M ay 05 2021 245法治天地Regulation I
■杨婕丨文
从杭州一动物园强制游客入园刷脸而被起诉,到小学生打印父母照片即可打开快递柜,再到央视
报道花2元就能买上千张人脸照片,引发了社会各界对于人脸识别技术的担忧。如何平衡人脸识别技 术应用与安全风险成为了亟待解决的难题,有必要结合国外经验,寻适合我国社会经济发展的人脸
识别应用法律规制路径。为此,建议下一步在规制人脸识别技术应用的过程中,严格划定统一适用的
个人信息安全底线,区分场景设定差异化的制度设计,加快构建人脸识别技术应用监管体系,以及助
推行业自律规范落地,建立内生机制。
人皞i只剀应甩场-广泛信风^不替,」、_
人脸识别是指对静态或视频中的人脸图像进行 特征提取、分类识别,以达到身份鉴别目的的技术。由于
自身具有的自然性、便捷性、非接触性、可拓展性等特性,人脸识别技术已被广泛应用于安防、教育、金融、交通和智慧园区等领域,实现身份认证、消费支付、门禁控制、考勤管理等功能,极大地便 利了人们曰常生活,提高了社会管理效率。但随着 人脸识别应用场景的不断拓展,相关安全风险也随 之暴露。
中国电侑处7
1
法洽天地
Regulation
人脸数据具有很高的经济价值,被恶意盗取、泄 溪的现象突出,很容易被用于电信、、申请 信用贷款等严害公民权益的犯罪行为中。而且人 脸数据唯一性且不可更改,使得其一旦被泄南, 将造成更为严重的后果。
人脸识别技术存在被滥用现象
从上班打卡到酒店入住、从消费支付到安全检 查,从医院挂号到进入小区,人脸识别技术正在被 广泛且未经充分质证必要性地应用于生活的方方面 面,呈现出“遍地幵花”的趋势。例如,清华大学 教授劳东燕公开反对小区安装人脸识别门禁;浙江 理工大学副教授郭兵向法院起诉杭州野生动物园强 制游客刷脸进园。
人脸识别技术安全性不足
由于缺乏统一的行业标准,以及技术开发商、运 营商考虑到成本与技术保密等因素,应用于不同场景 的人脸识别技术的安全性其实也参差不齐,导致一些 人脸识别应用经常被“以假乱真”的人脸照片、3D 模型破解。
国内外g 用规制的比较
国外a 于政治因素和社会文化的考m ,对人脸识 别技术的规制较为严厉。而我国人脸识别技术应用还 在发展的初级阶段,法律规制较为薄弱。
国外经验
目前,对人脸识别技术的应用国外主要形成了“禁 止使用” “a 于公共利益的正当使用”以及“严格限 制使用”三种法律规制模式。 禁止使用模式
禁止使用模式是指,禁止主体使用人脸识别 技术。以美国为例,美国虽然在联邦层面上没有统 一的规范人脸识别应用的立法,但是部分州市出台 立法禁止公权力机关使用人脸识别技术。例如,自 2019年5月以来,美国旧金山、萨默维尔市和奥克 兰市相继出台立法,全面禁止当地警方和市政部门 使用人脸识别技术。
交聘基于公共利益的正当使用模式
淮南师范学院学报基于公共利益的正当使用是指,在使用人脸识别
72
中n 电信业
CHINA TELECOMMUNICATIONS
TRADE
法治天地Regulation
技术时必须基于实现公共利益的需要,且应合法正当 的使用。例如,美国华盛顿州于2020年3月颁布了《人 脸识别服务法》规定政府机构出于维护公共安全的目 的(识别失踪人员、确定死者身份)可以使用人脸识 别技术,但必须严格按照规范使用且需定期报告使用 情况,而且不得利用该技术对公民进行持续性监视、追踪或进行实时的身份识别。
严格限制使用模式
严格限制使用模式是指,对于使用人脸识别技术 收集人脸数据的行为进行严格限制。具体的限制要求 包括,收集前应征得个人的明示同意;处理人脸数据 时要遵循目的限制、敁小化、准确性、限期存储、完 整保密等要求。例如,欧盟《通用数据保护条例》将 人脸数据纳入个人数据的“特殊类别”,除非数据主 体明确同意,否则不彳!I处理该类数据。美国伊利诺伊 州的《生物信息隐私法》中规定,收集生物识别信息 前需通知个人;满足立法列举的特定情况才能出售、披需进行特殊的安个防护;仅限
于收集时的目的 才能留存;不必要时应删除、销毁等。
国内现况
