人臉識別，就是指自動處理包含個人面部的數(shù)字圖像，以便對個人進行識別、認證（驗證）或者分類。人臉識別技術被廣泛運用于很多場景，主要是安全應用、醫(yī)療保健、產(chǎn)品服務營銷等三大領域，如機場、火車站、銀行對乘客或用戶的身份進行驗證，公安機關從人流中識別出網(wǎng)上追逃的犯罪分子等。歸納起來，人臉識別的基本功能就是身份驗證、個體識別與面部分析。

　　《個人信息保護法》已對人臉識別技術應用作出規(guī)范

　　人的臉部信息屬于自然人的生物識別信息，是敏感的個人信息。如果個人或者組織可以不受規(guī)范，隨意使用人臉識別技術處理人臉信息或提供人臉識別技術產(chǎn)品或服務，勢必會侵害自然人的人格尊嚴、人身自由及人身財產(chǎn)權益，也會危害國家安全，損害社會公共利益與擾亂社會秩序。

　　圖為火車站安檢區(qū)，旅客進行人臉識別通過安檢。資料照片

　　在我國起草《個人信息保護法》時，就如何嚴格規(guī)范人臉識別技術的應用的問題就有深入的討論和廣泛的關注。最終《個人信息保護法》從以下方面作出了規(guī)范。

　　首先，明確將包括人臉信息在內的生物識別信息作為敏感的個人信息，并就敏感個人信息的處理進行了非常嚴格的規(guī)范。其次，該法第26條要求，在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必須，遵守國家有關規(guī)定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的，除非取得個人單獨同意。再次，依據(jù)該法第62條第2項，國家網(wǎng)信部門要統(tǒng)籌有關部門，針對人臉識別技術制定專門的個人信息保護規(guī)則或標準。

　　網(wǎng)信辦征求意見稿作出全方位的、具體的規(guī)范

　　不久前，國家互聯(lián)網(wǎng)信息辦公室面向社會公開征求對于《人臉識別技術應用安全管理規(guī)定（試行）（征求意見稿）》（以下稱《意見稿》）的意見。該《意見稿》正是國家網(wǎng)信部門依據(jù)《個人信息保護法》的授權，與工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局聯(lián)合制定的針對人臉識別技術應用的專門的個人信息保護規(guī)則?！兑庖姼濉饭?5條，從人臉識別技術應用的法定條件、具體場景、安全保護等三大方面，對利用人臉識別技術處理人臉信息以及提供人臉識別技術產(chǎn)品或者服務作出了全方位的、具體的規(guī)范。

　　處理人臉信息應當符合法律規(guī)定的條件

　　首先，人臉信息屬于敏感的個人信息。故此，利用人臉識別技術處理人臉信息以及提供人臉識別技術或服務就是在處理敏感的個人信息，應當滿足《個人信息保護法》等法律所規(guī)定的條件要求，《意見稿》對此作出了如下規(guī)定：（1）利用人臉識別技術處理人臉信息的活動必須遵守合法、正當、必要、目的限制等個人信息處理的基本原則，尤其是必要原則，即如果實現(xiàn)相同目的或者達到同等業(yè)務要求，存在其他非生物特征識別技術方案的，應當優(yōu)先選擇非生物特征識別技術方案；（2）該處理活動必須具有特定的目的和充分的必要性并采取嚴格保護措施，同時取得個人單獨同意或者依法取得書面同意（除非法律、行政法規(guī)另有規(guī)定）；（3）除維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產(chǎn)安全所必需，或者取得個人單獨同意外，任何組織或者個人不得利用人臉識別技術分析個人種族、民族、宗教信仰、健康狀況、社會階層等敏感個人信息。

