旅館客房等場所不得安裝圖像採集和個人身份識別設備

核心閱讀

只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，方可使用人臉識別技術處理人臉資訊。實現相同目的或者達到同等業務要求，存在其他非生物特徵識別技術方案的，應當優先選擇非生物特徵識別技術方案。

“刷臉”支付、“刷臉”存取物品、“刷臉”進入社區……如今，使用人臉識別技術的場景越來越多，影響人們生活方方面面，但在方便高效的背後，也存在著資訊洩露和個人身份被盜用等風險隱患。

為規範人臉識別技術應用，保護個人資訊權益及其他人身和財產權益，維護社會秩序和公共安全，國家互聯網資訊辦公室起草了《人臉識別技術應用安全管理規定（試行）（徵求意見稿）》（以下簡稱《徵求意見稿》），近日向社會公開徵求意見。

《徵求意見稿》指出，只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，方可使用人臉識別技術處理人臉資訊。實現相同目的或者達到同等業務要求，存在其他非生物特徵識別技術方案的，應當優先選擇非生物特徵識別技術方案。

濫用的危害性極大

某野生動物世界強制消費者“刷臉”入園、知名衛浴品牌被曝抓拍消費者人臉資訊、一些售樓處擅自安裝人臉識別設備……近年來，關於人臉識別的爭議和擔憂層出不窮。

浙江大學網路空間安全學院雙聘教授王春暉告訴記者，人臉識別給人們帶來便利的同時，濫用人臉識別技術的現象極為嚴重，已經導致高危害性與高隱蔽性並存的趨勢，這不但背離了借助新興技術推動經濟社會發展的初衷，還為本應便民利民的人臉識別技術的應用蒙上了陰影。

“人臉資訊具有唯一性和不可更改性，一旦洩露將對個人的人身和財產安全造成極大危害，甚至還可能威脅公共安全。”王春暉說，我國個人資訊保護法規定，敏感個人資訊是一旦洩露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人資訊，包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等資訊，以及不滿十四周歲未成年人的個人資訊。

“部分經營者在進行刷臉驗證之前，既沒有對人臉識別應用系統的安全性進行事前評估，也沒有向公民明確告知人臉識別資訊收集目的、範圍與處理方式，侵害了公民的知情權。”北京航空航太大學法學院副教授、北京科技創新中心研究基地副主任趙精武說。

中央財經大學數字經濟與法治研究中心執行主任劉權教授說，人臉識別技術可能侵犯隱私。人臉資訊可能被不當收集，甚至用來非法交易，只要擁有人臉資訊，個人行蹤軌跡和行為內容就可能一直被監控。而如果人臉識別被用於深度偽造，可能侵犯肖像權、名譽權、知識產權等權利，還可能被用於詐騙等犯罪活動。

“違法使用人臉識別技術對社會的危害性極大，特別是依託被抓取的人臉資訊和AI換臉技術實施電信詐騙，這比傳統電信詐騙成本更低、角色更多、概率更高和防範更難，對社會造成的危害也更大。”王春暉說。

“人臉識別技術可能導致歧視，造成新的不平等。”劉權說，通過人臉識別出不同的種族、性別、身份等資訊，個人可能受到不公平對待，演算法歧視問題可能更嚴重。

此外，如果一國的大規模人臉資訊不當出境，沒有遵守個人資訊出境安全評估的要求，還可能影響到國家安全。

明確禁止使用場景

此次公佈的《徵求意見稿》亮點頗多。

“總體上看，《徵求意見稿》明確了一項義務性規定和一項禁止性規定。首先，使用人臉識別技術應當遵守法律法規，遵守公共秩序，尊重社會公德，承擔社會責任，履行個人資訊保護義務；其次，不得利用人臉識別技術從事危害國家安全、損害公共利益、擾亂社會秩序、侵害個人和組織合法權益等法律法規禁止的活動。”王春暉告訴記者。

王春暉認為，依據《徵求意見稿》，在以下三種情形下方可使用人臉識別：一是具有特定的目的和充分的必要性；二是採取嚴格保護措施；三是取得個人的單獨同意。在這三種條件同時具備的情形下，方可使用人臉識別技術處理人臉資訊。“特定目的+充分必要+單獨同意+保護措施”，這是任何單位和個人採集和使用人臉識別技術的基本準則。

劉權指出，《徵求意見稿》對一些具體場景中的人臉識別技術應用劃了“紅線”，明確禁止使用，有利於更好地保護個人隱私。例如，第六條規定旅館客房、公共浴室、更衣室、衛生間及其他可能侵害他人隱私的場所不得安裝圖像採集、個人身份識別設備。

王春暉介紹說，《徵求意見稿》列舉了九類經營場所，即賓館、銀行、車站、機場、體育場館、展覽館、博物館、美術館、圖書館等經營場所，明確它們除法律、行政法規規定應當使用人臉識別技術驗證個人身份的，不得以辦理業務、提升服務品質等為由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。

“《徵求意見稿》回應民生，專設一條規定物業刷臉問題。物業服務企業等建築物管理人不得將人臉識別技術作為出入物業管理區域的唯一方式，應當提供其他合理便捷的身份驗證方式。”趙精武說。

劉權補充說，《徵求意見稿》明確不得將“刷臉”作為進社區的唯一方式，有助於消除物業服務企業濫用人臉識別技術的亂象。

趙精武認為，《徵求意見稿》落實個人資訊保護法規定的個人資訊保護影響評估制度，明確技術使用者在處理人臉識別資訊之前應當對處理個人資訊是否具有特定目的和充分必要性等重要事項進行評估，有助於在事前階段降低風險。

“《徵求意見稿》明確規定使用人臉識別技術應當事前進行個人資訊保護影響評估，並詳細規定了評估內容，有利於防止評估的形式化。”劉權認為。

建議細化相關規定

談及如何進一步規範人臉識別技術應用，劉權認為，“《徵求意見稿》的相關條款需要進一步具體化。”

劉權舉例說，如關於人臉識別技術應用的條件，《徵求意見稿》第四條規定中“只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，方可使用人臉識別技術處理人臉資訊”，對“特定的目的”“充分的必要性”等作出更具體的規定，可能更有助於該條款的適用。

在法律責任方面，《徵求意見稿》第二十三條規定，“人臉識別技術使用者或者相關產品、服務提供者違反本規定的，由網信、電信、公安、市場監管等有關部門在職責範圍內依照《中華人民共和國網路安全法》《中華人民共和國數據安全法》《中華人民共和國個人資訊保護法》等法律法規進行處罰。違反《治安管理處罰法》的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。違反本規定，給他人造成損害的，依法承擔民事責任。”

“法律責任的設置過於簡單，第二十三條只作了非常寬泛的規定，不利於人臉資訊保護執法，建議細化責任設置。”劉權說。

對於如何進一步規範人臉識別技術應用，王春暉建議，從以下三個方面治理人臉識別技術的濫用：一是人臉識別技術的應用與發展應當體現對人權的保護；二是應高度重視和優先考慮人臉識別技術對法律、社會倫理和侵犯個人隱私的衝擊；三是要通過更高階位的立法和強制性標準的制定和實施，削弱人臉識別技術對人類社會的風險和負面影響。

趙精武認為，在日常生活中，進出健身房、社區以及部分商場仍然存在未經告知的人臉識別圖像採集設備，理應在立法層面進一步明確相關場所經營者不得隱瞞人臉圖像採集事實的相關義務，禁止相關場所經營者以拒絕服務、誘導接受等方式強制或變相強制自然人接受人臉識別技術服務。（劉欣）