（理论学术编辑部微信平台）

扫描左侧二维码关注

王立梅

□8月8日，国家网信办发布《人脸识别技术应用安全管理规定(试行) (征求意见稿)》，延续及承接了我国有关人脸识别的法律规范，属于我国推进人脸识别技术应用治理规划内的关键动作之一。

□《规定》主要亮点包括：以“特定目的+充分必要性+严格保护措施”为前提，并提出两项默认设计；以更明确可执行的方式对授权许可规则进行细化；对人脸信息的存储作出更加严格周详的禁止性规定；对具有规模性、公共性人脸识别应用作出特别要求。

□《规定》对强制、误导、欺诈、胁迫“刷脸”的行为作出了原则性禁止规定，提示了这种“升级”蕴含的风险。还对物业只以“刷脸”作为出入门禁的情形也作出了禁止。

人脸识别技术应用，因其非接触式识别的便利性，实现了“手的解放”，已经作为一种常见的功能模块逐渐嵌入到了日常生活的多方面，“刷脸”逐渐开始取代钥匙、卡片、密码等。然而，这项身份识别机制，是以采集个人的生物信息作为功能实现的前提，对其应用合法性、安全性等追问从未停息。

近年来，人脸识别应用权限、存储安全、使用场景等问题，持续引发社会热议。“人脸识别纠纷第一案”——杭州野生动物园人脸识别案，作为进程中的一大高潮，亮明了我国司法领域对保护个人生物识别信息的立场。当前，以更规范更精细更有力的规定对人脸识别技术应用的安全管理作出要求，已经是全社会的迫切期待和数字时代维护公民权利的应有之义。

在此背景下，国家网信办起草《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（简称：《规定》），就规范人脸识别技术应用、保护个人信息权益及其他人身和财产权益、维护社会秩序和公共安全作出了规定，这标志着我国在利用人脸识别技术处理人脸信息方面，进入到了精细化治理的新阶段。

延续现有人脸识别法律规范

从现行法来看，我国有关人脸识别的法律规范散见于法律、法规、部门规章和司法解释之中。例如，《民法典》规定了公民肖像权、隐私权的保护，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》为审理使用人脸识别技术侵权的民事案件提供了司法依据，《个人信息保护法》较为全面地规定了个人信息保护规范，该法第二十八条明确“生物识别”信息属于“敏感个人信息”，第六十二条规定“针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准”，明确了人脸识别等技术需要制定专门保护规则。

《规定》延续及承接了上述规范，属于我国推进人脸识别技术应用治理规划内的关键动作之一，需要以更系统的视角理解把握。围绕人脸识别重点安全问题的国家标准《信息安全技术  人脸识别数据安全要求》（简称：《标准》）已于今年5月正式实施，针对人脸数据滥采、泄露或丢失、过度存储和使用等突出问题，提出了具体的安全要求。《标准》总共包含十一章内容，能够基本覆盖《规定》所要求事项，比如《规定》第七条、第八条中，提出对人脸、身份信息等采取严格保护措施，防止信息泄露的相关要求，《标准》第七章、第八章、第九章、第十一章都有相关技术标准条款，能够对《规定》细化落地起到较为明确的指引作用。

规范人脸识别避免技术滥用

制定《规定》的取向是在法治轨道上规范人脸识别行为，避免新一代信息技术的任意应用，造成人脸信息滥用对公民权利、数据安全及社会公共利益的侵犯。

规范应用并非禁用，而是要满足一些法定条件，《规定》主要亮点包括：

一是以“特定目的+充分必要性+严格保护措施”为前提，并提出两项默认设计。目前，部分应用存在强制或诱导用户，优先或必须使用人脸识别完成身份验证的行为，面对这道“拦路虎”，《规定》第四条对采用“刷脸”作为身份识别机制的方案作出了前提性限制，并提出了两项颇具亮点的设计。第一，对存在其他非生物特征识别技术方案的，“应当优先选择非生物特征识别技术方案”，默认刷脸后置；第二，“鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道”，默认非权威渠道后置。

二是以更明确可执行的方式对授权许可规则进行细化。人脸信息的采集具有非接触性、远程性、虚拟性等特征，客观上为未经个人同意无感采集人脸信息的行为提供了“便利”。如无细致的可操作性规范规定，容易异化为“注视即授权”的强制模式。首先，《规定》顺延了《个人信息保护法》对取得个人单独同意或书面同意的方式要求。而且更进一步，对个人自愿选择使用人脸识别技术验证个人身份的，除了要满足“充分知情”及“主动参与”条件外，还要在验证过程中“以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的”，但这种提示的有效性以及公众实际使用过程中的拒绝可能性，仍需要在落地执行中观察评估，以便形成行业范例。

