界面新聞記者 | 呂雅萱

界面新聞編輯 | 翟瑞民

人臉識別技術在現實生活中應用正越來越廣泛。如何確保其合理規范發展，已成為個人信息保護領域的一個焦點問題。

日前，國家互聯網信息辦公室起草了《人臉識別技術應用安全管理規定（試行）（征求意見稿）》（下稱《征求意見稿》），并面向社會公開征求意見，意見反饋截止時間為2023年9月7日。

專家指出，《征求意見稿》回應了人臉識別技術濫用等問題，對人臉識別技術的使用條件、使用禁則、備案要求、數據保護作了規定，為保護個人信息權益及財產權益、維護社會秩序和公共安全指明了方向。

人臉識別，是基于人的臉部特征信息進行身份識別的一種生物識別技術。

近些年，人臉識別技術應用引發的爭議不斷。前有杭州野生動物園因強制游客“刷臉”入園被告上法庭，被媒體稱作“人臉識別第一案”，后有清華大學法學院教授勞東燕拒絕小區使用人臉識別作為門禁方式引發網絡熱議，公民個人敏感信息保護問題伴隨著人臉識別技術應用日益浮現。

人臉識別技術之所以被廣泛應用，中國人民大學法學院教授、民商事法律科學研究中心執行主任石佳友對界面新聞表示，一方面離不開這項技術相比于傳統驗證方式迅捷、準確、降低人力成本的特點，另一方面，也跟技術開發者主動大力推介有關，“過去很多年，技術開發者會主動跟不同單位形成數據收集合作關系，不計成本地推行人臉設備，用來收集大量數據、訓練模型并提高技術精度。”

2021年11月1日，我國個人信息保護法正式施行，為公民個人信息保護提供法律保障。目前，我國采用分散立法模式對公民個人信息進行保護，民法典、個人信息保護法、網絡安全法等法律均對此領域有所涉及。針對人臉識別技術，2021年，最高人民法院曾發布關于審理使用人臉識別技術處理個人信息的司法解釋，為人臉識別技術相關的民事案件提供參考。

“人臉識別技術為企業和社會管理帶來便利的情況下，也正在帶來個人信息泄露、財產損失甚至人身安全威脅等風險，因此有必要采取法律規制，在個人權益保護和公共利益之間尋求平衡。”石佳友告訴界面新聞。

《征求意見稿》的亮點之一是從網絡信息安全使用的角度對“人臉識別技術使用者”進行規制。此外，《征求意見稿》還區分了“公共場所”和‘組織機構實施內部管理’兩種技術應用場景，對其安裝圖像采集、個人身份識別設備的行為提出了不同要求。

人臉識別技術中隱藏在暗處的攝像頭是公眾的心頭隱患，《征求意見稿》第6條明確指明，旅館客房、公共浴室、更衣室、衛生間及其他可能侵害他人隱私的場所不得安裝圖像采集、個人身份識別設備。

《征求意見稿》第9條規定，賓館、銀行、車站、機場、體育場館、展覽館、博物館、美術館、圖書館等經營場所，除法律、行政法規規定應當使用人臉識別技術驗證個人身份的，不得以辦理業務、提升服務質量等為由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。

石佳友表示，該條規定指明，經營性場所為了驗證身份信息而使用人臉識別技術的，也應當提供除了人臉識別之外能夠核實身份信息的方式來供用戶自主選擇。此外，此處限定的是經營性的公共場所，對于國家機關單位的辦事大廳等非經營性場所來說，并不受本條款限制。

《征求意見稿》第16條還規定，在公共場所使用人臉識別技術，或者存儲超過1萬人人臉信息的人臉識別技術使用者，應當在30個工作日內向所屬地市級以上網信部門備案。石佳友認為，該規定對人臉識別技術使用者增加了“備案”的要求，加強了對人臉識別技術使用者的監管，且規定了什么樣的場景下必須要備案，有利于形成統一、規范、透明的備案制度。而備案制度讓人臉識別技術使用門檻提高，小區物業、手機應用、打卡公司等企業或將降低人臉采集技術的應用頻率。

