。
《个人信息保护法》已对人脸识别技术应用作出规范
人的脸部信息属于自然人的生物识别信息,是敏感的个人信息。如果个人或者组织可以不受规范,随意使用人脸识别技术处理人脸信息或提供人脸识别技术产品或服务,势必会侵害自然人的人格尊严、人身自由及人身财产权益,也会危害国家安全,损害社会公共利益与扰乱社会秩序。
图为火车站安检区,旅客进行人脸识别通过安检。资料照片
在我国起草《个人信息保护法》时,就如何严格规范人脸识别技术的应用的问题就有深入的讨论和广泛的关注。最终《个人信息保护法》从以下方面作出了规范。
首先,明确将包括人脸信息在内的生物识别信息作为敏感的个人信息,并就敏感个人信息的处理进行了非常严格的规范。其次,该法第26条要求,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必须,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,除非取得个人单独同意。再次,依据该法第62条第2项,国家网信部门要统筹有关部门,针对人脸识别技术制定专门的个人信息保护规则或标准。
网信办征求意见稿作出全方位的、具体的规范
不久前,国家互联网信息办公室面向社会公开征求对于《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下称《意见稿》)的意见。该《意见稿》正是国家网信部门依据《个人信息保护法》的授权,与工业和信息化部、公安部、国家市场监督管理总局联合制定的针对人脸识别技术应用的专门的个人信息保护规则。《意见稿》共25条,从人脸识别技术应用的法定条件、具体场景、安全保护等三大方面,对利用人脸识别技术处理人脸信息以及提供人脸识别技术产品或者服务作出了全方位的、具体的规范。
处理人脸信息应当符合法律规定的条件
首先,人脸信息属于敏感的个人信息。故此,利用人脸识别技术处理人脸信息以及提供人脸识别技术或服务就是在处理敏感的个人信息,应当满足《个人信息保护法》等法律所规定的条件要求,《意见稿》对此作出了如下规定:(1)利用人脸识别技术处理人脸信息的活动必须遵守合法、正当、必要、目的限制等个人信息处理的基本原则,尤其是必要原则,即如果实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案;(2)该处理活动必须具有特定的目的和充分的必要性并采取严格保护措施,同时取得个人单独同意或者依法取得书面同意(除非法律、行政法规另有规定);(3)除维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,或者取得个人单独同意外,任何组织或者个人不得利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息。
人脸识别技术的应用场景
哪些场景下禁止使用人脸识别技术,哪些场景下可以使用人脸识别技术但严格加以限制等问题,《意见稿》作出了明确规定。一方面,旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备;另一方面,以下场景可以使用人脸识别技术,但必须满足相应的要求:(1)在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,设置显著提示标识;同时,如果在公共场所通过人脸识别技术远距离、无感式辨识特定自然人的,应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出;(2)组织机构为实施内部管理,可以安装图像采集、个人身份识别设备,但应当根据实际需求合理确定图像信息采集区域,采取严格保护措施,履行个人信息安全保护义务;(3)宾馆、银行、车站、机场等经营场所只有在法律、行政法规规定应当使用人脸识别技术验证个人身份时,才能强制使用人脸识别技术来进行个人身份验证,否则,不得强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份;(4)物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人不同意通过人脸信息进行身份验证的,物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。
安全保护的具体规定
为保护个人权益、公共利益和国家安全,《意见稿》对于人脸识别技术应用的安全问题作出了具体的规定:(1)依据《个人信息保护法》的规定,《意见稿》就人脸识别技术使用者处理人脸信息之前应当进行的个人信息保护影响评估的内容、评估报告的保存等作出了具体的要求;(2)要求特定的人脸识别技术使用者——在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者——在30个工作日内向所属地市级以上网信部门备案;(3)人脸识别技术使用者必须对相关技术系统的安全性负责,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全;必须对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估。
《意见稿》仍有可进一步完善之处
总体而言,《意见稿》对人脸识别技术的应用作出了较为全面且科学的规范,值得肯定。不过,笔者认为,有以下几点可以进一步完善:
禁止安装图像采集、个人身份识别设备的场景规定得太狭窄。至少,从目前很多地方政府颁布的规章来看,除了宾馆房间、公共浴室、更衣室、卫生间外,还包括:集体宿舍、公寓房间内;哺乳室、化妆间、试衣间;金融、保险、证券机构内可能泄露客户个人信息的区域;选举箱、举报箱、投票点等附近可能观察到个人意愿表达或者行为的区域。因此,建议增加相应的禁止使用人脸识别技术的场景的规定。
组织机构安装设备要以合法实施内部管理为前提。《意见稿》第8条规定“组织机构为实施内部管理安装图像采集、个人身份识别设备”,该范围建议限制为“组织机构合法实施内部管理”,也就是说,组织机构要么是依据法律的规定如国家机关依据公务员法等法律而实施内部管理,要么是按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理而实施内部管理等,但都必须是合法实施的内部管理。
第10条规定有待斟酌调整。《意见稿》第10条规定:“在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人,应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出。人脸识别技术使用者应个人或者利害关系人请求使用人脸识别技术远距离、无感式辨识特定个人或者利害关系人的,应当将相关服务限定在最小必要的时间、地点或者人群范围内,不得关联与个人请求事项无直接必然相关的个人信息。”该条存在的问题是:一方面,《个人信息保护法》第26条仅提及在公共场所为了维护公共安全而安装图像采集和个人身份识别设备。《意见稿》本条将适用范围扩张为公共场所、经营场所是否合适?另一方面,本条第1款中“为紧急情况下保护自然人生命健康和财产安全所必需”才涉及到个人或者利害关系人,至于为维护国家安全、公共安全,并不存在由个人或者利害关系人主动提出的问题,前者使用人脸识别技术远距离、无感式辨识特定自然人可能是持续性的,而个人或者利害关系人主动提出的情形是一次性的,仅适用于特定的情形。在同一条中将两种情形规定在一起,似有不妥。
第12条规定有待完善。《意见稿》第12条规定,涉及社会救助、不动产处分等个人重大利益的,不得使用人脸识别技术替代人工审核个人身份,人脸识别技术可以作为验证个人身份的辅助手段。显然《意见稿》最终是由国家网信办、工业和信息化部、公安部、国家市场监督管理总局联合发布的规章,但是这四个部委发布的规章无权对其他行政机关的审核活动作出规定。比如,不动产处分时的身份验证是自然资源行政管理部门的职责,社会救助是民政部门的职责。而且,不得使用人脸识别技术替代人工审核个人身份,只能作为辅助手段,此种规定也有不妥。如果使用人脸识别技术并且按照《意见稿》第4条第2款使用的是国家人口基础信息库、国家网络身份认证公共服务等权威渠道,此种身份验证比人工审核更权威?此外,即便可以规定,那么涉及到个人重大利益的场景显然也不仅仅是列举的社会救助、不动产处分。
缺少针对违法行为的法律责任的细致规定。法律责任是法律的“牙齿”,如果没有相应的法律责任尤其是对行政机关通过行政执法而施加的行政处罚的规定,那么行为人违反规定使用人脸识别技术,广大个人也是束手无策。《意见稿》最大的问题就是在于没有针对违法行为作出具体的细致的法律责任的规定。而只是在第23条第1款非常笼统地规定,“人脸识别技术使用者或者相关产品、服务提供者违反本规定的,由网信、电信、公安、市场监管等有关部门在职责范围内依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规进行处罚。违反《治安管理处罚法》的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”尽管部门规章的立法权限有限制,但是依据《行政处罚法》第13条,部门规章是可以在法律、行政法规规定的给予行政处罚的行为、种类和幅度的范围内作出具体规定的。即便是尚未制定法律、行政法规的,国务院部门规章对违反行政管理秩序的行为,也可以设定警告、通报批评或者一定数额罚款的行政处罚(罚款的限额由国务院规定)。故此,建议能够对法律责任尤其是行政处罚作出细化规定,也就是说,要明确列举人脸识别技术使用者或者相关产品、服务提供者违反本规定的行为类型,并有针对性地明确哪一类违法行为由哪一个部门在职责范围内给予何种种类和数额的行政处罚。唯其如此,才能真正使人脸识别技术使用者或相关产品、服务的提供者遵守法律法规,遵守公共秩序,尊重社会公德,承担社会责任,履行个人信息保护义务,不利用人脸识别技术从事危害国家安全、损害公共利益、扰乱社会秩序、侵害个人和组织合法权益的活动。
(作者为清华大学法学院副院长、教授)