　　人臉識別技術的應用場景

　　哪些場景下禁止使用人臉識別技術，哪些場景下可以使用人臉識別技術但嚴格加以限制等問題，《意見稿》作出了明確規(guī)定。一方面，旅館客房、公共浴室、更衣室、衛(wèi)生間及其他可能侵害他人隱私的場所不得安裝圖像采集、個人身份識別設備；另一方面，以下場景可以使用人臉識別技術，但必須滿足相應的要求：（1）在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規(guī)定，設置顯著提示標識；同時，如果在公共場所通過人臉識別技術遠距離、無感式辨識特定自然人的，應當為維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產(chǎn)安全所必需，并由個人或者利害關系人主動提出；（2）組織機構為實施內部管理，可以安裝圖像采集、個人身份識別設備，但應當根據(jù)實際需求合理確定圖像信息采集區(qū)域，采取嚴格保護措施，履行個人信息安全保護義務；（3）賓館、銀行、車站、機場等經(jīng)營場所只有在法律、行政法規(guī)規(guī)定應當使用人臉識別技術驗證個人身份時，才能強制使用人臉識別技術來進行個人身份驗證，否則，不得強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份；（4）物業(yè)服務企業(yè)等建筑物管理人不得將使用人臉識別技術驗證個人身份作為出入物業(yè)管理區(qū)域的唯一方式，個人不同意通過人臉信息進行身份驗證的，物業(yè)服務企業(yè)等建筑物管理人應當提供其他合理、便捷的身份驗證方式。

　　安全保護的具體規(guī)定

　　為保護個人權益、公共利益和國家安全，《意見稿》對于人臉識別技術應用的安全問題作出了具體的規(guī)定：（1）依據(jù)《個人信息保護法》的規(guī)定，《意見稿》就人臉識別技術使用者處理人臉信息之前應當進行的個人信息保護影響評估的內容、評估報告的保存等作出了具體的要求；（2）要求特定的人臉識別技術使用者——在公共場所使用人臉識別技術，或者存儲超過1萬人人臉信息的人臉識別技術使用者——在30個工作日內向所屬地市級以上網(wǎng)信部門備案；（3）人臉識別技術使用者必須對相關技術系統(tǒng)的安全性負責，并采取數(shù)據(jù)加密、安全審計、訪問控制、授權管理、入侵檢測和防御等措施保護人臉信息安全；必須對圖像采集設備、個人身份識別設備的安全性和可能存在的風險進行檢測評估。

　　《意見稿》仍有可進一步完善之處

　　總體而言，《意見稿》對人臉識別技術的應用作出了較為全面且科學的規(guī)范，值得肯定。不過，筆者認為，有以下幾點可以進一步完善：

　　禁止安裝圖像采集、個人身份識別設備的場景規(guī)定得太狹窄。至少，從目前很多地方政府頒布的規(guī)章來看，除了賓館房間、公共浴室、更衣室、衛(wèi)生間外，還包括：集體宿舍、公寓房間內；哺乳室、化妝間、試衣間；金融、保險、證券機構內可能泄露客戶個人信息的區(qū)域；選舉箱、舉報箱、投票點等附近可能觀察到個人意愿表達或者行為的區(qū)域。因此，建議增加相應的禁止使用人臉識別技術的場景的規(guī)定。

　　組織機構安裝設備要以合法實施內部管理為前提?！兑庖姼濉返?條規(guī)定“組織機構為實施內部管理安裝圖像采集、個人身份識別設備”，該范圍建議限制為“組織機構合法實施內部管理”，也就是說，組織機構要么是依據(jù)法律的規(guī)定如國家機關依據(jù)公務員法等法律而實施內部管理，要么是按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理而實施內部管理等，但都必須是合法實施的內部管理。

