近日�,上海市市場監督管理局發布《公共場所人臉識別分級分類應用規范(征求意見稿)》(以下簡稱《征求意見稿》)���,聚焦公共場所人臉識別系統建設前的分級分類評估及其應用要求問題�,擬為公共場所人臉識別的分級分類應用建立推薦性地方標準�����,目前正在公開征求意見�����。
人臉信息作為生物識別信息�,隨著人臉識別技術在安防�����、教育����、交通��、支付等領域的廣泛應用�����,被過度采集或者泄露����、濫用等問題一直為人們擔憂���。對此��,近年來�,許多地方通過立法形式加強對人臉識別技術應用的規范���。2021年�����,最高人民法院出臺《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》�,規范正確審理使用人臉識別技術處理個人信息相關民事案件��。此外�,還有《信息安全技術 人臉識別數據安全要求》(GB/T 41819-2022)��、《App收集使用個人信息最小必要評估規范 人臉信息》(T/TAF 077.7-2020)���、《安全防范 人臉識別應用 分類》(GA/T 1470-2018)國家標準�����、團體標準和行業標準等�。但在現實應用中�����,人臉識別技術仍存在合規困境�,專家表示需要細化規定����,為現實應用提供更明確的合規指引����。
上海地方標準遵循風險動態治理路徑
上海政法學院教授張繼紅表示�,《征求意見稿》將人臉識別應用的常見公共場所按照應用場景和應用領域進行了兩級劃分���,應用場景分為社會管理����、行業應用�、其他三類��,應用領域在各應用場景下依照行業類別進一步細分���。比如社會管理應用場景下包括公共安全����、司法��、政務��、公共服務��、交通等;行業應用場景下包括金融��、醫療���、教育�����、建筑���、房地產����、商業��、娛樂等;其他包括社區和園區��,主要應用涉及利用人臉識別技術實現人員管理��、安全防范等目的場景�����。在分級方面�����,《征求意見稿》對公共場所實施人臉識別進行風險等級定級�����,根據人臉識別的應用目的��、底庫規模�����、覆蓋密度�����、管理水平和網絡環境等要素進行風險評估����。
張繼紅表示�����,《征求意見稿》采用分類分級方式對風險進行賦值����,按照特定的參數計算風險值�,并根據風險要素的不同權重進行綜合風險計算評分����,將公共場所人臉識別風險從低到高分為低風險�����、中低風險�、中風險����、中高風險����、高風險五級���。它在設定通用管理要求外�����,使不同等級對應的通用管理要求(針對主體)��、技術要求(針對人臉信息流通環節)以及分級應用要求有所差異��,風險級別越高則規制要求越嚴格���。例如�����,對社會管理場景中人臉識別技術的應用風險會預設低于行業應用場景�,給予社會管理場景更高的寬容度��,以保障民生福祉����。再比如�,底庫規模人數越多�、部署人臉識別設備的安裝密度越高�,那么人臉識別應用的風險程度就越高�����。
“對風險程度不同等級的劃分��,會激勵引導企業��、機構降低部署密度��、提升系統安全水平與管理水平���,將人臉識別設備更多地應用于安全防范而非商業分析�����、娛樂游戲等商業用途�。”張繼紅說�����,《征求意見稿》還建立了事前����、事中��、事后的全過程管理閉環機制��,以事前評估管理為基本定位�����,將公共場所人臉識別技術的應用風險進行事先預防性控制���,真正實現“未雨綢繆”�。
值得一提的是����,《征求意見稿》還規定公共場所人臉識別風險等級應遵循應降盡降原則����,并在附錄C中提供了風險的消解�����、應對措施�,貫穿數據收集����、傳輸����、存儲�、使用���、公開披露���、刪除等全生命周期�。張繼紅認為��,此舉不僅為企業�����、機構提供整改指引���,也體現了風險動態治理的思路與理念���。
人臉識別應用存在的合規困境
《征求意見稿》規定了人臉識別應用的通用管理要求���、通用技術要求等��。比如��,在使用主體管理方面���,要求組織并采用合法���、合適的方式獲得人臉識別對象的正式同意授權;在公共場所的顯著位置�,告知���、設置人臉識別采集點位提示標識等�����。
個人信息保護法要求只有在具有特定目的和充分必要性并采取嚴格保護措施的情形下���,個人信息處理者方可處理敏感個人信息��。處理敏感個人信息除應當取得個人的單獨同意外���,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響���。
