内容提要:近年来,人脸识别技术应用场景不断丰富,在便利生活的同时,技术的不规范使用...
(金 歆)小区门禁、账号登录、超市付款……近年来,人脸识别技术应用场景不断丰富,在便利生活的同时,技术的不规范使用也对个人信息保护提出了挑战。比如,有的商家暗中对人脸信息进行统计分析,用于商业营销,甚至进行“大数据杀熟”;随着生成式人工智能的发展,人脸信息甚至还可能被用于电信诈骗等不法行为。合理使用人脸识别技术的同时,如何更有效地防止信息泄露,成为当务之急。
长期以来,有关部门对人脸识别技术采取了不少监管措施,取得了一定成效,相关法律也对人脸识别的应用场景、使用目的、责任认定等作出规范。但有些规定比较笼统,需要进一步细化。不久前,国家网信办公布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称征求意见稿),就人脸识别技术的使用条件、使用禁则、备案要求、数据保护、设备管理等向社会公开征求意见,对保护个人信息权益、维护社会秩序和公共安全具有现实意义。
当前,我国对出售公民个人信息、诈骗等涉嫌犯罪或严重违法的行为,打击力度较大,但对部分商家“无感知收集”“一揽子收集”人脸信息等现象,监管力度较弱。有一些人认为人脸信息无关紧要,低估人脸信息泄露的危害性。要看到,人脸信息这样的生物特征具有唯一性、难以改变的特性,一旦泄露,比数字密码丢失更难得到有效补救。因此,用好人脸识别技术,必须做好从数据收集、使用到备案、删除等全过程监管,并提供较高级别的安全保护。
规范人脸识别技术应用,“安全”应成为绝对的关键词。首先要把住信息采集入口关。征求意见稿提出,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。这样具有很强针对性的界定,能有效防止人脸信息的非必要采集。比如,在健身房、书店等消费场景中,即便智能设备更加便捷,也应把消费方式的选择权交给消费者,而不能把采集人脸信息作为前置条件。确有必要时,应当取得个人的单独同意或者依法取得书面同意。以当事人知情、同意为基础,确保个人信息主体享有撤回授权的权利等,有助于为新技术规范应用划清边界。
防范人脸识别技术滥用风险,要加强对数据使用的监管,全面提高信息安全保护力度。面向社会公众提供人脸识别技术服务的,相关技术系统应当符合网络安全等级保护第三级以上保护要求。第三级是除了金融机构之外,可以用到的最高等级。此外,除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。将相关服务限定在最小必要的时间、地点或者人群范围内,才能把风险降到最低。
人脸识别具有独特的技术优势,是促进数字经济发展和社会治理的有效技术手段。然而,人脸属于生物识别类敏感个人信息,对此类信息的采集应出于维护公共安全的需要,并保障公民的知情权、决定权、选择权、删除权。在发展人脸识别技术的进程中,统筹发展和安全,不断完善相关法律法规,增强监管政策针对性、系统性,增强处理个人信息的敏感度,就能在有效保护个人信息的前提下,更好地促进行业健康发展,使广大群众从技术进步中受益。
《 人民日报 》( 2023年08月28日 05 版)