【专栏】人脸识别新规酝酿，合规如何“快人一步”？

作者 | 肖飒团队 来源 | 零壹财经专栏

在现在的生活中，人脸识别技术的场景随处可见，无论是常规的酒店入住，还是现在流行的人脸识别登录等场景，都用到了人脸识别技术，但很长时间以来，对于何种情况下能够采用人脸识别技术、采用人脸识别技术又应当遵循哪些规范，这一类问题法律是缺乏回应的。而随着《数据安全法》《个人信息保护法》的相继出台，同时涉及数据和个人信息的人脸识别技术又一次站在了风口浪尖。

而就在本月的8号，国家网信办对外发布了《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（下称《人脸识别规定》），并公开征求意见。《人脸识别规定》实质上回应了前述疑问，同时也为大家展现了解决的方案。尽管《人脸识别规定》并未作出章节的划分，但可以将其内容大致分为四部分，即总则性规定（第1-5条）、应用场景及规范（第6-14条）、使用规范（第15-20条）和最后的监督管理及法律责任（第21-25条）。飒姐团队今日文章便为大家简单讲解一下其中的要点。

对于人脸识别技术的应用原则，《人脸识别规定》将其规定在了第一部分之中，要求使用者“遵守法律法规，遵守公共秩序，尊重社会公德，承担社会责任，履行个人信息保护义务，不得利用人脸识别技术从事危害国家安全、损害公共利益、扰乱社会秩序、侵害个人和组织合法权益等法律法规禁止的活动”。

在该部分最值得关注的，是第四条的规定。根据《人脸识别规定》第四条的规定内容，使用人脸识别技术来处理人脸信息需要受到严格的限制，只有在“具有特定的目的和充分的必要性，并采取严格保护措施的情形下”才能使用，这也符合《个人信息保护法》中对于处理敏感个人信息的规定；同时若此种情况下存在其他非生物特征识别技术方案的，还应当优先选择非生物特征识别技术方案。这体现出了人脸识别技术在用于处理人脸信息时的“非必要不使用”的特点。

此外，对于使用人脸识别技术验证个人身份、辨识特定自然人的情形，新规虽然没有进行严格的限制，但仍然鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。

可以预见，若新规正式出台，以往使用人脸识别技术处理人脸信息或是识别个人的场景未必能够继续使用该技术进行处理，此类场景的适用范围必将极度缩减。

尽管对人脸识别技术的使用进行了相应限制，但新规并没有完全禁止人脸识别技术的使用，其在第二部分详细列举了部分人脸识别技术的应用场景，并对各类应用场景的规范进行了一定明确。具体而言，其应用场景（包括不能应用及限制应用的场景和特殊情况）及对应的注意规范如下：

（1）公共场所。安装相关设备应当为维护公共安全所必需，且必须遵守国家有关规定，设置显著提示标识。同时有关单位必须对获取的信息进行保密，该等信息只能用于维护公共安全的目的，不得用于其他目的（取得个人单独同意的除外）。

（2）组织机构内部。组织机构为了实施内部管理，可以安装相应设备，但“应当根据实际需求合理确定图像信息采集区域，采取严格保护措施，防止违规查阅、复制、公开、对外提供、传播个人图像等行为，防止个人信息泄露、篡改、丢失或者被非法获取、非法利用。”

（3）经营场所（如宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等）。除非法律法规另有规定应当使用人脸识别技术，否则不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。如个人自愿选择使用人脸识别技术验证身份，应确保个人充分知情并在主动参与下进行，验证过程中应当以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的。

（4）用于出入物业管理区域时验证身份。物业服务企业等建筑物管理人不得以其为唯一方式，个人不同意的，应当提供其他合理、便捷的身份验证方式。

3、特殊情况

（1）远距离、无感式辨识特定自然人的情况。如在公共场所、经营场所进行，应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需，并由个人或者利害关系人主动提出。使用者应当将相关服务限定在最小必要的时间、地点或者人群范围内，不得关联与个人请求事项无直接必然相关的个人信息。

（2）分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息。只有在维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需，或者取得个人单独同意的情况下才能进行。

（3）涉及社会救助、不动产处分等个人重大利益的情况。不得使用人脸识别技术代替人工审核，该技术仅能作为辅助技术使用。

（4）处理不满十四周岁未成年人人脸信息的情况。应当取得未成年人的父母或者其他监护人的单独同意或者书面同意。

以上规定基本涵盖了人脸识别技术应用的各类场景，各大使用者只要遵守前述规定，就能够有效避免法律风险。

除去对各种场景及情况的特殊要求之外，根据《人脸识别规定》，人脸识别技术的使用者还应遵守一定的使用规范。

1、进行个人信息保护影响评估的义务。若使用人脸识别技术处理人脸信息，使用者必须事前进行评估（具体内容见《人脸识别规定》第15条规定），并对处理情况进行记录。该评估报告至少保存三年，且在处理人脸信息的目的、方式发生变化，或者发生重大安全事件时必须重新进行评估。

2、向所属地市级以上网信部门备案的义务。在公共场所使用人脸识别技术，或者存储超过1万人人脸信息，那么使用者必须在30个工作日内进行备案。而在备案信息发生实质性变更或者终止人脸识别技术使用的，都应办理相关的备案手续。

3、面向社会公众提供人脸识别技术服务的，相关技术系统应当符合网络安全等级保护第三级以上保护要求，并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。

4、应及时删除或进行匿名化处理的义务。除法定条件或者取得个人单独同意外，使用者不得保存人脸原始图像、图片、视频，经过匿名化处理的人脸信息除外。同时，使用者应当尽量避免采集与提供服务无关的人脸信息，无法避免的，应当及时删除或者进行匿名化处理。

5、进行风险监测评估的义务。人脸识别技术使用者应当每年对图像采.集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估，并根据检测评估情况改进安全策略，调整置信度阈值，采取有效措施保护图像采.集设备、个人身份识别设备免受攻击、侵入、干.扰和破坏。

值得注意的是，《人脸识别规定》并未单独地对违反前述规定的各项行为设置处罚措施，而是指出有关部门可以依据其他上位法的规定进行处罚。但无论如何，即便该规定仅仅只是征求意见稿，但已经表明了未来很长一段时间内监管机关的监管政策以及监管方向，采用人脸识别技术的企业必须足够谨慎，提前做好合规准备，才能够在政策实施后平稳过渡、合法经营。