4月23日,《信息安全技术 人脸识别数据安全要求》国家标准(征求意见稿)(以下简称“征求意见稿”)面向社会公开征求意见,该征求意见稿由国家市场监督管理总局和国家标准化管理委员会联合发布。近年来,人脸识别在社会治理、金融支付、客运交通、医疗服务、企业管理等各领域的应用日益广泛,在取得巨大社会正效应的同时,也在人脸数据采集、存储、使用、交易等方面存在诸多问题,受到社会普遍关注。征求意见稿的出台,从人脸识别技术应用各环节提出标准化要求,顺应了社情民意,将有利于推动人脸识别安全、有序、健康、可持续发展,更好服务于经济、社会、民生。
人脸数据删除路径得到明确,数据控制者强势地位有望改观
人脸数据一旦被采集就很难彻底删除,这是舆论关切的一大顽疾。就此,征求意见稿给出了多项数据删除类标准。例如数据主体明示停止使用功能、服务,或撤回授权的,数据控制者应删除人脸识别数据或进行匿名化处理。数据控制者还应在完成验证或辨识后立即删除人脸图像。同时,除数据主体单独书面授权同意的以外,数据控制者不应存储人脸图像。
对于人脸数据的所有权问题,当前已有一些原则性规定。《民法典》第一百一十一条指出:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”此次征求意见稿明确了人脸数据的删除原则和路径,弥补了相关法律落地性空白,将有利于公众更好地主张人脸数据权益,保护个人隐私。4月26日,《个人信息保护法(草案)》被提请全国人大常委会二次审议,该草案提出“应当为个人提供便捷的撤回同意的方式”,并明确个人在个人信息处理活动中的各项权利,包括知情权、决定权、查询权、更正权、删除权等。征求意见稿的相关规定与上述法律草案精神相一致。
未来,随着相关法律规定的出台和落地实施,人脸数据的个人主体所有权性质将得到明确,非法收集、过度收集、强制收集人脸数据现象将受到法律约束,人脸数据维权将得到更多法律支持,有利于改变数据控制者单方面的强势地位,维护个人数据权益。
数据控制者强势地位有所节制,机场等将保持现有认证方式
随着国家对个人数据采集和使用等方面治理力度的不断加大,数据控制者对数据主体人脸数据采集普遍采取了“告知-同意-收集”原则,但在很多场景中数据控制者都处于强势地位,数据主体难以真正做到拒绝收集。就此,征求意见稿明确:开展人脸验证或人脸辨识时,“应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用”,“不应因数据主体不同意收集人脸识别数据而拒绝数据主体使用基本业务功能”。
当前,强制或滥用人脸识别的情况时有发生。今年4月9日,全国“人脸识别第一案”迎来终审判决。据相关报道,原告郭兵因不满动物园将入园方式由指纹识别变更为人脸识别,且不允许未进行人脸识别激活的客户使用指纹识别正常入园,将野生动物世界告上法庭。杭州中院最终判决野生动物世界赔偿郭兵1038元,同时要求野生动物世界删除郭兵面部特征信息和指纹识别信息。律师陈一来认为:“这个判决具有指导性意义,提醒每一个企业在收集公民的脸部识别、指纹等一系列生物识别信息的时候必须严格按照法律规定。同时,要采取严格有力的措施来保障这些生物信息的安全,不至于被盗用、被泄露。”今年的“央视3.15晚会”点名曝光了多家知名商店安装了人脸识别摄像头,并且未经同意收集消费者人脸数据,存在泄露个人信息数据、支付密码风险,威胁用户财产安全。
征求意见稿就此作出相关规定,将有利于节制数据控制者的强势地位,为提升数据主体与数据控制者的对话能力提供了重要依据。与此同时,征求意见稿也提出,“非人脸识别方式安全性或便捷性显著低于人脸识别方式”是开展人脸验证或人脸辨识的重要前提,如机场、火车站进行人证比对时,使用人脸识别以外的身份识别方式会导致相关服务便捷性的明显下降。未来,此类对公共安全及便捷性要求较高的场景,将保持现有的认证方式。
征求意见稿提出:“原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。”2020年10月形成的未成年人保护法修订草案三次审议稿提出:“处理不满十四周岁未成年人个人信息,应当征得其父母或者其他监护人同意。”征求意见稿提出的方案与上述未成年人保护法修订草案审议稿相呼应,旨在进一步加强对未成年人个人信息的保护。
近年来,未成年人上网成为普遍现象。共青团中央维护青少年权益部、中国互联网络信息中心联合发布的《2019年全国未成年人互联网使用情况研究报告》显示,2019年我国未成年网民规模为1.75亿,未成年人互联网普及率达到93.1%,听音乐和玩游戏是主要网上休闲娱乐活动,分别占54.1%和56.7%,看短视频的占比38.3%。未成年人沉迷游戏、过度消费现象受到舆论关注,一些游戏企业就此应用人脸识别技术助力防范,例如未成年人登录游戏需经过人脸识别认证等。但是此举也涉嫌侵犯未成年人隐私信息问题,特别是一旦出现信息泄露,则可能对未成年人的名誉、心理、财产等方面产生不良影响,应当审慎使用。
随着征求意见稿的发布,未来人脸识别技术应用于未成年人的现象或将受到抑制,如何通过其他方式更加便利快捷地实现未成年人身份识别,例如如何防止未成年人沉迷网络游戏,如何更好实现远程教学实名认证等,将是摆在各方面前的重要课题,需要更加切实有效的新解决方案。
人脸数据出境管理明确基本原则,相关立法进程亟待加快
人脸数据出境不仅关系到公民个人隐私泄露问题,而且关乎国家信息安全,《网络安全法》对此有明确规定。《个人信息保护法(草案)》则明确了个人信息跨境提供的四项规则,例如依法通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方订立合同以及其他条件等。
征求意见稿提出:“在我国境内收集或产生的人脸识别数据应在境内存储。因业务需要确需出境的,应按照个人信息出境相关规定进行安全评估。”该规定与上述法规一脉相承,明确了人脸识别数据出境的基本原则。根据2019年6月,国家网信办发布的《个人信息出境安全评估办法(征求意见稿)》相关规定精神,包括人脸识别在内的个人信息出境安全评估重点评估以下内容:是否符合国家有关法律法规和政策规定;合同条款是否能够充分保障个人信息主体合法权益;合同能否得到有效执行;网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件;网络运营者获得个人信息是否合法、正当;其他应当评估的内容。
随着中外信息技术等领域的互动合作日益频繁,包括人脸数据在内的数据出境问题变得日益迫切,个人信息和重要数据出境安全评估办法、评估标准等相关立法进程亟待加快推进,以更好保障数据跨境流动中的个人信息安全,并推动中外信息技术交流合作。
责编:梅亚川
首页
