作者|自正法 張詩棋

責(zé)編|薛應(yīng)軍

正文共3251個字，預(yù)計閱讀需10分鐘▼

近日，國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合出臺《人臉識別技術(shù)應(yīng)用安全管理辦法》（以下簡稱《辦法》），規(guī)范應(yīng)用人臉識別技術(shù)處理人臉信息活動，保護個人信息權(quán)益，自2025年6月1日起施行。

黨的二十屆三中全會通過的《關(guān)于進(jìn)一步全面深化改革、推進(jìn)中國式現(xiàn)代化的決定》明確指出，提升數(shù)據(jù)安全治理監(jiān)管能力。近年來，隨著人工智能和大數(shù)據(jù)等互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，人臉識別技術(shù)被廣泛應(yīng)用于社會的多個領(lǐng)域，如人臉識別認(rèn)證系統(tǒng)、人臉識別門禁以及刷臉支付等，在越來越多的場景下發(fā)揮著不可替代的作用。人臉識別技術(shù)作為人工智能發(fā)展的典型樣態(tài)，在提高人們生活水平的同時，也給個人信息、隱私與財產(chǎn)帶來了風(fēng)險，引發(fā)了公眾對人臉識別技術(shù)應(yīng)用的擔(dān)憂。這使得作為關(guān)系數(shù)據(jù)安全及廣大人民群眾的切身利益的人臉信息安全，受到社會各方高度重視與關(guān)注。在此背景下，《辦法》應(yīng)運而生，既回應(yīng)了社會民眾對人臉識別技術(shù)規(guī)范應(yīng)用的迫切需要，也強化了對個人信息權(quán)益的全方位保護要求。

筑牢個人信息保護基礎(chǔ)防線

任何一項技術(shù)都可能是“雙刃劍”，人臉識別技術(shù)亦是如此，只有當(dāng)其被規(guī)范應(yīng)用時，才能對社會發(fā)展與進(jìn)步發(fā)揮積極作用?！掇k法》制定的目標(biāo)就在于應(yīng)對人臉識別技術(shù)存在的濫用風(fēng)險，通過規(guī)范人臉識別技術(shù)應(yīng)用，以實現(xiàn)強化個人信息權(quán)益保護和筑牢個人信息安全防線，從而增強民眾對新技術(shù)應(yīng)用的信賴與信心，并維護社會秩序與公共安全。

其一，細(xì)化個人信息保護法律規(guī)范，完善個人信息保護制度體系。此前，我國尚未出臺專門針對人臉識別技術(shù)的法律規(guī)范，相關(guān)規(guī)定散落在各法律規(guī)范及規(guī)范性文件之中，且未明確人臉識別技術(shù)處理人臉信息的具體指導(dǎo)規(guī)則?！掇k法》作為《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律、行政法規(guī)的配套規(guī)章，細(xì)化了其中關(guān)于個人信息處理原則與規(guī)則。它通過構(gòu)建專門制度規(guī)范人臉識別技術(shù)應(yīng)用，明確了人臉識別技術(shù)在實際應(yīng)用過程中的具體要求，實現(xiàn)了對應(yīng)用人臉識別技術(shù)處理人臉信息的實踐操作指引?！掇k法》的出臺，是對個人信息全方位、全角度保護的落實，有利于彌補現(xiàn)有個人信息保護法律制度對人臉識別技術(shù)應(yīng)用規(guī)制的缺口，完善了個人信息保護的法律規(guī)范體系，筑牢了個人信息保護的安全防線。

