隨著人臉識別技術(shù)的快速發(fā)展和廣泛應(yīng)用，人臉識別技術(shù)在提升社會管理效率、增強安全保障等方面發(fā)揮了重要作用。然而，技術(shù)的濫用也帶來了隱私泄露、數(shù)據(jù)安全等風險。近日，國家互聯(lián)網(wǎng)信息辦公室與公安部聯(lián)合出臺了《人臉識別技術(shù)應(yīng)用安全管理辦法》(以下簡稱《辦法》)，對人臉識別技術(shù)應(yīng)用的范圍和要求做出具體規(guī)定，對于有效保護個人信息權(quán)益，提升國家數(shù)據(jù)安全治理監(jiān)管能力具有重要意義。

　　一、《辦法》突出問題導(dǎo)向，積極回應(yīng)了社會關(guān)切

　　《辦法》以維護廣大人民利益作為出發(fā)點和落腳點，對人臉識別技術(shù)使用中人民群眾反映強烈、社會關(guān)注度高的問題，給出明確具體的回應(yīng)，體現(xiàn)了鮮明的問題導(dǎo)向。

　　針對強制使用人臉識別技術(shù)問題，例如國內(nèi)某小區(qū)物業(yè)強制業(yè)主使用人臉識別技術(shù)作為唯一出入方式，某銀行App強制人臉驗證登錄，某健身房強制會員刷臉入場等，《辦法》確立非唯一驗證原則，第十條明確規(guī)定“實現(xiàn)相同目的或者達到同等業(yè)務(wù)要求，存在其他非人臉識別技術(shù)方式的，不得將人臉識別技術(shù)作為唯一驗證方式”。同時，為了減少人臉信息收集、存儲，第十一條明確規(guī)定“應(yīng)用人臉識別技術(shù)驗證個人身份、辨識特定個人的，鼓勵優(yōu)先使用國家人口基礎(chǔ)信息庫、國家網(wǎng)絡(luò)身份認證公共服務(wù)等渠道實施，減少人臉信息收集、存儲，保護人臉信息安全”。

　　針對社會反映強烈的部分弱勢群體的人臉信息權(quán)益受損的問題，例如國內(nèi)某在線教育平臺通過攝像頭采集學(xué)生課堂表情數(shù)據(jù)用于“學(xué)習效果分析”，某保姆利用人臉識別技術(shù)詐騙老人等，《辦法》第五條明確規(guī)定“處理殘疾人、老年人人臉信息的，還應(yīng)當符合國家有關(guān)無障礙環(huán)境建設(shè)的規(guī)定”，第七條明確要求“基于個人同意處理不滿十四周歲未成年人人臉信息的，應(yīng)當取得未成年人的父母或者其他監(jiān)護人的同意”。

　　針對社會廣泛關(guān)注的公共場所、私密空間濫用人臉識別技術(shù)的問題，例如國內(nèi)某酒店在客房內(nèi)安裝人臉識別門鎖，《辦法》第十三條明確規(guī)定“在公共場所安裝人臉識別設(shè)備，應(yīng)當為維護公共安全所必需，依法合理確定人臉信息采集區(qū)域，并設(shè)置顯著提示標識。任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛(wèi)生間等公共場所中的私密空間內(nèi)部安裝人臉識別設(shè)備”。

　　二、《辦法》堅持系統(tǒng)觀念，全面覆蓋了治理重點環(huán)節(jié)

　　《辦法》著眼人臉識別技術(shù)應(yīng)用的全流程管理，明確了告知、評估、備案、處罰等重點環(huán)節(jié)的具體要求，環(huán)環(huán)相扣，層層遞進，體現(xiàn)了立法的系統(tǒng)觀念。

　　在告知環(huán)節(jié)，《辦法》第五條明確規(guī)定應(yīng)用人臉識別技術(shù)處理人臉信息前，應(yīng)當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息處理者的名稱或者姓名、聯(lián)系方式，人臉信息的處理目的、處理方式以及保存期限、處理的必要性等等，要求應(yīng)用人臉識別技術(shù)的主體必須履行告知義務(wù)，保障公眾的知情權(quán)。同時第十三條明確規(guī)定，在公共場所安裝人臉識別設(shè)備時，應(yīng)當設(shè)置顯著提示標識。