我国目前虽然没f l出台专门针对人脸识别技术 的法律规范,但是采用国际通行做法,将人脸数据 划入敏感个人信息进行从严监管。《个人信息保护法(草案)》对敏感个人信息的内涵进行了界定,是指一旦泄露或者非法使用,可能导致个人受到歧 视或者人身、财产安全受到严重危害的个人信息,并列举了敏感个人信息的种类包括:种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。同时,也规定了敏感个人信息的 特殊处理要求,只有在具有特定目的和充分必要性 的情形下,才可以处理敏感个人信息,并且应当取 得个人的单独同意或者书面同意。
此外,《信息安全技术个人信息安全规范》对 敏感个人信息规定了更为细致的规制设计,包括明 确收集敏感个人信息,应获得个人信息主体的明示 同意;传输、存储敏感个人信息,应采用加密等安 全措施;共享、转让敏感个人信息,应告知个人信 息主体涉及的敏感个人信息的类型、数据接收方的 身份和数据安全能力,并事先征得个人信息主体的 明示同意。
国外对人脸识别技术进行®点规制主要是出于政治诉求和社会背景的考虑。一方面,担心政府通过 人脸识别技术对公众进行监控,《犯公民隐私权和影 响公民自由。另一方面,人脸识别技术引发的种族和 性别歧视是一些政府禁止政府部门使用人脸识别技术 的原因。例如,《纽约时报》报道,IB M、微
软的人 脸识别技术对女性的识别错误率0于男性,针对黑人 女性的识别错误率高达35%。就我国而言,公众对 政府的信任感以及对隐私保护理念,不同体所面临 的社会环境,与国外是存在差异的。因此,我国人脸 识别技术的治理方案应充分结合我国的国情、社情,在引进相关制度时需要审慎甑别,明晰人脸识别技术 的应用边界,实现便捷生活、政府管理以及权益保护 之间的有机平衡。
思考和建议
规制人脸识别技术的目的,不是一刀切地禁止使 用,而是要在确保安全的前提下,倡导负责任地使用。
中国电倌业
CHINA TELECOMMUNICATIONS TRADE
7
3
法治天地Regulation
为此,应当进一步完善人脸识别相关治理机制,回应 社会需求。
严格划定统一适用的个人信息安全底线
建议以《个人信息保护法(草案)》为契机,进一步明确各主体使用人脸识别技术的安全底线,具体包括:明确人脸技术使用的必要性和使用范围;人脸识别系统的安全性需经过第三方独立机构定期 检测;存储人脸数据必须对采取严格的加密处理和 技术安全保障;严格限定人脸数据的留存条件和留 存时间;建立数据泄露可追溯的责任链条;提供其 他替代性的验证机制;加强对于违法行为的法律责 任设置。
区分场景设定差异化的制度设计
—方面要解决人脸识别技术的共同性风险,另一 方面也要解决人脸识别在不同场景应用下的差异性问 题。建议各行业主管部门根据使用场景出台应用人脸 识别技术的实施细则,包括明确不同场景下应用人脸 识别技术的必要性、安全水平要求等具体问题。以必 要性标准为例,可以明确在金融支付这样“强认证”场景下,需要人脸识别完成精确的身份比对和验证,具备必要性;但在A P P登录、门禁打卡等“非强认证”场景下,必要性并不充分。
我们都来讲笑话加快构建人脸识别技术应用监管体系
2010年广东高考数学
鉴于人脸识别技术的运用风险等未知因素较多,监管机制应当是全流程、动态化的。一是以“评 估+清单”方式加强事前监管。监管机构可以委托 第三方专业机构,对使用人脸识别技术企业的安全
保护能力、应用必要性、数据处理目的、处理方式 等进行审查和评估,建立人脸识别技术应用“负面 清单”。二是强化事中事后监管,持续优化监管队伍,提高监管人员技术素养,对监管措施逬行规制影响 分析,完善数据安全事件处理机制,建立针对人脸 数据纠纷的申诉管理机制,对风险较大的企业进行 定期执法检查。
助推行业自律规范落地,建立内生机制
当代社会治理正走向网络化、多样化、自组织 的复杂科学管理范式,治理人脸识別技术亦是如此。通过制定自律规范,设定内化措施,可以降低国家 的监管成本保障科技创新,实现立法引导政府激励 为主,行业自律为辅的生物数据保护模式。建议建 立人脸识别技术企业联盟类组织,推动各利益相关 方共同制定收集使用人脸数据的行为准则和安全标 准,推广宣传相关最佳实践,提升人脸数据保护整 体水平。3D
作者单位:中国信息通信研究院互联网法律研究中心
74
汉日互译中国电
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议