▲资料图。图/IC photo
8月8日,国家互联网信息办公室公布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见,拉开了我国人脸识别系统治理的帷幕。
(资料图)
随着我国数字化发展的快速深入,人脸识别技术的应用已然成为民众工作生活中的高频场景,这在显著提升高效便捷效用的同时,也伴生来源更为多样、程度更为深刻的安全风险。
整体而言,《征求意见稿》的规范安排旨在提升人脸识别技术的规范应用与合规水平,进而实现对个人信息权益及其他人身和财产权益的有效保护,维护社会秩序和公共安全,字里行间蕴含着三项核心关切。
首先是强调了人脸识别技术应用中法律治理和伦理治理的多重统一。比如要求使用人脸识别技术应当遵守法律法规,遵守公共秩序,尊重社会公德,承担社会责任,履行个人信息保护义务,不得利用人脸识别技术从事危害国家安全、损害公共利益、扰乱社会秩序、侵害个人和组织合法权益等法律法规禁止的活动等。类似要求,划出了人脸识别技术应用红线。
再就是《征求意见稿》注重实现与各项上位法规范的体系衔接和制度配套。特别注重在《个人信息保护法》有关人脸识别的专门规定的统摄引领下,细化针对具体场景的规则要求,并通过“法律、行政法规另有规定的从其规定”的例外设计,为治理规范的匹配迭代留下必要的延展空间。
此外,基于现实中人脸识别技术易遭滥用的情况,《征求意见稿》突出了这类技术在应用中的目的性和必要性要求。
《征求意见稿》审慎地明确只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。
而且,实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。
考虑到这些关切,《征求意见稿》在机制设计层面,也呈现出一些制度性特点。
比如注重建构人脸识别技术应用的流程化治理框架。可以看到,从设备的安装到图像的采集,从数据的处理、存储到数据的提供、删除,从人脸识别技术应用的准度、精度到置信度阈值,从人脸识别技术使用者到产品或者服务提供者的责任义务,《征求意见稿》力图实现场景全要素的流程化合规应用。
而在应用场景层面,针对重点场景注重应用专门治理规则。其涵盖旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场景,也包括在公共场所安装图像采集、个人身份识别设备的场景等等,及时回应了社会公众的焦点关切,也为具体合规操作提供了直接、明确的业务规则。
此外,还注重引入人脸识别技术应用治理的专项机制。特别是明文规定,人脸识别技术使用者处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
而在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。
这些都反映了监管机关前移治理关口、最大限度降低人脸识别技术应用安全风险水平的综合治理思路。
当然,《征求意见稿》现正处于征求意见阶段,难免还有不完善之处。立足当下技术、经济和社会生态现状,为实现人脸识别技术治理水平的进一步提升,可考虑在以下方面进一步研判和斟酌相关制度机制的细化设计。
一是可将实践场景应用中日渐多见的算法因素考虑在内。调研并针对重点场景中的人脸识别算法运用,引入或明确专门的合规要求,从而增强其直接的业务指引效果。
二是着眼实现敏捷治理的监管落地。进一步细化重点监管机制的运行方式和程序时限。例如,围绕相关备案机制,对与当下业务实践相匹配的操作规范与具体期限进行细化规定,进而提升监管工作的效率效能。
三是提高合规操作的明确性和确定性。针对特定的合规动作,划定清晰的实现基线。例如就人脸识别应用场景中的“匿名化处理”要求,进一步明确其实现途径和实现程度,助益各方准确理解和把握必须达到的合规水准。
撰稿/吴沈括(北京师范大学法学院博士生导师、中国互联网协会研究中心副主任)
编辑/迟道华
校对/刘越