人臉識別技術抓取人臉信息之后，如何處理這一類個人敏感信息是公眾擔心的問題。對此，《征求意見稿》第17條指出，除法定條件或者取得個人單獨同意外，人臉識別技術使用者不得保存人臉原始圖像、圖片、視頻，經過匿名化處理的人臉信息除外。

石佳友認為，此條規定嘗試從源頭杜絕人臉數據被泄露和不法使用的問題，“人臉信息收集的目的就是識別，按原則來說，達到識別目的后，原始人臉信息就應該被刪除，沒有保存一說，技術使用者如果在應用中能落實這一條，后續個人信息泄露所引發的問題將大大減少。”他說。

遠距離、無感知識別指的是在被識別者不知情的情況下對其進行人臉辨別。近些年，有房地產銷售商為判定客源，在消費者進入售樓中心后使用該技術抓拍消費者的人臉照片并記錄其行動軌跡，以分析其購買意愿、心理特征等，引發社會爭議。

對此，《征求意見稿》指出， “遠距離、無感式辨識特定自然人”的使用前提應當是“為維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產安全所必需”。石佳友表示，這類使用目的對應到實際場景中通常是尋找失蹤人員、犯罪嫌疑人、犯罪受害人等，使用者也多是公安機關等國家單位。實際上，這也是國際上公認的人臉識別技術所允許應用的場景。

《征求意見稿》還指明，使用未成年人人臉信息需要其監護人同意。石佳友指出，未成年人的風險認知能力較弱，“在網絡游戲等一些場景中，或出于小恩小惠就把人臉信息提供出去，而人臉信息不可更改，一旦泄露并被濫用，或將對其一生產生重大影響。因此，采集未成年人人臉識別技術需要警惕。”

此外，《征求意見稿》中部分條款是對個人信息保護法的重申或細化落實。比如第4、5條規定，使用人臉識別技術需要具有“特定目的”和“充分必要性”，且應當“取得個人同意”，分別是對個人信息保護法第28條和第13條的細化落實。

石佳友認為，上述兩條法規在人臉識別技術的實際應用中并未得到嚴格執行。“生活里很多本可以使用刷卡等驗證方式的場景，諸如進出校園、小區等，卻升級為人臉識別驗證。且人臉識別服務存在‘使用即同意'的現象，或者將人臉識別設置為唯一的識別方式，導致個體因需要選擇服務而不得不同意，這并不符合法律規范”，他說，“《征求意見稿》中重申這兩條法規，希望技術使用者能落地執行，人臉識別技術不可以被隨處使用，也不能不經個人同意就施加使用。”

值得注意的是，《征求意見稿》中首次提出“人臉識別技術使用者”這一主體，而個人信息保護法中使用的是“個人信息處理者”表述。石佳友表示，目前，法律對這兩個主體概念范圍的辨析尚不明確，建議《征求意見稿》可進一步對“人臉識別技術使用者”這一關鍵詞進行解釋界定，明確主體含義后，才能精準地界定適用對象和范圍。

石佳友認為，法律應對人臉識別技術使用者違法行為的具體認定標準和處罰措施進一步細化。目前，《征求意見稿》中對人臉識別技術使用者的監督機制較弱，對于違法行為的認定和處罰措施參照的是個人信息保護法、網絡安全法、數據安全法等上位法。他建議，可以在《征求意見稿》中細化法律責任，“何種情況下約談？何種情況下罰款，罰多少？都可以細化，法律責任部分充實了，才能對違法者起到震懾作用。”

此外他建議，《征求意見稿》中尚且缺乏對公民在人臉識別場景下個人信息權益具體的保護措施，當公民個人敏感信息被泄露或不法使用時，需要為個體指明救濟途徑和渠道，以及當發生嚴重的人臉信息泄露問題，需要具備應對問題的應急預案。