Expert Interpretation: Strengthening the Legal Barrier for Facial Information Protection and Advancing Modernization of Data Security Governance Capabilities

随着人脸识别技术的快速发展和广泛应用，人脸识别技术在提升社会管理效率、增强安全保障等方面发挥了重要作用。然而，技术的滥用也带来了隐私泄露、数据安全等风险。近日，国家互联网信息办公室与公安部联合出台了《人脸识别技术应用安全管理办法》（以下简称《办法》），对人脸识别技术应用的范围和要求做出具体规定，对于有效保护个人信息权益，提升国家数据安全治理监管能力具有重要意义。<br> 一、《办法》突出问题导向，积极回应了社会关切<br> 《办法》以维护广大人民利益作为出发点和落脚点，对人脸识别技术使用中人民群众反映强烈、社会关注度高的问题，给出明确具体的回应，体现了鲜明的问题导向。<br> 针对强制使用人脸识别技术问题，例如国内某小区物业强制业主使用人脸识别技术作为唯一出入方式，某银行App强制人脸验证登录，某健身房强制会员刷脸入场等，《办法》确立非唯一验证原则，第十条明确规定“实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式”。同时，为了减少人脸信息收集、存储，第十一条明确规定“应用人脸识别技术验证个人身份、辨识特定个人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施，减少人脸信息收集、存储，保护人脸信息安全”。<br> 针对社会反映强烈的部分弱势群体的人脸信息权益受损的问题，例如国内某在线教育平台通过摄像头采集学生课堂表情数据用于“学习效果分析”，某保姆利用人脸识别技术诈骗老人等，《办法》第五条明确规定“处理残疾人、老年人人脸信息的，还应当符合国家有关无障碍环境建设的规定”，第七条明确要求“基于个人同意处理不满十四周岁未成年人人脸信息的，应当取得未成年人的父母或者其他监护人的同意”。<br> 针对社会广泛关注的公共场所、私密空间滥用人脸识别技术的问题，例如国内某酒店在客房内安装人脸识别门锁，《办法》第十三条明确规定“在公共场所安装人脸识别设备，应当为维护公共安全所必需，依法合理确定人脸信息采集区域，并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备”。<br> 二、《办法》坚持系统观念，全面覆盖了治理重点环节<br> 《办法》着眼人脸识别技术应用的全流程管理，明确了告知、评估、备案、处罚等重点环节的具体要求，环环相扣，层层递进，体现了立法的系统观念。<br> 在告知环节，《办法》第五条明确规定应用人脸识别技术处理人脸信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式，人脸信息的处理目的、处理方式以及保存期限、处理的必要性等等，要求应用人脸识别技术的主体必须履行告知义务，保障公众的知情权。同时第十三条明确规定，在公共场所安装人脸识别设备时，应当设置显著提示标识。<br> 在评估环节，《办法》第九条明确规定，个人信息处理者应用人脸识别技术处理人脸信息，应当事前进行个人信息保护影响评估，并对处理情况进行记录。个人信息保护影响评估主要包括处理人脸信息的处理目的、处理方式的合法性、正当性、必要性等，并要求评估报告和处理情况记录至少保存3年。<br> 在备案环节，《办法》第十五条明确规定，“个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续”。申请备案应当提交个人信息处理者的基本情况、人脸信息处理目的和处理方式、存储数量和安全保护措施、处理规则和操作规程、个人信息保护影响评估报告等材料。这不仅有助于监管部门掌握实际应用情况，也为后续监督检查提供了依据。<br> 在处罚环节，《办法》第十八条明确规定，“违反本办法规定的，依照有关法律、行政法规的规定处理；构成犯罪的，依法追究刑事责任”。<br> 三、《办法》注重落地见效，完整构筑了监管责任体系<br> 《办法》围绕落地实施的可操作性和实效性，针对监管部门、个人信息处理者、社会大众等，建立了主体明确、要求清晰、相互协作的责任体系，体现了科学立法的精神。<br> 首先，《办法》明确了有关部门的监管责任。《办法》第十六条规定“网信部门会同公安机关和其他履行个人信息保护职责的部门，建立健全信息共享和通报工作机制，协同开展相关工作”，第十七条规定“收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉人、举报人”。通过多部门的协同配合，形成了强有力的监管合力。<br> 其次，《办法》对个人信息处理者应承担的责任给出明确规定。前端设置告知同意规则，《办法》第六条明确规定，“基于个人同意处理人脸信息的，应当取得个人在充分知情的前提下自愿、明确作出的单独同意”；中端规定存储传输限制，《办法》第八条明确规定，“除法律、行政法规另有规定或者取得个人单独同意外，人脸信息应当存储于人脸识别设备内，不得通过互联网对外传输”；后端建立备案管理制度等。同时，要求个人信息处理者应当配合监管部门的监督检查。<br> 此外，《办法》还鼓励社会大众积极参与监管。《办法》第十七条明确规定，“任何组织、个人有权对违法应用人脸识别技术处理人脸信息的活动向履行个人信息保护职责的部门进行投诉、举报”。通过公众的广泛参与，形成社会共治的良好氛围。<br> 《办法》的出台，标志着我国在人脸识别技术应用管理方面迈出了重要一步，是我国个人信息保护历程中的里程碑，必将为提高我国个人信息保护水平、提升我国数据安全治理监管能力发挥重要作用。（作者：王志成 国家网信办数据与技术保障中心副主任）