人脸识别,就是指自动处理包含个人面部的数字图像,以便对个人进行识别、认证(验证)或者分类。人脸识别技术被广泛运用于很多场景,主要是安全应用、医疗保健、产品服务营销等三大领域,如机场、火车站、银行对乘客或用户的身份进行验证,公安机关从人流中识别出网上追逃的犯罪分子等。归纳起来,人脸识别的基本功能就是身份验证、个体识别与面部分析。
《个人信息保护法》
已对人脸识别技术应用作出规范
人的脸部信息属于自然人的生物识别信息,是敏感的个人信息。如果个人或者组织可以不受规范,随意使用人脸识别技术处理人脸信息或提供人脸识别技术产品或服务,势必会侵害自然人的人格尊严、人身自由及人身财产权益,也会危害国家安全,损害社会公共利益与扰乱社会秩序。
在我国起草《个人信息保护法》时,就如何严格规范人脸识别技术的应用的问题就有深入的讨论和广泛的关注。最终《个人信息保护法》从以下方面作出了规范。
首先,明确将包括人脸信息在内的生物识别信息作为敏感的个人信息,并就敏感个人信息的处理进行了非常严格的规范。其次,该法第26条要求,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必须,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,除非取得个人单独同意。再次,依据该法第62条第2项,国家网信部门要统筹有关部门,针对人脸识别技术制定专门的个人信息保护规则或标准。
网信办征求意见稿作出
全方位的、具体的规范
不久前,国家互联网信息办公室面向社会公开征求对于《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下称《意见稿》)的意见。该《意见稿》正是国家网信部门依据《个人信息保护法》的授权,与工业和信息化部、公安部、国家市场监督管理总局联合制定的针对人脸识别技术应用的专门的个人信息保护规则。《意见稿》共25条,从人脸识别技术应用的法定条件、具体场景、安全保护等三大方面,对利用人脸识别技术处理人脸信息以及提供人脸识别技术产品或者服务作出了全方位的、具体的规范。
处理人脸信息应当符合法律规定的条件
首先,人脸信息属于敏感的个人信息。故此,利用人脸识别技术处理人脸信息以及提供人脸识别技术或服务就是在处理敏感的个人信息,应当满足《个人信息保护法》等法律所规定的条件要求,《意见稿》对此作出了如下规定:(1)利用人脸识别技术处理人脸信息的活动必须遵守合法、正当、必要、目的限制等个人信息处理的基本原则,尤其是必要原则,即如果实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案;(2)该处理活动必须具有特定的目的和充分的必要性并采取严格保护措施,同时取得个人单独同意或者依法取得书面同意(除非法律、行政法规另有规定);(3)除维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,或者取得个人单独同意外,任何组织或者个人不得利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息。
人脸识别技术的应用场景
哪些场景下禁止使用人脸识别技术,哪些场景下可以使用人脸识别技术但严格加以限制等问题,《意见稿》作出了明确规定。一方面,旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备;另一方面,以下场景可以使用人脸识别技术,但必须满足相应的要求:(1)在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,设置显著提示标识;同时,如果在公共场所通过人脸识别技术远距离、无感式辨识特定自然人的,应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出;(2)组织机构为实施内部管理,可以安装图像采集、个人身份识别设备,但应当根据实际需求合理确定图像信息采集区域,采取严格保护措施,履行个人信息安全保护义务;(3)宾馆、银行、车站、机场等经营场所只有在法律、行政法规规定应当使用人脸识别技术验证个人身份时,才能强制使用人脸识别技术来进行个人身份验证,否则,不得强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份;(4)物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人不同意通过人脸信息进行身份验证的,物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。
安全保护的具体规定
为保护个人权益、公共利益和国家安全,《意见稿》对于人脸识别技术应用的安全问题作出了具体的规定:(1)依据《个人信息保护法》的规定,《意见稿》就人脸识别技术使用者处理人脸信息之前应当进行的个人信息保护影响评估的内容、评估报告的保存等作出了具体的要求;(2)要求特定的人脸识别技术使用者——在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸
