人臉識別技術，是指通過對人臉信息的自動化處理，實現驗證個人身份、辨識特定自然人或者預測分析個人特征等目的的技術。伴隨數字化的普及與應用，人臉識別技術越發成熟，現已拓展至刷臉支付、門禁考勤、鐵路驗票、治安管理等多個具體應用場景。這項技術在顯著提升生活便利度的同時，也引發了來源多樣、程度深刻的潛在安全風險。

(資料圖)

日前，為規范人臉識別技術應用，國家網信辦關于《人臉識別技術應用安全管理規定（試行）（征求意見稿）》（下稱《征求意見稿》）向社會公開征求意見。《征求意見稿》立足于“人臉識別技術的具體應用”的安全管理，從保障個人權利、強化使用者責任、科學設定監管等層面對人臉識別技術使用、人臉信息的采集、使用、處理、儲存等全流程、全周期做出了詳細規定，為保護個人權益、維護公共利益指明了方向，具有十分重要的意義。

保障權利：夯實個人信息保護框架

人臉識別信息屬于個人敏感信息，不僅涵蓋了“人臉”的人格利益，而且還體現了“數據”的財產價值，具有內容豐富性、高度敏感性、難以保護性及強社交屬性等特征。因此，如果對人臉識別信息的收集、分析和使用超越了個人同意的場景，則極有可能會對信息主體的人格、財產甚至人身安全造成損害。《征求意見稿》則從個人權利角度對人臉識別信息施以了更加具有針對性的保護措施，將處理生物識別信息活動納入了法治化、規范化軌道。

第一，《征求意見稿》貫徹“非必要不使用”原則，對于人臉信息的采集進行嚴格控制，最大限度地尊重了個人用戶的各項數據權利。《個人信息保護法》規定，處理個人信息應當遵循合法、正當、必要和誠信原則，處理個人信息應當采取對個人權益影響最小的方式。《征求意見稿》第四條明確規定：“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可使用人臉識別技術處理人臉信息。”為更好地保護個人信息，嚴格控制采集信息的使用范圍，是人臉識別技術使用的首要原則。

第二，《征求意見稿》有助于推動數據規則的構建，完善用戶同意規則體系，將場景理論引入人臉識別信息保護的同意規則之中。此前，我國對于人臉識別信息的保護一直停留在靜態的知情同意階段，難以有效協調人臉識別信息保護與利用之間的利益沖突，無法從根本上解決同意困境。《征求意見稿》則嚴格保證了信息主體知情權，第五條規定，使用人臉識別技術處理人臉信息應當取得個人的單獨同意或者依法取得書面同意。

《征求意見稿》還立足于“人臉識別技術的具體應用”的安全管理，其中第六條、第七條、第八條針對“旅館客房、公共浴室、更衣室、衛生間及其他可能侵害他人隱私的場所”“公共場所”“為實施內部管理的組織機構”“賓館、銀行、車站、機場、體育場館、展覽館、博物館、美術館、圖書館等經營場所”分別制定了專門治理規則，及時回應了公眾關切，有助于保護個人信息權益及其他人身和財產權益，維護社會秩序和公共安全。

第三，《征求意見稿》凸顯了信息身份保護的理念，充分保障人民群眾對于人臉信息使用的人格權與數據用益權，改變了用戶在數據管理中的弱勢地位。《征求意見稿》第九條規定，個人自愿選擇使用人臉識別技術驗證個人身份的，應當確保個人充分知情并在個人主動參與的情況下進行，驗證過程中應當以清晰易懂的語音或者文字等方式即時明確提示身份驗證的目的。第十三條更是規定了未成年人收集人臉要監護人單獨同意，對未成年人的特殊處理，這些都進一步保障了公眾的“數據人權”，助益各方準確理解和把握人臉信息技術使用必須達到的合規水準。

規范責任：強化使用者主體責任意識

安全是發展的前提，人臉識別作為科技進步改變生活的生動案例，從技術角度而言，固然具有無可比擬的精準性和便捷性，但從安全角度來看，其并不是適合優先選擇的技術方案。企業出于商業利益追求信息收集的方便快捷，而公眾看重和在意的則是安全，安全也是國家監管和立法層面的遵循。人臉識別信息能不能使用、如何使用，都必須在制度的框架內進行，切不能讓企業收集利益和方便考量，凌駕于個人的信息安全之上。

企業作為生產經營活動的主體，在經濟社會中承擔著法律賦予的第一責任人的義務。落實企業主體責任，是安全治理、秩序維護之本。為了社會更好的發展，《征求意見稿》重視人臉識別技術的安全應用，強調人臉識別技術應用中法律治理和倫理治理的統一。不管是以何種手段來收集個人信息，都應該是以讓渡個人信息的個體為本位，而不是以企業收集和使用的需求為本位，讓人臉識別技術真正便民、利民、護民。