其二，規(guī)范人臉識別技術(shù)應(yīng)用，解決人臉識別技術(shù)濫用風(fēng)險。規(guī)范應(yīng)用是技術(shù)得以正向發(fā)展的前提，《辦法》為人臉識別技術(shù)應(yīng)用設(shè)立安全規(guī)范，為在實踐中發(fā)展參差不齊的人臉識別技術(shù)提供系統(tǒng)性、體系化的有益指導(dǎo)。人臉信息屬于特殊的個人信息，具有專屬性、獨特性、可識別性等特征，而其易收集性的特征在為人臉識別技術(shù)廣泛應(yīng)用提供條件的同時，也帶來了人臉識別技術(shù)被濫用的風(fēng)險，極易使社會民眾的個人信息在人臉識別應(yīng)用中受到侵害。因此，如何在技術(shù)發(fā)展與權(quán)利保障之間，劃定人臉識別技術(shù)應(yīng)用的界限與范圍，是個人信息保護領(lǐng)域所必須思考的問題?！掇k法》為人臉識別技術(shù)劃定了應(yīng)用紅線，通過比例原則、告知—同意處理模式、事前評估程序、分級備案機制等促進(jìn)人臉識別應(yīng)用技術(shù)在法治軌道上運行，為人臉識別技術(shù)應(yīng)用裝上了“安全鎖”。這有利于防止人臉識別技術(shù)過度化應(yīng)用造成不應(yīng)有的損害，從而平衡技術(shù)應(yīng)用與權(quán)利保護的關(guān)系，為人臉識別技術(shù)應(yīng)用的正向前進(jìn)奠定了堅實基礎(chǔ)。

建立人臉識別技術(shù)對個人信息處理的規(guī)范指引

《辦法》共二十條，從適用范圍、基本原則、處理規(guī)則、安全規(guī)范、監(jiān)管職責(zé)與法律責(zé)任等方面規(guī)定了人臉識別技術(shù)處理人臉信息的安全應(yīng)用要求，刻畫了人臉識別技術(shù)對個人信息抓取的規(guī)范圖景與應(yīng)然模式，為實踐中人工智能如何抓取與處理人臉信息帶來了可操作性與可執(zhí)行性的有效指導(dǎo)。

其一，人臉識別技術(shù)抓取人臉信息的界限與范圍?；诓煌褂媚康募安煌m用場景，《辦法》第二條、第十三條規(guī)定了人臉識別技術(shù)抓取人臉信息的不同范圍與界限。一方面，當(dāng)人臉識別技術(shù)抓取人臉信息的目的為技術(shù)研發(fā)、算法訓(xùn)練時，則不受該《辦法》約束，但此外一切運用人臉識別技術(shù)抓取并處理人臉信息的活動，都需要在《辦法》的規(guī)定下進(jìn)行。另一方面，一般場景如公共場所下，人臉識別技術(shù)對人臉信息的抓取需要遵循合法性原則及比例原則，并履行相應(yīng)的顯著提醒義務(wù)；而對于特殊場景如賓館客房、公共浴室等私密空間，則禁止使用任何人臉識別技術(shù)設(shè)備進(jìn)行人臉信息抓取與處理。

其二，人臉識別技術(shù)抓取人臉信息的基本原則?！掇k法》既注重保護技術(shù)創(chuàng)新，也強調(diào)對個人信息的全方位保護。比如，《辦法》第三條明確了合法性原則，要求人臉識別技術(shù)對人臉信息的抓取應(yīng)當(dāng)遵守法律法規(guī)的規(guī)定，禁止侵害個人合法權(quán)益；第四條制定了比例原則，人臉識別技術(shù)對人臉信息的抓取必須具有特定目的與充分必要性，且須按照對個人利益影響最小的方式實施；第十條及第十二條強調(diào)了非強制原則，當(dāng)實現(xiàn)相同目的或者達(dá)到同等業(yè)務(wù)要求，存在其他非人臉識別技術(shù)方式時，不得將人臉識別技術(shù)作為唯一驗證方式，且任何組織和個人不得以辦理業(yè)務(wù)、提升服務(wù)質(zhì)量等為由，誤導(dǎo)、欺詐、脅迫個人接受人臉識別技術(shù)驗證個人身份。

其三，人臉識別技術(shù)抓取人臉信息的流程規(guī)范。對一項技術(shù)的規(guī)范需要貫徹于技術(shù)應(yīng)用的全過程，而《辦法》也對人臉識別技術(shù)抓取人臉信息制定了規(guī)范的流程。