　　第10條規(guī)定有待斟酌調整。《意見稿》第10條規(guī)定：“在公共場所、經(jīng)營場所使用人臉識別技術遠距離、無感式辨識特定自然人，應當為維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產(chǎn)安全所必需，并由個人或者利害關系人主動提出。人臉識別技術使用者應個人或者利害關系人請求使用人臉識別技術遠距離、無感式辨識特定個人或者利害關系人的，應當將相關服務限定在最小必要的時間、地點或者人群范圍內，不得關聯(lián)與個人請求事項無直接必然相關的個人信息?！痹摋l存在的問題是：一方面，《個人信息保護法》第26條僅提及在公共場所為了維護公共安全而安裝圖像采集和個人身份識別設備?！兑庖姼濉繁緱l將適用范圍擴張為公共場所、經(jīng)營場所是否合適？另一方面，本條第1款中“為緊急情況下保護自然人生命健康和財產(chǎn)安全所必需”才涉及到個人或者利害關系人，至于為維護國家安全、公共安全，并不存在由個人或者利害關系人主動提出的問題，前者使用人臉識別技術遠距離、無感式辨識特定自然人可能是持續(xù)性的，而個人或者利害關系人主動提出的情形是一次性的，僅適用于特定的情形。在同一條中將兩種情形規(guī)定在一起，似有不妥。

　　第12條規(guī)定有待完善?！兑庖姼濉返?2條規(guī)定，涉及社會救助、不動產(chǎn)處分等個人重大利益的，不得使用人臉識別技術替代人工審核個人身份，人臉識別技術可以作為驗證個人身份的輔助手段。顯然《意見稿》最終是由國家網(wǎng)信辦、工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局聯(lián)合發(fā)布的規(guī)章，但是這四個部委發(fā)布的規(guī)章無權對其他行政機關的審核活動作出規(guī)定。比如，不動產(chǎn)處分時的身份驗證是自然資源行政管理部門的職責，社會救助是民政部門的職責。而且，不得使用人臉識別技術替代人工審核個人身份，只能作為輔助手段，此種規(guī)定也有不妥。如果使用人臉識別技術并且按照《意見稿》第4條第2款使用的是國家人口基礎信息庫、國家網(wǎng)絡身份認證公共服務等權威渠道，此種身份驗證比人工審核更權威？此外，即便可以規(guī)定，那么涉及到個人重大利益的場景顯然也不僅僅是列舉的社會救助、不動產(chǎn)處分。

　　缺少針對違法行為的法律責任的細致規(guī)定。法律責任是法律的“牙齒”，如果沒有相應的法律責任尤其是對行政機關通過行政執(zhí)法而施加的行政處罰的規(guī)定，那么行為人違反規(guī)定使用人臉識別技術，廣大個人也是束手無策?！兑庖姼濉纷畲蟮膯栴}就是在于沒有針對違法行為作出具體的細致的法律責任的規(guī)定。而只是在第23條第1款非?；\統(tǒng)地規(guī)定，“人臉識別技術使用者或者相關產(chǎn)品、服務提供者違反本規(guī)定的，由網(wǎng)信、電信、公安、市場監(jiān)管等有關部門在職責范圍內依照《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)進行處罰。違反《治安管理處罰法》的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。”盡管部門規(guī)章的立法權限有限制，但是依據(jù)《行政處罰法》第13條，部門規(guī)章是可以在法律、行政法規(guī)規(guī)定的給予行政處罰的行為、種類和幅度的范圍內作出具體規(guī)定的。即便是尚未制定法律、行政法規(guī)的，國務院部門規(guī)章對違反行政管理秩序的行為，也可以設定警告、通報批評或者一定數(shù)額罰款的行政處罰（罰款的限額由國務院規(guī)定）。故此，建議能夠對法律責任尤其是行政處罰作出細化規(guī)定，也就是說，要明確列舉人臉識別技術使用者或者相關產(chǎn)品、服務提供者違反本規(guī)定的行為類型，并有針對性地明確哪一類違法行為由哪一個部門在職責范圍內給予何種種類和數(shù)額的行政處罰。唯其如此，才能真正使人臉識別技術使用者或相關產(chǎn)品、服務的提供者遵守法律法規(guī)，遵守公共秩序，尊重社會公德，承擔社會責任，履行個人信息保護義務，不利用人臉識別技術從事危害國家安全、損害公共利益、擾亂社會秩序、侵害個人和組織合法權益的活動。

　?。ㄗ髡邽榍迦A大學法學院副院長、教授）