首页
近年来,随着信息技术飞速发展,人脸识别已逐步渗透到民众生活的方方面面。部分商家未经许可采集消费者人脸信息,物业强制将“刷脸”作为出入小区唯一验证方式,甚至有人倒卖人脸信息,导致隐私泄露、诈骗等问题频发。日前,国家网信办、公安部联合发布《人脸识别技术应用安全管理办法》,首次给“刷脸”应用划定了明确的安全边界,新规自6月1日起施行。在制度落地过程中,社区门禁的替代方案如何确定等具体操作规则仍有待进一步细化完善。
立法回应公众对人脸信息滥采滥用的担忧
北京航空航天大学法学院裴炜教授在接受本报《新法讯》采访时表示,“办法”以“特定目的、最小影响、严格保护”为核心原则,从制度设计上对个人信息滥采滥用作出系统性回应。例如,限定适用场景,明确禁止单位和个人未经个人同意,非法采集、处理人脸信息,尤其是在宾馆客房、公共浴室、更衣室、卫生间等私密空间禁止安装人脸识别设备;还要求开展安全评估、加密存储、权限控制、访问审计等技术性措施,降低数据泄露和滥用风险。
中国政法大学传播法研究中心朱巍副教授表示,“办法”的创新之处在于将《个人信息保护法》中的权利细化到人脸识别场景中。比如将“单独同意”作为采集人脸信息的基本前提,要求信息处理者全面告知使用目的、方式和范围等;同时在同意权基础之上增加了“选择权”,强调人脸识别不得作为唯一身份验证方式,如果存在多种渠道,需要给予用户选择的权利;此外,还增加了“撤回权”,个人有权撤回同意处理人脸信息等。这些规定填补了此前法律实践的空白,尤其是针对商业场景中强制刷脸的问题,如此前曝光的科勒门店违规采集人脸信息事件,体现了立法对公众关切的精准回应。
个人撤回同意可同步要求删除人脸信息
“办法”明确,基于个人同意处理人脸信息的,个人有权撤回同意。但未明确撤回后的人脸信息处理细节,难免引发民众担忧。对此,朱巍表示,“办法”部分条款属于转致性条款,个人行使撤回权后,发现信息处理者仍未删除人脸信息,可以通过《个人信息保护法》《消费者权益保护法》相关规定维护自身合法权益。同时,建议由网信办或引入第三方机构以技术手段予以监督,确保信息管理者彻底清除数据。
裴炜则提示,个人在撤回同意后,可以根据《个人信息保护法》的相关规定,先行主张删除权,撤回同意后可同步要求删除人脸信息;行政机关需在法定期限内处理,如有关单位拒绝删除或未履行义务,民众可提供通信记录、使用截图、登录页面等证据,向当地网信部门投诉。此外,如造成实际损害,民众可依据《民法典》关于隐私权、个人信息权等条款向法院提起诉讼,要求侵权人删除数据、赔礼道歉或赔偿损失。
建议将人脸识别管理纳入更高位阶的法律
现实中社区门禁强制刷脸的现象较为普遍,此次“办法”明确要求人脸识别不得作为唯一验证方式。
对此,裴炜表示,在制度设计层面,尚需进一步明确替代方式,细化替代方案(如IC卡、密码等)的技术标准和配备要求,防止形式主义替代;推动住建、网信、市场监管等多部门联合出台社区人脸识别使用指引;此外,还可以强化物业责任与自治机制,将相关内容纳入《物业管理条例》,通过业主大会等途径决定门禁方式,尊重居民多数意见。
在朱巍看来,“办法”虽未明确禁止物业使用人脸识别,但要求必须提供替代选项,否则构成违规。因此,社区管理在尊重多数意见的同时,必须保障少数人的选择权。即便大多数业主同意使用人脸识别,按照办法要求也应保障少数反对者享有替代进入方式,如门禁卡或密码。
裴炜还提醒,居民遭遇此类问题时,可通过多种渠道维权,例如遇到门禁系统强制刷脸情形,可以拨打12345政务服务热线,向住建部门反馈或提出意见;对于信息处理未告知或未删除数据的行为,可以向网信部门投诉;就人脸识别应用中的技术安全隐患等问题,则可以向市场监管部门投诉;必要时还可借助检察公益诉讼途径。
朱巍表示,人脸识别不仅涉及个人外貌,更与个人信息密切相关,可以匹配身份、财产、家庭等几乎所有信息,一旦泄露将可能造成极其严重的损害后果。但“办法”层级较低,建议未来修订《个人信息保护法》时,将人脸识别管理的核心内容纳入其中。(记者 朱非)
放大
上一版
