人工智能正深刻改變人們的生產、生活和學習方式，推動人類社會迎來人機協同、跨界融合、共創(chuàng)分享的智能時代。人臉識別技術經歷了從無到有、從2D到3D等發(fā)展歷程，已經普遍應用于社會生產和生活的各個領域。人臉識別被普遍稱為“刷臉”，給公眾帶來便利的同時也引發(fā)了隱私侵害、信息泄露等方面的廣泛擔憂。

近年來，《中華人民共和國民法典》、《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》（以下簡稱《人臉識別司法解釋》）和《中華人民共和國個人信息保護法》相繼出臺，為人臉識別法律治理提供了依據。從2019年“人臉識別第一案”到2025年山姆超市強制人臉識別被起訴立案，人臉識別的相關案例也逐漸確立了技術應用的邊界。作為人臉識別的專門性立法，《人臉識別技術應用安全管理辦法》（以下簡稱《辦法》）的出臺，意味著人臉識別步入系統性治理新階段。

彰顯以人為本的治理理念

習近平總書記強調，“堅持以人為本、智能向善，在聯合國框架內加強人工智能規(guī)則治理”?！耙匀藶楸尽眱仍谝笫且栽鲞M人類共同福祉為目標、尊重人類權益為前提，確保人工智能技術始終朝著有利于人類文明進步的方向發(fā)展?！掇k法》貫徹以人為本的理念，增強對于個人信息和用戶權益的保護，尤其是加強對殘疾人、老年人和不滿十四周歲未成年人的法律保護。

第一，人臉識別技術應用處理聚焦個人信息保護。人臉識別技術應用的對象既包括技術應用開發(fā)部署的行為，也包括技術應用運行的結果。而人臉信息則是人臉識別技術應用法律治理的“抓手”和“關鍵”。人臉信息是指在驗證個人身份、識別特定個人時應用面部生物特征識別技術，識別人的面部特征而形成的信息。

從《中華人民共和國網絡安全法》的“個人生物識別信息”開始，到《中華人民共和國民法典》和《中華人民共和國個人信息保護法》的“生物識別信息”，我國人臉識別的法律治理的關切就是用戶個人信息的保護。

《辦法》目的條款開宗明義“為了規(guī)范應用人臉識別技術處理人臉信息活動”，而且相關七個條文也作如此表述，指向“人臉信息”。

從《辦法》對人臉信息的定義來看，保護的是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的面部特征生物識別信息，不包括匿名化處理后的信息。

按照《中華人民共和國個人信息保護法》對個人信息處理的界定，應用人臉識別技術對人的面部進行“識別”，是個人信息處理的一種方式，屬于個人信息處理的“收集”行為，識別之后形成的“人臉信息”屬于敏感個人信息。同時，將征求意見稿中的主體概念“人臉識別技術使用者”，調整為“個人信息處理者”，體現了治理重點在個人信息與用戶權益保護。

第二，人臉識別技術應用治理關注用戶權益保護。人工智能的法律治理同時并存風險治理和權益保護的制度進路，這也同時適用于人臉識別技術應用?！掇k法》中基于風險的治理思路，主要體現在個人信息保護影響評估的主要內容，包括發(fā)生人臉信息泄露、篡改、丟失、毀損或者被非法獲取、出售、使用的風險，保護措施與風險程度相適應。但是《辦法》更加側重權利保護的治理進路，主要從三個維度強化對權利保障。

一是以“個人權益”的概括性表達，盡可能地加大對合法權益的保護，防范人臉識別潛在的監(jiān)控、歧視、隱私侵害和個人信息泄露等風險?！掇k法》要求應用人臉識別技術處理人臉信息活動，之前應告知對個人權益的影響、個人依法行使權利的方式和程序，之后應進行對個人權益帶來的影響進行評估。尤其是，要采取對個人權益影響最小的方式，以及不得侵害個人合法權益。

二是在具體條款中與《中華人民共和國個人信息保護法》中的具體條款充分對接。目的條款強調對“個人信息權益”的保護，第五條要求個人信息處理者應用人臉識別技術處理人臉信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知相關事項，充分保障“知情權”。第六條對“同意權”作了充分規(guī)定，不僅強調處理人臉信息應該基于“個人同意”，而且單獨同意應該是在充分“知情”和“自愿”情形下作出，對書面同意作出了引致性規(guī)定。除此之外，還重申《中華人民共和國個人信息保護法》中撤回同意的權利，要求個人信息處理者應當提供便捷的撤回同意的方式，充分地為個人提供退出或者不參與的可能性。其中，“便捷的撤回方式”有助于解決實踐中出現的“告知-同意”規(guī)則適用形式化困境。