首先，《征求意見稿》完善有效法律法規，強化有效制度設計，嚴格劃定了人臉識別技術應用紅線。企業要實現有效自律，一般需要以一定的外部壓力為條件，這種外部壓力主要來自法律的威懾。《征求意見稿》第三條嚴格要求使用人臉識別技術遵守法律法規，不得利用人臉識別技術從事危害國家安全、損害公共利益、擾亂社會秩序、侵害個人和組織合法權益等法律法規禁止的活動等。

其中，《征求意見稿》第九條更是從企業層面明確規定，“不得以辦理業務、提升服務質量等為由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份”，并貫徹告知與選擇機制，有意通過《征求意見稿》改變用戶在數據管理中的弱勢地位，強化隱私保護的技術手段。同時，《征求意見稿》在懲戒措施層面，不只體現在對企業的經濟處罰，構成犯罪的，要求依法追究刑事責任，并通過法律手段，進一步調動全社會的監管資源，逐步形成社會共治格局，督促企業落實主體責任。

其次，在部分特定場景中，《征求意見稿》將人臉識別技術應用從主位移至輔位，遵循“以人工審核為基礎，以人臉識別驗證作為輔助”的規則，不斷提升人臉識別信息采集、處理與使用的透明度。《征求意見稿》第十二條對于“涉及社會救助、不動產處分等個人重大利益的”場景，要求不得使用人臉識別技術替代人工審核個人身份，并表示只可作為驗證身份的輔助手段。第十四條規定，物業服務企業等建筑物管理人不得將使用人臉識別技術驗證個人身份作為出入物業管理區域的唯一方式，個人如果不同意通過人臉信息進行驗證，物業服務企業等建筑物管理人應當提供其他合理、便捷的驗證方式。

可見，《征求意見稿》通過強制性和義務性規定，對企業使用人臉識別技術、采集人臉信息進行了嚴格限制。實際上，這是通過構建“有所為、有所不為”的規則體系，進一步強化企業和公眾用戶之間的信任關系。這不僅有利于對個人信息與隱私實行最大限度的保護，而且通過安全、規范的制度構建可切實促進用戶的信息披露意愿，有助于企業合規運營，行穩致遠。

科學監管：筑牢數據信息安全屏障

目前，五花八門的人臉識別應用已經在社會生活中逐步普及，相關政策制度的完善，不僅是對違規行為的一種預防，更是立足于對業已出現的亂象作出更有力的規制和糾偏。為了更好規范人臉識別技術的應用，須不斷強化與完善科學監管，筑牢數據信息的安全防線。《征求意見稿》從事前加強個人信息保護影響評估，事中事后強化和完善監督執行，改進安全策略等全周期監管上，不斷調整人臉識別技術應用的置信度閾值。

第一，《征求意見稿》與《個人信息保護法》要求“在處理敏感個人信息前進行個人信息保護影響評估”的規定相銜接，將個人信息保護影響評估作為使用人臉識別技術應用的前置性條件。同時，監管部門對人臉識別技術應用采取審慎嚴謹的態度，要求個人信息保護影響評估報告應當至少保存三年。處理人臉信息的目的、方式發生變化，或者發生重大安全事件的，人臉識別技術使用者應當重新進行個人信息保護影響評估。此外，新規亦規定了針對圖像采集設備、個人身份識別設備的安全性和潛在風險進行年度檢測評估的義務，也需要對應關注。

第二，《征求意見稿》強調了信息備案的重要性，針對人臉識別技術的“線上使用者”“線下使用者”進行分類規定，強化各方主體義務。信息備案的義務主體是“人臉識別使用者”，而不是“技術提供方”，備案主體涉及范圍較大，包括在公共場所使用人臉識別技術，或者存儲超過1萬人人臉信息的所有人臉識別技術使用者。加之備案內容較為詳細豐富，涉及人臉識別技術使用者及其個人信息保護負責人的基本情況、處理人臉信息的必要性說明、人臉信息的處理目的、處理方式和安全保護措施、人臉信息的處理規則和操作規程、個人信息保護影響評估報告以及網信部門認為需要提供的其他材料。

第三，《征求意見稿》在監管層面針對面向社會公眾提供人臉識別技術服務者提出了嚴格規定，從技術安全等多個角度筑牢數據信息安全防線。人臉識別服務提供者就是“技術服務商”，是給市場主體提供人臉識別技術部署或接口的主體。《征求意見稿》從優選官方數據庫、網絡安全等級保護第三級以上保護要求、關鍵產品目錄等三個方面對人臉識別技術服務進行了限定，要求相關技術系統需符合，并采取數據加密、安全審計、訪問控制、授權管理、入侵檢測和防御等措施保護人臉信息安全。

（作者系南開大學競爭法研究中心主任、法學院副院長、教授，南開大學數字經濟交叉科學中心研究員）