趙精武

國家網(wǎng)信辦、公安部前不久聯(lián)合公布了《人臉識別技術(shù)應用安全管理辦法》（以下簡稱《管理辦法》），進一步完善了人臉識別技術(shù)應用安全管理規(guī)則，規(guī)范了技術(shù)應用方式和應用場景，旨在為維護公民個人信息權(quán)益提供有力保障。

當下，人臉識別技術(shù)應用于生產(chǎn)生活諸多領域，刷臉支付、刷臉進出等應用場景隨處可見。這類技術(shù)應用因其便捷性和準確性顯著提升了工作效率和服務質(zhì)量，同時也暴露出一些問題：部分服務提供者出于不同目的強制要求用戶“自愿接受”刷臉服務，卻不告知用戶收集信息的去向。尤其在個別企業(yè)私自采集人臉信息事件發(fā)生后，公眾對于這項技術(shù)應用的安全性和可靠性產(chǎn)生了質(zhì)疑與擔憂。

《管理辦法》的出臺，標志著我國人臉識別技術(shù)治理步入新階段?！豆芾磙k法》與個人信息保護法、《公共安全視頻圖像信息系統(tǒng)管理條例》、《最高人民法院關于審理使用人臉識別技術(shù)處理個人信息相關民事案件適用法律若干問題的規(guī)定》，共同構(gòu)筑起預防人臉識別技術(shù)濫用的“權(quán)益保護網(wǎng)”。在《管理辦法》施行后，公眾可以理直氣壯地拒絕任何不合理的刷臉要求，并可要求這些服務提供者說明人臉信息處理活動的相關情況。例如，小區(qū)物業(yè)向業(yè)主收集人臉信息時，不僅要主動明確告知人臉信息處理目的、方式和范圍，特別是實際處理主體，還應在業(yè)主拒絕提供人臉信息時，提供其他具有相同身份核驗效果的方式。

之所以在這個時間點出臺《管理辦法》，是因為人臉識別技術(shù)應用的治理實踐已較為充分，且《公共安全視頻圖像信息系統(tǒng)管理條例》于今年2月發(fā)布，明確了基于公共安全目的收集處理人臉等信息的合法性邊界。針對公眾不勝其煩的刷臉服務強制綁定、超范圍收集人臉信息等行業(yè)亂象，《管理辦法》予以明確禁止或者限制，再次強調(diào)人臉信息處理活動應當遵循最小必要原則。特別是在處理殘疾人、老年人等特殊群體的人臉信息時，還需符合國家有關無障礙環(huán)境建設相關規(guī)定。此外，《管理辦法》明確禁止任何組織和個人以辦理業(yè)務、提升服務質(zhì)量等為由，誤導、欺詐、脅迫個人接受人臉識別技術(shù)驗證身份。

對公眾而言，《管理辦法》的亮點主要體現(xiàn)在以下三個方面：

第一，細化了個人信息處理者告知義務的履行標準?！豆芾磙k法》規(guī)定，在采集人臉信息時，需以顯著方式、清晰易懂的語言，真實、準確、完整地向個人告知處理者名稱、處理目的、處理方式等事項。這是因為技術(shù)濫用多表現(xiàn)為在個人不知情的情況下過度收集信息。《管理辦法》再次強調(diào)告知義務，就是為了避免部分經(jīng)營者在未告知的情況下直接收集人臉信息。

第二，細化了公共場所安裝人臉識別設備的安全監(jiān)管要求。《管理辦法》禁止在賓館客房、公共浴室等公共場所中的私密空間內(nèi)部安裝人臉識別設備。當然，在公共場所公共區(qū)域基于公共安全等目的安裝不在此列。同時，安裝人臉識別設備需依法合理確定信息采集區(qū)域，并設置顯著提示標識。

第三，細化了人臉信息存儲備案手續(xù)的實施細則。伴隨著人臉識別技術(shù)的廣泛應用，部分個人信息處理者所持人臉信息呈指數(shù)式增長。為防范信息泄露引發(fā)重大安全風險，《管理辦法》要求人臉信息存儲數(shù)量達到10萬人的個人信息處理者，向所在地省級以上網(wǎng)信部門備案。備案內(nèi)容包括處理者的基本情況、處理目的和方式、存儲數(shù)量和安全保護措施、處理規(guī)則、影響評估報告等，旨在明確重點監(jiān)管對象，避免發(fā)生不可挽回的個人信息安全事件。

總體來看，《管理辦法》并未實質(zhì)性增加個人信息處理者的法定義務和業(yè)務合規(guī)成本，而是在現(xiàn)有個人信息保護立法體系下，進一步明確了人臉信息保護要求和技術(shù)應用監(jiān)管標準，確保人臉識別技術(shù)合法合理地應用。相信《管理辦法》的實施將有效遏制強制或變相強制收集人臉信息亂象，保障公民個人信息安全，使“刷臉”不再成為使用信息服務的“不合理負擔”。

（作者系北京航空航天大學法學院副教授、北京航空航天大學網(wǎng)絡空間國際治理研究基地副主任）