人臉識別須當事人同意 網信辦擬禁賓館銀行強制人臉驗證

(大公報 記者 趙一存)為規範人臉識別技術應用,國家互聯網信息辦公室8日發布《人臉識別技術應用安全管理規定(試行)(徵求意見稿)》,向社會公開徵求意見。徵求意見稿提出,使用人臉識別技術應取得個人同意,賓館、銀行等經營場所不得強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。此外,公共場合使用或存儲超1萬人臉信息,須向所屬地市級以上網信部門備案。內地信息安全及法律專家呼籲民眾要提高警惕,防止被騙也要防止犯罪。

徵求意見稿指出,使用人臉識別技術應當遵守法律法規,遵守公共秩序,尊重社會公德,承擔社會責任,履行個人信息保護義務,不得利用人臉識別技術從事危害國家安全、損害公共利益、擾亂社會秩序、侵害個人和組織合法權益等法律法規禁止的活動。

徵求意見稿還提出,使用人臉識別技術處理人臉信息,應當取得個人的單獨同意或者依法取得書面同意。在公共場所、經營場所使用人臉識別技術遠距離、無感式辨識特定自然人,應當為維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產安全所必需,並由個人或者利害關係人主動提出。此外,只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,方可使用人臉識別技術處理人臉信息。

應優先選擇非生物特徵識別方案

「實現相同目的或者達到同等業務要求,存在其他非生物特徵識別技術方案的,應當優先選擇非生物特徵識別技術方案。」徵求意見稿明確,使用人臉識別技術驗證個人身份、辨識特定自然人的,鼓勵優先使用國家人口基礎信息庫、國家網絡身份認證公共服務等權威渠道。

同時,使用人臉識別技術處理人臉信息應當取得個人的單獨同意或者依法取得書面同意。在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,設置顯著提示標識。賓館、銀行、車站、體育場館、博物館等經營場所,除法律、行政法規規定應當使用人臉識別技術驗證個人身份的,不得以辦理業務、提升服務質量等為由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。

徵求意見稿強調,個人自願選擇使用人臉識別技術驗證個人身份的,應當確保個人充分知情並在個人主動參與的情況下進行,驗證過程中應當以清晰易懂的語音或者文字等方式即時明確提示身份驗證的目的。除法定條件或者取得個人單獨同意外,人臉識別技術使用者不得保存人臉原始圖像、圖片、視頻,經過匿名化處理的人臉信息除外。

不得藉以分析個人種族信仰等

此外,徵求意見稿還提出,除維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產安全所必需,或者取得個人單獨同意外,任何組織或者個人不得利用人臉識別技術分析個人種族、民族、宗教信仰、健康狀況、社會階層等敏感個人信息。涉及社會救助、不動產處分等個人重大利益的,不得使用人臉識別技術替代人工審核個人身份,人臉識別技術可以作為驗證個人身份的輔助手段。

徵求意見稿還提出,按照國家有關規定列入網絡關鍵設備和網絡安全專用產品目錄的圖像採集設備、個人身份識別設備,應當按照相關國家標準的強制性要求,由具備資格的機構認證合格或者檢測符合要求後,方可銷售或者提供。

根據徵求意見稿,人臉識別技術使用者處理人臉信息,應當事前進行個人信息保護影響評估(詳見表)。

個人信息保護影響評估內容

❶是否符合法律、行政法規的規定和國家標準的強制性要求,是否符合倫理道德;

❷處理人臉信息是否具有特定的目的和充分的必要性;

❸是否限於實現目的所必需的準度、精度及距離要求;

❹採取的保護措施是否合法有效並與風險程度相適應;

❺發生或者可能發生人臉信息洩露、篡改、丟失、毀損或者被非法獲取、非法利用的風險以及可能造成的危害;

❻可能對個人權益帶來的損害和影響,以及降低不利影響的措施是否有效。

儲存逾萬人人臉信息須備案

目前內地不少幼兒園或中小學校採用人臉識別技術作安檢。

對於未成年人,國家互聯網信息辦公室8日發布的《人臉識別技術應用安全管理規定(試行)(徵求意見稿)》明確,人臉識別技術使用者處理不滿十四周歲未成年人人臉信息的,應當取得未成年人的父母或者其他監護人的單獨同意或者書面同意。未成年人的父母或者其他監護人應當正確履行監護職責,教育引導不滿十四周歲未成年人增強個人信息保護意識和能力。

在公共場所使用人臉識別技術,或者存儲超過1萬人人臉信息的人臉識別技術使用者,應當在30個工作日內向所屬地市級以上網信部門備案。網信部門會同電信主管部門、公安機關、市場監管部門等有關部門依據職責,加強對人臉識別技術使用的監督檢查,指導督促人臉識別技術使用者履行備案手續,及時發現安全隱患並督促限期整改。

(來源:大公報A11:內地 2023/08/09)