“在公共區域安裝人臉識別設備后�����,如何在收集人臉信息前便履行完畢個人信息保護法規定的告知義務���,這是實踐中面臨的另一難題��。”廈門大學法學院教授郭春鎮表示�,目前�,在公共區域設置的圖像采集或者人臉識別設備難以滿足個人信息保護法要求履行的“事前”告知義務��?!秱€人信息保護法》第四條規定���,個人信息的處理包括個人信息的收集�、存儲�、使用����、加工��、傳輸���、提供等���,即在人臉識別設備開始采集個人信息時��,便已經進入了個人信息的處理過程���。
實踐中�����,人臉識別設備收集個人信息的過程往往是實時進行的�����,當個人信息主體進入人臉識別設備的圖像采集范圍時��,其人臉信息便會自動被抓取���。在這種場景下�,即使采取措施����,如張貼提示語并通過二維碼掃描的形式提供完整的個人信息處理政策����,可能最多只能做到同步告知��,而無法做到事前告知�。
張繼紅表示�����,從實踐反饋情況看�,何為《個人信息保護法》第十四條要求的“單獨同意”��,何為《個人信息保護法》第二十八條要求的“充分的必要性”“采取嚴格保護措施”�����,如何做到針對人臉識別場景的個人信息保護影響評估�����,實務界尚未形成較統一的做法��。
《個人信息保護法》第二十六條規定��,在公共場所安裝圖像采集����、個人身份識別設備�,應當為維護公共安全所必需�,遵守國家有關規定����,并設置顯著的提示標識��。對此��,郭春鎮表示�,目前對于何類主體有權在公共區域安裝視頻采集設備并沒有清晰的界定標準?���,F實中���,人臉識別技術常常應用在商場����、小區�、學校等公共場所���。在這些公共場所安裝人臉識別設備的前置合法性基礎為“為維護公共安全所必需”�����,但法律并沒有明確何為“為維護公共安全所必需”���,即無法準確界定有權主張基于維護公共安全所必需安裝人臉識別設備的主體范圍�����。
人臉識別應用需要更明確的合規指引
當前���,各地已陸續出臺人臉識別應用相關的地方性法律法規或者地方標準����、行業標準�。比如針對上述誰有權安裝人臉識別設備的問題�����,《北京市公共安全圖像信息系統管理辦法》中明確�,僅政府有權在公共場所設置圖像信息系統�,但《西安市公共安全視頻圖像信息系統管理辦法》則并未完全禁止除政府外的其他類型主體參與公共安全圖像信息系統建設和維護工作��。
郭春鎮表示�����,清晰界定個人信息保護法規定的“為維護公共安全所必需”范圍���,牽涉到各類主體在公共區域安裝人臉識別設備采集個人信息的合法性基礎�����。他建議���,在立法層面�����,對“為維護公共安全所必需”進一步界定�����,即盡快明確在公共區域內安裝圖像采集���、人臉識別設備的適格主體范圍��?�?梢钥紤]參考《西安市公共安全視頻圖像信息系統管理辦法》����,對不同類型的公共區域設置不同的人臉識別設備安裝義務主體�����。同時����,還需要做好法律規定與現實狀況的銜接過渡���,如針對已經存在的由不適格主體安裝的人臉識別設備�,應當明確以何種方式納入公共安全治理的法定范圍等�。
張繼紅表示���,此次《征求意見稿》屬于推薦性地方標準�����,遵循風險動態治理理念�,具有較強的前瞻性與實用性����。不過�,受限于分類分級應用這一主題��,無法對實踐中法律適用問題進行全面回應���,國家標準����、行業標準以及地方標準���、團體標準可以在充分了解企業數據合規需求的前提下就場景合規重點�����、難點作出細化規定���,為企業提供更明確的合規指引�����。
“此次����,上海發布的《征求意見稿》對不同人臉識別技術應用場景和領域進行了區分���,在此基礎上���,從應用目的風險���、底庫規模風險�����、覆蓋密度風險����、管理水平風險和網絡環境風險五個方面建立了人臉識別應用的風險等級評估機制����,設置了完善的風險等級評估流程��,這為不同場景下的人臉識別技術應用提供了有效的基于風險因素識別的義務主體劃分依據�����,也能為公共場所人臉識別技術應用在不同場景下的告知義務的設置提供有效的參考指引�?����;诖?��,可以考慮允許人臉識別信息處理者履行同步告知����、事后告知義務�����。”郭春鎮說����。
(廣東北源律師事務所律師侯天賜���、廈門大學法學院博士研究生張榮義對本稿亦有貢獻)
來源:民主與法制社
聲明:本網站部分的文章�、圖片及材料來源于互聯網����,如有侵權請聯系撤刪���,謝謝!
相關了解:一臉通 人臉識別一卡通人臉一卡通系統
感謝您的關注�,詳細產品內容���,可撥打北京慧美鑫業科技有限公司客服電話:010-64484490進行資詢��。更多資訊�����,敬請掃碼關注我公司微信公眾號:
