為規(guī)范人臉識別技術應用，保護個人信息權益及其他人身和財產(chǎn)權益，維護社會秩序和公共安全，8月8日，國家網(wǎng)信辦發(fā)布《人臉識別技術應用安全管理規(guī)定（試行）（征求意見稿）》（下稱《規(guī)定》），向社會公開征求意見。

來看《規(guī)定》重點要求：

【資料圖】

1、只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可使用人臉識別技術處理人臉信息。

2、賓館、銀行、車站、機場、體育場館、展覽館、博物館、美術館、圖書館等經(jīng)營場所，除法律、行政法規(guī)規(guī)定應當使用人臉識別技術驗證個人身份的，不得以辦理業(yè)務、提升服務質(zhì)量等為由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。

3、在公共場所、經(jīng)營場所使用人臉識別技術遠距離、無感式辨識特定自然人，應當為維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產(chǎn)安全所必需，并由個人或者利害關系人主動提出。

4、在公共場所使用人臉識別技術，或者存儲超過1萬人人臉信息的人臉識別技術使用者，應當向所屬地市級以上網(wǎng)信部門備案。

不得強制、誤導個人接受人臉識別技術驗證個人身份

目前，人臉識別技術已經(jīng)被廣泛運用于身份認證、移動支付、手機解鎖、出入門禁等諸多方面。頂象發(fā)布的《人臉識別安全白皮書》數(shù)據(jù)顯示，人臉識別應用最多是安防占54%，其次是金融占16%。此后分別是娛樂10%、醫(yī)療7%、電商零售6%、出行3%、政務2%、其他2%。但也要注意到，人臉識別技術在給個人身份認證提供便利的同時，也存在信息泄露和個人身份被盜用的風險。

《規(guī)定》明確，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可使用人臉識別技術處理人臉信息。同時，除法律、行政法規(guī)規(guī)定不需要取得個人同意的情況外，使用人臉識別技術處理人臉信息應當取得個人的單獨同意或者依法取得書面同意。

在人臉識別技術應用場所方面，《規(guī)定》要求，旅館客房、公共浴室、更衣室、衛(wèi)生間及其他可能侵害他人隱私的場所不得安裝圖像采集、個人身份識別設備。賓館、銀行、車站、機場、體育場館、展覽館、博物館、美術館、圖書館等經(jīng)營場所，除法律、行政法規(guī)規(guī)定應當使用人臉識別技術驗證個人身份的，不得以辦理業(yè)務、提升服務質(zhì)量等為由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。

同時，在公共場所安裝圖像采集、個人身份識別設備的建設、使用、運行維護單位，對獲取的個人圖像、身份識別信息負有保密義務，不得非法泄露或者對外提供。

近年來，有的房地產(chǎn)售樓中心為判定客源，在消費者進入售樓中心后便開始抓拍消費者人臉照片并記錄消費者在售樓中心內(nèi)的行動軌跡，甚至將消費者人臉照片儲存在本地服務器。此類問題引發(fā)社會廣泛關注。

對此，《規(guī)定》提出，在公共場所、經(jīng)營場所使用人臉識別技術遠距離、無感式辨識特定自然人，應當為維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產(chǎn)安全所必需，并由個人或者利害關系人主動提出。

人臉識別技術使用者應個人或者利害關系人請求使用人臉識別技術遠距離、無感式辨識特定個人或者利害關系人的，應當將相關服務限定在最小必要的時間、地點或者人群范圍內(nèi)，不得關聯(lián)與個人請求事項無直接必然相關的個人信息。

加強個人信息保護影響評估

《規(guī)定》提出，人臉識別技術使用者處理人臉信息，應當事前進行個人信息保護影響評估。評估內(nèi)容包括，處理人臉信息是否具有特定的目的和充分的必要性；發(fā)生或者可能發(fā)生人臉信息泄露、篡改、丟失、毀損或者被非法獲取、非法利用的風險以及可能造成的危害；可能對個人權益帶來的損害和影響，以及降低不利影響的措施是否有效等。

在公共場所使用人臉識別技術，或者存儲超過1萬人人臉信息的人臉識別技術使用者，應當在30個工作日內(nèi)向所屬地市級以上網(wǎng)信部門備案。備案內(nèi)容覆蓋處理人臉信息的必要性說明；人臉信息的處理目的、處理方式和安全保護措施；人臉信息的處理規(guī)則和操作規(guī)程；個人信息保護影響評估報告等。

在人臉信息處理方面，《規(guī)定》要求，除法定條件或者取得個人單獨同意外，人臉識別技術使用者不得保存人臉原始圖像、圖片、視頻，經(jīng)過匿名化處理的人臉信息除外。面向社會公眾提供人臉識別技術服務的，相關技術系統(tǒng)應當符合網(wǎng)絡安全等級保護第三級以上保護要求，并采取數(shù)據(jù)加密、安全審計、訪問控制、授權管理、入侵檢測和防御等措施保護人臉信息安全。

使用人臉識別技術處理人臉信息應當盡量避免采集與提供服務無關的人臉信息，無法避免的，應當及時刪除或者進行匿名化處理。

此外，《規(guī)定》要求，人臉識別技術使用者應當每年對圖像采集設備、個人身份識別設備的安全性和可能存在的風險進行檢測評估，并根據(jù)檢測評估情況改進安全策略。

國家互聯(lián)網(wǎng)應急中心高級工程師張震此前指出，在人臉采集方式濫用問題上，一方面企業(yè)使用人臉識別技術的必要性范圍需要清晰界定，另一方面不同應用場景下采集人臉信息的設備參數(shù)如何規(guī)定，以及不必要的高分辨率采集行為所引發(fā)的風險由誰承擔需要進一步明確。

張震認為，在分類分級場景明確上達成業(yè)內(nèi)共識，讓企業(yè)能夠按照約束范圍采集相關數(shù)據(jù)。產(chǎn)業(yè)要重視數(shù)據(jù)安全儲存上，時刻警惕未來黑灰產(chǎn)或許會利用人臉信息對個人人身財產(chǎn)、社會市場經(jīng)濟乃至國家安全產(chǎn)生不可預知的破壞性影響，建議嘗試采取云端分離、數(shù)字加密、提取局部特征等方式來存儲數(shù)據(jù)，最大限度保證原始數(shù)據(jù)的安全性。

（文章來源：證券時報）

關鍵詞：