《人脸识别技术应用安全管理规定（试行）》公开征求意见，探索中国治理方案

点击蓝字丨关注我们

申请加入数据安全共同体计划，请在本公众号回复“申请表”获取下载链接

8月8日，为规范人脸识别技术应用，保护个人信息权益及其他人身和财产权益，维护社会秩序和公共安全，国家网信办发布《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（以下简称《管理规定》），面向社会公开征求意见。

人脸识别技术是通过自然人的脸部特征信息识别或验证自然人身份的技术。过去十年间，人脸识别技术逐渐从公共领域安防应用普及到商业领域，成为最具发展前景的生物识别技术。与此同时，人脸信息具有可识别、易采集、不可更改、不可匿名等特性，技术应用过程中引发的安全和风险问题也在全球范围内得到广泛关注。相较于欧美较为严格的限制甚至禁止政策，《管理规定》立足人脸识别技术应用，明确安全管理的基本原则与基本要求，以更加包容的态度回应人脸识别技术应用规范，为全球人脸识别技术应用规范贡献中国智慧和中国方案。

一、我国人脸识别法律规范体系整体分析

在《管理规定》出台前，整体上我国法律法规沿着“个人信息——敏感个人信息——生物识别信息——人脸信息”的逻辑，将人脸信息作为个人生物信息提供强化保护，在人格尊严不受侵犯的宪法基础上，通过《网络安全法》《民法典》《个人信息保护法》等法律法规初步构建起人脸识别法律规范体系。

《网络安全法》《民法典》明确将个人生物识别信息作为个人信息的具体类型，借由两部法律中有关个人信息保护的规定，人脸信息能够获得一般性保护。同时在刑事领域，《刑法修正案（七）》《刑法修正案（九）》对侵害公民个人信息违法犯罪行为作出规定，并通过《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》司法解释进行规则细化，但同样在刑事领域并未对人脸信息乃至生物识别信息作出特别规定。

2018年《个人信息保护法》正式纳入立法规划，在立法过程中，人脸识别门禁、售楼处人脸识别应用、人脸识别地铁安检等争议已经引发热议。最终，《个人信息保护法》充分考虑人脸识别技术应用规范的必要性和可行性，认可人脸识别技术规范的二分框架：一方面，在法律层面首次确立敏感个人信息概念并认可敏感个人信息强化理念的基础上，明确列举生物识别信息作为敏感个人信息的子类型，由此人脸信息能够借助敏感个人信息的处理规则获得强化保护，如特定目的处理目的、充分必要性、严格保护措施、单独同意等要求；另一方面，《个人信息保护法》也通过具体条文针对公共场所安装图像采集、个人身份识别设备明确具体要求，并明确授权国家网信部门制定人脸识别专门的个人信息保护规则，在人脸识信息基于敏感个人信息获得强化保护的基础上，进一步认可对人脸识别技术应用进行专门规范的必要性。

此外，在《个人信息保护法》通过前夕，最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关案件适用法律若干问题的规定》，以司法解释明确个人处理人脸信息构成侵害自然人人格权益的具体情形，明确相关案件裁判规则。

二、《管理规定》对人脸识别技术应用的专门规定

《管理规定》立足于人脸识别技术应用，在延续人脸信息规范一般规定的基础上，从安全管理基本原则、应用场景化要求、应用具体合规义务等三个维度，对人脸识别技术应用作出专门规定，并明确相应的监督检查、投诉举报等事项。

第3条-第5条明确了人脸识别技术应用安全管理的基本要求，包括合法性、最小必要、自主选择等原则。第3条使用人脸识别技术应当具有合法性，不得利用人脸识别技术从事危害国家安全、损害公共利益、扰乱社会秩序、侵害个人和组织合法权益等法律法规禁止的活动；第4条明确人脸识别技术应用应当满足最小必要原则，只有具有特定目的且充分必要时，方可使用人脸识别技术，同时明确在实现相同目的或者达到同等业务需求时，如果存在其他非生物特征识别技术方案的，人脸识别技术并不具有充分必要性；第5条明确个人应当对是否接受人脸识别技术处理人脸信息享有自主选择权，除非法律、行政法规另有规定，应取得个人的单独同意或者书面同意。

第6条-第14条区分不同人脸识别技术应用的典型场景，提出不同强度的规范要求。第6条基于隐私优先，明确可能侵害他人隐私的场所，如旅馆客房、公共浴室、更衣室、卫生间禁止安装图像采集、个人身份识别设备。第9条首次明确经营场所使用人脸识别技术，应确保个人接受人脸识别技术验证个人身份的自主选择，强调个人充分知情、主动参与，并要求在验证过程中即时明确提示身份验证的目的。第10条针对远距离、无感式辨识特定个人或者利害关系人的人脸识别技术使用提出规范要求。一方面进一步限缩应用目的，限于为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需，并在个人自主决定权方面升格为个人或者利害关系人主动提出；另一方面在应用过程中，强调应用时间、地点、人群范围等方面的最小必要原则，并进一步禁止关联分析。第12条针对关涉个人重大利益的场景，如社会救助、不动产处分等，强调人脸识别技术仅可作为身份验证的辅助手段，不得替代人工审核。第14条针对建筑物管理人使用人脸识别技术场景，明确物业服务企业等不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式，并要求提供其他合理、便捷的身份验证方式。此外，第8条、第11条、第13条还分别对组织机构内部管理、利用人脸识别技术实现分析目的、处理未成年人人脸信息等作出规定。

第15条-第20条从人脸信息保护、使用者备案管理、人脸识别、人脸信息系统安全等多个维度明确了人脸识别技术应用的各项合规义务。针对人脸信息保护，第15条强调使用者个人信息保护影响评估义务，并就评估内容作出细化要求。除个人信息保护影响评估一般性内容外，将是否符合伦理道德、是否在准度、精度、距离要求等满足目的所必需等作为个人信息影响评估具体内容。另外，第17条、第19条还分别从个人信息收集、存储的最小必要方面明确具体要求，明确使用者应当尽量避免采集与提供服务无关的人脸信息，并且不得保存人脸原始图像、图片、视频。针对人脸识别技术使用者，第16条明确实施备案管理，要求公共场所使用人脸识别技术，或者存储超过1万人人脸信息的人脸识别技术使用者在30个工作日内向所属地市级以上网信部门备案。针对人脸信息系统安全，第17条、第19条分别要求相关技术系统应当符合网络安全等级保护第三级以上保护要求，采取相应信息安全保护措施，并要求年度风险检测评估，适时改进安全策略。

三、展望

随着计算机视觉等技术的不断成熟，人脸识别技术应用的需求将加速释放，应用场景也将更加广阔。作为人脸识别发展增速最快的国家，我国适时出台《管理规定》，坚持安全与发展并重，以包容态度回应技术治理需求。目前，《管理规定》正在公开征求意见阶段，也将进一步凝聚共识，吸纳产业各方、社会公众建议。期待《管理规定》正式发布，为全球人脸识别技术应用规范贡献中国智慧和中国方案。

作者简介：

葛鑫，中国信息通信研究院安全研究所数据安全事业部高级工程师，法学博士，长期从事个人信息保护、网络法治法律政策、监管支撑、标准编制等工作。

数据安全共同体计划

（data security community）

“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施，推动数据开发利用和数据安全领域的技术推广和产业创新，致力于促进数据安全产业链各环节的交流与合作，推动数据安全政策、技术、人才多要素良性互动，构建数据安全产业生态共同体。

咨询电话：

曹京 (010) 5884 6840

解伯延 18631643906

联系人邮箱：[email protected]