三是对人脸信息的存储作出更加严格周详的禁止性规定。对人脸信息开展全生命周期的安全治理，要尽可能降低人脸信息存储的任意性，以免任由人脸信息数据库风险越积聚越大，演变为“火药库”。需要特别明确的是，人脸识别技术的使用，与存储人脸原始图像、图片、视频并不是同一回事。对此，《规定》对这三类信息的存储作出了禁止性规定。另外，考虑到人脸采集过程中往往存在场景开放性和对象复杂性等情况，在采集特定人面部信息的过程中，存在“误伤”风险，即采集了与提供服务无关的人脸信息。对此，《规定》要求人脸识别技术使用者应当原则性避免，确实无法避免的，应当“及时删除或者进行匿名化处理”。当然，随着人脸识别技术及图像处理能力等的升级，如何认定“拍到”与“采集”之间的区别，仍存在解释空间。

四是对具有规模性、公共性人脸识别应用作出特别要求。目前，“刷脸”的便捷性及验证有效性无疑取得了显著进展，成为开展大规模管理或服务的重要机制依托。比如，大型文体活动的入场核验等环节，“刷脸”规模动辄以万人计，且一旦结合巡回连场等形式，涉及人脸信息体量更是庞大。《规定》对在公共场所使用人脸识别技术，或者存储超过1万人人脸信息的人脸识别技术使用者，进行了备案方面的具体要求。另外，《规定》还对面向社会公众提供人脸识别技术服务的特殊主体，就技术系统的网络安全等级保护级别作出要求，并要采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施。

树立培养数字时代“权利观”

虽然我国正在加紧织密人脸识别技术应用的规范网，但并不意味着这个过程中没有“漏网之鱼”。因此，我们应当更鲜明地树立培养数字时代的“权利观”，主动维护个人正当权利，准确识别日常生活中可能发生的“微侵权”场景。

一是重新审视惯常情景下的“刷脸”便利，作好平衡。此前，“管理要求”“提升服务质量”等万金油理由屡见不鲜，常常在要求用户接受人脸识别技术验证个人身份时弹出，我们甚至可能已经习惯性地认为，在一些经营场所中，引入人脸识别机制是一种“服务升级”。《规定》对通过上述理由强制、误导、欺诈、胁迫“刷脸”的行为作出了原则性禁止规定，提示了这种“升级”蕴含的风险。再如，《规定》对物业只以“刷脸”作为出入门禁的情形也作出了禁止。这些规定紧密结合场景，呈现出鲜明的针对性，对这些看似寻常、实有争议且经《规定》明确不得默认强制“刷脸”的场景，要引起注意。

二是教育引导未成年人形成“爱惜脸面”的权利观念。结合我国数据立法宗旨，我们不应当默认以权利让渡的方式获取“刷脸”应用的便利性，尤其是对权利观念尚不成熟的未成年人而言，教育引导其树立符合数字时代的信息权利观正当其时。《规定》明确了对不满十四周岁未成年人，处理其人脸信息应当取得未成年人的父母或者其他监护人的单独同意或者书面同意。但是，未成年人对人脸信息具有较大的支配自主性，比如一些大型演唱会进行“人、脸、证”三合一验证的“强实名制”，在该机制下，保护未成年人的人脸信息权益又该如何有效实现？应当说，落实人脸信息“最小必要”原则仍任重道远，需要全社会协同。

当然，有如《规定》所明确的，有关部门应依据职责，加强对人脸识别技术使用的监督检查，指导督促人脸识别技术使用者履行备案手续，及时发现安全隐患并督促限期整改。

总体来看，《规定》征求意见稿的发布及后续正式出台，使我国细化人脸识别技术应用治理更加有法可依，是引导相关产业安全健康长远发展、彰显“以人为本”数字文明观的重要举措，在保障我国公民个人信息权益及社会公共利益的法治进程上迈出了重要一步。人脸识别技术使用者、产品或服务提供者应当严格落实《规定》要求，把握我国对人脸识别技术应用治理方向，结合《标准》等网络安全国家标准做好业务板块升级、技术能力改进和安全水平提升，共同促进人脸识别技术的有效利用，有力推进网络强国数字中国建设。

（作者系中国政法大学数据法治研究院教授、博导、电子证据研究中心主任，中国法学会网络与信息法学研究会副会长）

SourcePh" style="display:none">