首先，事前需履行告知義務(wù)與開展影響評估?！掇k法》第五條至第七條規(guī)定了人臉識別技術(shù)對人臉信息抓取的告知—同意模式，即在應(yīng)用人臉識別技術(shù)抓取人臉信息之前，應(yīng)當(dāng)通過顯著提醒的方式，向個人真實、準(zhǔn)確、完整地告知其抓取目的、處理方式、處理期限、處理影響以及相應(yīng)的權(quán)利救濟途徑，當(dāng)獲取個人充分知情前提下所作出的自愿、明確、單獨同意后，才能實施人臉信息的抓取與處理。此外，《辦法》第九條要求人工智能抓取與處理人臉信息前，還需要進(jìn)行個人信息保護影響的評估，只有在目的方式合法、正當(dāng)、必要，保護措施合法、有效，能夠有效降低不利影響及防止人臉信息被泄露、非法獲取等風(fēng)險發(fā)生的條件下，才能進(jìn)行抓取與處理，且需要將評估報告和處理情況記錄至少保存三年。

其次，事中要求渠道優(yōu)先、存儲限定化。雖然《辦法》第十一條規(guī)定并非強制性，僅鼓勵人臉識別技術(shù)進(jìn)行人臉驗證識別時優(yōu)先使用國家人口基礎(chǔ)信息庫、國家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)等渠道，但若人臉識別技術(shù)在進(jìn)行人臉信息抓取時，能夠優(yōu)先使用以上公共渠道，則能大大減少對人臉信息的收集與儲存，既能避免在人臉信息抓取與處理過程中出現(xiàn)不合規(guī)行為，也能緩解社會公眾的擔(dān)憂及獲取程序用戶的信任與支持。同時，當(dāng)人臉識別技術(shù)進(jìn)行人臉信息抓取后，除法律、行政法規(guī)另有規(guī)定或者取得個人單獨同意外，只能存儲在進(jìn)行人臉識別的設(shè)備內(nèi)，禁止通過互聯(lián)網(wǎng)向外傳輸。

最后，事后分級備案與接受監(jiān)督?！掇k法》第十五條規(guī)定了人臉識別技術(shù)在抓取人臉信息之后的備案事項，并通過對信息存儲數(shù)量予以分級，對人臉信息存儲數(shù)量達(dá)到十萬人的設(shè)置了備案要求，需要在30個工作日內(nèi)向所在地省級以上網(wǎng)信部門履行備案手續(xù)，并提交相關(guān)材料。當(dāng)備案信息發(fā)生實質(zhì)性變更，或者人臉識別技術(shù)終止對人臉信息的抓取與處理時，需要在變更之日或者終止之日起30個工作日內(nèi)辦理變更或注銷手續(xù)。此外，在人臉識別技術(shù)抓取人臉信息過程中，《辦法》還規(guī)定了其需要受到來自網(wǎng)信部門、公安機關(guān)以及其他履行個人信息保護職責(zé)部門的監(jiān)督，并配合相關(guān)部門進(jìn)行檢查，當(dāng)存在違規(guī)或違法進(jìn)行人臉信息抓取與處理時，需要依法承擔(dān)相應(yīng)的行政責(zé)任或刑事責(zé)任。

在人臉識別技術(shù)被廣泛應(yīng)用于社會不同領(lǐng)域背景下，《辦法》的出臺平衡了新興技術(shù)的創(chuàng)新發(fā)展與公民個人信息安全保護的關(guān)心：一方面，明確要求人臉識別技術(shù)的應(yīng)用必須遵循合法、正當(dāng)、必要的原則，采取對個人權(quán)益影響最小的方式，并實施嚴(yán)格保護措施。另一方面，又要鼓勵、支持研究開發(fā)和推廣應(yīng)用安全、方便的電子身份認(rèn)證技術(shù)，推進(jìn)網(wǎng)絡(luò)身份認(rèn)證的公共服務(wù)建設(shè)。這種平衡策略不僅保護了公民個人信息安全，也為技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展?fàn)I造了良好的環(huán)境，有利于推動技術(shù)在合法合規(guī)軌道上持續(xù)健康發(fā)展。

（作者單位：重慶大學(xué)法學(xué)院）