Expert Interpretation: Regulating the Application of Facial Recognition Technology to Effectively Safeguard Facial Information Security

人脸信息安全关系数据安全和广大人民群众切身利益。党的二十届三中全会通过的《中共中央关于进一步全面深化改革 推进中国式现代化的决定》明确提出了“提升数据安全治理监管能力”的要求。近日，国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》（以下简称《办法》）。《办法》的出台，对我国规范应用人脸识别技术处理人脸信息活动，强化个人信息权益保护具有重要意义。<br> 一、落实法律法规制度设计，完善个人信息保护制度体系<br> 当前，人脸识别技术在安防、金融、医疗、教育等事关国家安全和国计民生领域的应用场景持续拓展，人脸信息安全问题得到了广泛关注，亟需通过合理的监管措施来实现技术创新、数据安全和公民权益保护之间的有效平衡。我国《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律、行政法规相继出台，为我国网络数据安全及人脸识别技术的合规应用提供了制度保障和实施路径。《办法》作为上述法律、行政法规的配套规章，明确了人脸识别技术应用的具体要求，是对上位法中关于个人信息处理原则的具体细化落实，增强了法律法规的可操作性和执行力，有利于保障新技术合规应用，提升个人信息保护水平，对于进一步完善个人信息保护制度体系具有重要意义。<br> 二、规范人脸识别技术应用，推动人脸识别技术健康发展<br> 规范技术应用是推动新技术高质量发展、形成新质生产力的关键环节。《办法》为人脸识别技术应用设立了规范性要求，促使个人信息处理者在追求经济效益的同时，兼顾社会效益，履行社会责任，推动行业规范化发展。特别值得注意的是，《办法》规定在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的，不适用本办法的规定，妥善处理了发展与安全的关系，在严格规范技术应用的同时，促进人脸识别技术创新，为技术的长远发展提供了重要保障。<br> 三、明确人脸识别技术应用规范，筑牢个人信息保护屏障<br> （一）明确人脸识别技术应用基本原则<br> 《办法》明确了人脸识别技术应用的基本原则。一是合法合理原则。《办法》首先强调应用人脸识别技术处理人脸信息活动，应当遵守法律法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行个人信息保护义务，承担社会责任，不得危害国家安全、损害公共利益、侵害个人合法权益。体现了人脸识别技术应用的合法性与合理性要求，更是应用人脸识别技术不可动摇的前提和基础。二是最小必要原则。《办法》强调应用人脸识别技术处理人脸信息，应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格保护措施。三是单独同意原则。《办法》规定基于个人同意处理人脸信息的，应当取得个人在充分知情的前提下自愿、明确作出的单独同意，与《个人信息保护法》规定的单独同意原则相衔接，进一步凸显了个人同意在人脸信息处理中的重要性。此外，《办法》还特别指出，基于个人同意处理不满十四周岁未成年人人脸信息的，应当取得未成年人的父母或者其他监护人的同意，以充分保护未成年人的合法权益。<br> （二）压实个人信息处理者主体责任<br> 根据《个人信息保护法》等相关法律法规，个人信息处理者必须依法处理个人信息，保障个人信息的安全、准确、完整。在处理人脸信息这一敏感个人信息时，个人信息处理者的责任尤为重要。《办法》强化了个人信息处理者在人脸信息各个处理环节的责任义务。要求个人信息处理者在处理人脸信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人履行告知义务。要求个人信息处理者事前进行个人信息保护影响评估，并对处理情况进行记录，就评估内容作出细化规定。同时，《办法》明确，违反本办法规定的，个人信息处理者将依法承担法律责任。<br> （三）建立应用人脸识别技术处理人脸信息备案制度<br> 《办法》要求个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续，并对备案材料作出了具体规定。备案制度将有利于促进人脸识别技术的应用符合法律法规的要求，并便于相关部门进行必要的监管。<br> （四）规范典型场景人脸识别技术应用要求<br> 《办法》明确了人脸识别技术在典型场景下的特别应用要求。规定在公共场所安装人脸识别设备，应当为维护公共安全所必需，依法合理确定人脸信息采集区域，并设置显著提示标识。此外，任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备，从而保护个人的隐私权不受侵犯。<br> 《办法》是我国个人信息保护立法的又一重要成果，有效回应了当前人脸识别技术应用带来的实践挑战。未来，随着《办法》的施行，人脸识别新技术的健康发展将得到更有力的支撑，我国个人信息保护工作也将迈向更高水平。（作者：李慧颖 国家工业信息安全发展研究中心知识产权所所长）