三是《辦法》第十七條針對違法應用人臉識別技術處理人臉信息的活動設定了救濟機制。任何組織、個人有權向履行個人信息保護職責的部門對前述違法活動進行投訴、舉報。為了保障該救濟之權得以充分實現，同時規(guī)定“收到投訴、舉報的部門應當依法及時處理，并將處理結果告知投訴人、舉報人”。

劃定紅線底線推動人臉識別技術產業(yè)高質量發(fā)展

習近平總書記始終將人工智能發(fā)展置于國家戰(zhàn)略高度，指出“人工智能是引領這一輪科技革命和產業(yè)變革的戰(zhàn)略性技術，具有溢出帶動性很強的‘頭雁’效應”。人臉識別技術產業(yè)的高質量發(fā)展，需要依托立法的引領和推動作用?！掇k法》從人臉識別技術或設備的應用方式、安裝場所和非唯一性，以及排除人臉識別技術產品或服務等方面，為人臉識別技術產業(yè)高質量發(fā)展擴展空間。

第一，明確人臉識別技術的應用范圍。《辦法》通過正向確定和反向排除的方式作了明確規(guī)定，有利于相關主體的行為預期。第十條和第十二條體現了“身份驗證”，第十一條以并列方式歸納了“驗證個人身份”和“辨識特定個人”，相應地在第十九條中分別界定各自法律術語含義。刪除征求意見稿中的“分析敏感個人信息”行為，即為維護國家安全、公共安全、緊急情況下保護自然人生命健康和財產安全所必需，以及取得個人單獨同意而應用人臉識別技術分析敏感個人信息的情形。除此之外，第二條第二款排除了為從事人臉識別技術研發(fā)、算法訓練活動而應用人臉識別技術處理人臉信息的情形。如此，將人臉識別技術的應用行為限定為兩類，有利于促進研發(fā)活動，推動產品市場發(fā)展。

第二，明確了人臉識別設備的安裝使用場所。一是《辦法》明確了設備范圍和安裝場所。在設備范圍上，一是以“人臉識別設備”替代了征求意見稿中的“圖像采集、個人身份識別設備”，二是將“非生物特征識別技術方案”改為“非人臉識別技術方式”。因為人臉識別設備僅僅是眾多圖像采集、個人身份識別設備中的一類，且人臉識別的范圍小于生物特征識別。二是《辦法》以“公共性”約束安裝場所。首先，以“公共場所的公共安全所必需”為一般規(guī)則，即在公共場所安裝人臉識別設備，應當為維護公共安全所必需。其次，禁止安裝人臉識別設備的場所，由“其他可能侵害他人隱私的場所”縮小到“公共場所中的私密空間內部”，例如,任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛(wèi)生間等公共場所中的私密空間內部安裝人臉識別設備。這種公共性還體現在，刪除征求意見稿第八條“組織機構為實施內部管理所需”條款。如此，劃定禁止安裝人臉識別設備的紅線，其他非公共性空間不受該規(guī)則限制，比如為實現個人或家庭之用安裝人臉識別設備，有利于拓展人臉識別產品市場。

第三，明確了人臉識別作為身份驗證方式的非唯一性。隨著人臉識別技術的應用逐漸成熟，許多場所可能出于效率的考慮，將人臉識別作為唯一的身份驗證方式。在為實現相同目的或者達到同等業(yè)務要求的情形，存在其他技術方案時，相比征求意見稿的“應當優(yōu)先選擇非生物特征識別技術方案”，《辦法》規(guī)定“不得將人臉識別技術作為唯一驗證方式”，為人臉識別技術產業(yè)發(fā)展提供了廣闊空間。因為在“優(yōu)先選擇”的強制性約束之下，由于“非生物特征識別技術”范圍非常之大，意味著絕大多數場景中的身份驗證和識別方式都會回歸以前，不利于人臉識別技術產業(yè)發(fā)展。在“非唯一方式”的情況下，只要求提供“非人臉識別技術”作為一種可選擇項即可，人臉識別設備依然可以作為首選。