　　在評估環(huán)節(jié)，《辦法》第九條明確規(guī)定，個人信息處理者應(yīng)用人臉識別技術(shù)處理人臉信息，應(yīng)當事前進行個人信息保護影響評估，并對處理情況進行記錄。個人信息保護影響評估主要包括處理人臉信息的處理目的、處理方式的合法性、正當性、必要性等，并要求評估報告和處理情況記錄至少保存3年。

　　在備案環(huán)節(jié)，《辦法》第十五條明確規(guī)定，“個人信息處理者應(yīng)當在應(yīng)用人臉識別技術(shù)處理的人臉信息存儲數(shù)量達到10萬人之日起30個工作日內(nèi)向所在地省級以上網(wǎng)信部門履行備案手續(xù)”。申請備案應(yīng)當提交個人信息處理者的基本情況、人臉信息處理目的和處理方式、存儲數(shù)量和安全保護措施、處理規(guī)則和操作規(guī)程、個人信息保護影響評估報告等材料。這不僅有助于監(jiān)管部門掌握實際應(yīng)用情況，也為后續(xù)監(jiān)督檢查提供了依據(jù)。

　　在處罰環(huán)節(jié)，《辦法》第十八條明確規(guī)定，“違反本辦法規(guī)定的，依照有關(guān)法律、行政法規(guī)的規(guī)定處理;構(gòu)成犯罪的，依法追究刑事責任”。

　　三、《辦法》注重落地見效，完整構(gòu)筑了監(jiān)管責任體系

　　《辦法》圍繞落地實施的可操作性和實效性，針對監(jiān)管部門、個人信息處理者、社會大眾等，建立了主體明確、要求清晰、相互協(xié)作的責任體系，體現(xiàn)了科學(xué)立法的精神。

　　首先，《辦法》明確了有關(guān)部門的監(jiān)管責任�！掇k法》第十六條規(guī)定“網(wǎng)信部門會同公安機關(guān)和其他履行個人信息保護職責的部門，建立健全信息共享和通報工作機制，協(xié)同開展相關(guān)工作”，第十七條規(guī)定“收到投訴、舉報的部門應(yīng)當依法及時處理，并將處理結(jié)果告知投訴人、舉報人”。通過多部門的協(xié)同配合，形成了強有力的監(jiān)管合力。

　　其次，《辦法》對個人信息處理者應(yīng)承擔的責任給出明確規(guī)定。前端設(shè)置告知同意規(guī)則，《辦法》第六條明確規(guī)定，“基于個人同意處理人臉信息的，應(yīng)當取得個人在充分知情的前提下自愿、明確作出的單獨同意”;中端規(guī)定存儲傳輸限制，《辦法》第八條明確規(guī)定，“除法律、行政法規(guī)另有規(guī)定或者取得個人單獨同意外，人臉信息應(yīng)當存儲于人臉識別設(shè)備內(nèi)，不得通過互聯(lián)網(wǎng)對外傳輸”;后端建立備案管理制度等。同時，要求個人信息處理者應(yīng)當配合監(jiān)管部門的監(jiān)督檢查。

　　此外，《辦法》還鼓勵社會大眾積極參與監(jiān)管�！掇k法》第十七條明確規(guī)定，“任何組織、個人有權(quán)對違法應(yīng)用人臉識別技術(shù)處理人臉信息的活動向履行個人信息保護職責的部門進行投訴、舉報”。通過公眾的廣泛參與，形成社會共治的良好氛圍。

　　《辦法》的出臺，標志著我國在人臉識別技術(shù)應(yīng)用管理方面邁出了重要一步，是我國個人信息保護歷程中的里程碑，必將為提高我國個人信息保護水平、提升我國數(shù)據(jù)安全治理監(jiān)管能力發(fā)揮重要作用。(作者：王志成　國家網(wǎng)信辦數(shù)據(jù)與技術(shù)保障中心副主任)