近年來,人臉識別技術被應用於多個領域,比如刷臉支付、刷臉進小區、刷臉上下班打卡等,可以說遍布我們的衣食住行。然而便捷的背後,也隱藏着不容忽視的隱憂。比如很多人擔心,萬一臉被「盜用」了,可能導致個人信息泄露,被不法分子利用實施詐騙等。
為了規範人臉識別技術的使用,保護我們的個人信息安全,3月21日,國家互聯網信息辦公室和公安部聯合發佈《人臉識別技術應用安全管理辦法》,《辦法》將於今年6月1日開始正式實施。人臉識別技術應用,如何「立規矩」?我們可以向「強制刷臉」說「不」嗎?在公共場所安裝人臉識別設備有什麼要求?
遭遇「強制刷臉」怎麼辦?
我們先來看幾個關注度很高的刷臉場景,比如「刷臉」住宿、「刷臉」進小區,你是不是也遇到過這類「強制刷臉」問題?針對這類問題,《辦法》中是如何規定的呢?
《人臉識別技術應用安全管理辦法》在技術應用安全規範方面明確了不能把人臉識別作為唯一方式,具體規定為:實現相同目的或者達到同等業務要求,存在其他非人臉識別技術方式的,不得將人臉識別技術作為唯一驗證方式。國家另有規定的,從其規定。
中國社會科學院大學互聯網法治研究中心主任 劉曉春:比較典型的是線上,有時候我們在線上辦一些手續,金融相關的或者一些強身份驗證的,這個時候除了刷人臉,要提供其他的可行的替代的便捷方式。比如說要有一個線下的渠道,或者說是可替代的線上的其他方式。
不得以辦理業務提升服務為由
強迫或誤導刷臉
其次《辦法》還規定,應用人臉識別技術驗證個人身份、辨識特定個人的,鼓勵優先使用國家人口基礎信息庫、國家網絡身份認證公共服務等渠道實施。 同時還規定了任何組織和個人不得以辦理業務、提升服務質量等為由,誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。
中國信息通信研究院互聯網法律研究中心主任 何波:在實踐中,有一些主體或者企業,傾向於採取刷臉的方式引誘或者脅迫個人同意通過人臉識別驗證的方式,但是在一定程度上侵害了我們個人的權利。我覺得這一條的意義,一方面給我們處於弱勢一方的個人提供了明確的法律依據,另一方面在一定程度上對於我們的個人信息處理者,他的行為規範做了嚴格的要求。
公共場所安裝人臉識別設備有何要求?
去年,上海一家游泳館的更衣室,採用了人臉識別的方式開啟更衣櫃,當攝像頭開啟時,更衣室內的情況一覽無餘。經當地有關部門核實查驗後,涉事游泳館被處罰。在健身房、游泳館、商場超市、旅遊景區等公共場所安裝人臉識別設備,《人臉識別技術應用安全管理辦法》有何具體要求?
《人臉識別技術應用安全管理辦法》還規定了在公共場所安裝人臉識別設備,應當為維護公共安全所必需,依法合理確定人臉信息採集區域,並設置顯著提示標識。任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛生間等公共場所中的私密空間內部安裝人臉識別設備。
中國社會科學院大學互聯網法治研究中心主任 劉曉春:人臉識別設備是要嚴格限定在維護公共安全所必需,首先需要把這個範圍劃得比較合理,不能過分擴張,超出必要性。 另外,也需要在人臉識別的設備上有一個顯著的標識,「此處有攝像頭」。同時如果是在公共場所的一些私密的空間,比如說客房、公共浴室、更衣室、衛生間這些場所,它雖然也是公共場所,但它屬於私密空間,是嚴格禁止去安裝人臉識別設備的。
處理人臉信息 應遵守哪些「規矩」?
人臉信息是敏感個人信息,一旦泄露,容易對個人的人身和財產安全造成重大危害,甚至威脅公共安全。對應用人臉識別技術處理人臉信息活動,《辦法》中提出了哪些具體要求?
《人臉識別技術應用安全管理辦法》中規定了應用人臉識別技術處理人臉信息的不同具體規範。人臉識別技術應用應當具有特定的目的和充分的必要性,採取對個人權益影響最小的方式,並實施嚴格保護措施。
中國信息通信研究院互聯網法律研究中心主任 何波:要利用人臉識別技術處理個人信息,需要具有充分的必要性。比如說在公共場所,為了公共的安全所必需;比如說在小區管理裏面,為了小區的安全這樣一個特定的目的;再比如說在金融支付裏面,為了防止網絡電信詐騙。出於這樣的考量,所以使用了人臉識別的技術。
專家表示,新規明確了應用人臉識別技術處理人臉信息的,應該有充分必要性,並且應當遵守法律法規,尊重社會公德和倫理,遵守商業道德和職業道德等。
《辦法》還規定:使用人臉識別信息應當履行告知義務,處理殘疾人、老年人人臉信息的,還應當符合國家有關無障礙環境建設的規定。基於個人同意處理人臉信息的,應當取得個人在充分知情的前提下自願、明確作出的單獨同意。基於個人同意處理不滿十四周歲未成年人人臉信息的,應當取得未成年人的父母或者其他監護人的同意。
人臉信息的存儲與傳輸有何規定?
此外,《辦法》還規定,除法律、行政法規另有規定或者取得個人單獨同意外,人臉信息應當存儲於人臉識別設備內,不得通過互聯網對外傳輸。
中國信息通信研究院互聯網法律研究中心主任 何波:這個規定目的其實很明確,大家都知道人臉信息本身的特殊性,一旦通過互聯網去傳播或者提供的話,後面的風險就很大。要求在設備內存儲,其實是通過物理存儲的方式來避免信息向第三方提供。比如說,銀行基於業務的需求,採集了我們的人臉信息,業務辦理完成了,沒有存儲必要性了,按照要求銀行應該刪除我們的人臉信息。
個人信息處理者如何履行備案手續?
當大量的人臉信息被採集、存儲,這些敏感的個人信息關係到公共利益甚至是國家安全。對此,《辦法》中有一個制度上的創新,就是設立了備案制度。為何要建立備案制度?個人信息處理者又該如何履行備案手續呢?
《人臉識別技術應用安全管理辦法》從信息數量、備案時間、備案部門、備案材料、備案變更和註銷五個方面對個人信息處理者應用人臉識別技術處理人臉信息備案提出了具體要求。《辦法》規定,個人信息處理者應當在應用人臉識別技術處理的人臉信息存儲數量達到10萬人之日起30個工作日內向所在地省級以上網信部門履行備案手續。
中國信息通信研究院互聯網法律研究中心主任 何波:這是一個非常重要的制度創新,因為10萬人的敏感個人信息,是一個數量比較大的體量,所以在分級分類的思路基礎上,將10萬人以上的敏感個人信息作為一個特類特殊的信息,規定了備案的要求。通過這樣的備案手段,能夠及時掌握這些信息的處理情況,在保護我們個人信息的同時,也能有效地去維護相關的公共安全或者是國家利益。