第四，降低人臉識別技術產品或服務提供者的合規(guī)負擔。《辦法》不僅在適用范圍中刪除了“提供人臉識別技術產品或者服務”，而且還相應地刪除產品或者服務提供者的配合監(jiān)督檢查義務和法律責任，以及列入網絡關鍵設備和網絡安全專用產品目錄的設備被限制銷售或提供。如此，將對人臉識別技術產業(yè)發(fā)展和相應產品和服務市場繁榮起到促進作用。

促進人臉識別信息的高水平安全

高水平安全是推動人工智能健康發(fā)展的深刻內涵。在推動人臉識別技術產業(yè)高質量發(fā)展的同時，既要重視技術治理——“不斷提升人工智能技術的安全性、可靠性、可控性、公平性”，也要注重制度治理，《辦法》主要從共治體系、一般規(guī)則、基礎設施和設備內存儲等方面促進人臉信息的高水平安全。

第一，構建人臉識別的多元規(guī)則共治體系。相較于以往二元利益比較模式，人臉識別更適宜以整體性利益架構為基礎進行動態(tài)權衡?！掇k法》形成了法律、道德倫理、商業(yè)道德、職業(yè)道德和誠實守信的維度治理規(guī)范，以此構建多領域協同共治體系。除了法律治理作為主要治理策略以外，其他治理規(guī)范遵從人臉識別技術及其應用的倫理性、商業(yè)性和專業(yè)性，誠實守信更是體現了對社會主義核心價值觀的貫徹落實。

第二，擴大適用范圍為人臉信息提供更高水平法律保障。《辦法》通過刪除或替代征求意見稿中的特定限定條件，把特定場景規(guī)則提升為一般性規(guī)則，擴大了適用范圍，有利于為人臉信息提供更高水平安全。一是針對個人不同意通過人臉信息進行身份驗證問題，在征求意見稿第十四條設定的“應當提供其他合理、便捷的方式”規(guī)則基礎上，刪除“物業(yè)服務企業(yè)等建筑物管理人”主體限定條件，并整合征求意見稿第四條，形成《辦法》第十條的“相同目的和同等業(yè)務”條款，實際上是從“物業(yè)服務”場景擴大了一般性目的和場景，擴大了人臉信息保護范圍。二是禁止強迫接受人臉識別。在設定“不得以辦理業(yè)務、提升服務質量等為由，誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份”規(guī)則時，以“任何組織和個人”替代了賓館、銀行、車站、機場、體育場館、展覽館、博物館、美術館、圖書館等經營場所。三是限定人臉識別采集區(qū)域。“根據實際需求合理確定采集區(qū)域”條款，在征求意見稿中是作為組織機構因內部管理所需而安裝識別設備的約束條件，在《辦法》中提升為一般性規(guī)則，即在公共場所安裝人臉識別設備需要確定合理采集區(qū)域，不僅擴大了適用范圍，而且通過限定物理區(qū)域，盡可能少地收集不特定公眾的人臉信息。

第三，鼓勵使用可信數字基礎設施。《辦法》鼓勵應用人臉識別技術時，優(yōu)先使用國家人口基礎信息庫、國家網絡身份認證公共服務等渠道?！掇k法》設置非強制性規(guī)定的積極意義主要在于，通過減少人臉信息收集、存儲來加強人臉信息安全，也有利于維持人臉識別技術、產業(yè)、市場的競爭性和活力。

第四，強制人臉信息的設備內存儲。《辦法》第八條規(guī)定，“除法律、行政法規(guī)另有規(guī)定或者取得個人單獨同意外，人臉信息應當存儲于人臉識別設備內，不得通過互聯網對外傳輸”。該規(guī)定構筑了“物理隔離+最小暴露”的保護屏障，即將人臉信息存儲在設備本地，能有效避免云端存儲或在線傳輸過程可能引發(fā)的規(guī)模化泄露等風險，從源頭上實現風險最小化效果。

綜上所述，技術滲透的邊界不斷擴張，亟須以法治筑牢網絡安全屏障。舒適地擁抱“無感式”的人臉識別，需要法治保駕護航。人臉識別是人工智能的重要應用場景，《辦法》在高質量發(fā)展和高水平安全之間實現了很好的平衡，這一中國方案或將為全球人臉識別治理提供新的價值坐標。

來源：“中國網信雜志”微信公眾號