一、立法背景
人脸具有独特性、直接识别性、方便性、不可更改性、变化性、易采集性、不可匿名性、多维性,这些特征也决定了人脸识别技术的特殊性和复杂性。作为一项新兴技术,人脸识别已经日渐广泛应用于多个领域,如上下班考勤、身份识别、智能交通以及执法办案等。越来越多的人脸识别场景深入到人们生活的方方面面,每天可能会有数以百万计的人脸数据被收集、使用、处理,而人脸信息一旦被非法窃用、或如此庞大且重要的数据库一旦出现问题,极可能引发公共安全和个人隐私被侵犯等众多方面的风险,危及公民人身与财产安全。
在法律规制方面,我国尚未有正式生效的人脸识别法律文件,更多是通过分散于不同的法律法规、司法解释、国家标准等规范性文件中的条款规定来约束人脸识别技术的使用,缺乏成体系的法律约束。例如,《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)虽然未提到处理人脸识别信息的要求,但是将生物识别信息(包含人脸识别信息)认定为敏感个人信息,从而规定只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,才可以进行处理。又例如,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《最高法规定》”)列明了八项违规处理人脸识别信息的行为,并明确了滥用人脸识别信息应当承担侵害自然人人格权益的民事责任,但并未就如何使用人脸识别技术处理人脸信息提供进一步的落地指导。此外,还有《信息安全技术 人脸识别数据安全要求》(GB/T 41819—2022)(以下简称“《人脸识别数据安全要求》”)《信息安全技术 生物特征识别信息保护基本要求》(GB/T 40660—2021)等国家标准文件对处理人脸识别信息提出了全生命周期各个环节的要求,虽然上述国家标准只具有推荐性的指引作用,并无法律强制力,但其已经成为企业开展人脸识别数据处理活动时的重要参考,和监管评价企业合规程度的尺标之一。
在此背景下,2023年8月8日国家互联网信息办公室发布了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称“《管理规定》”),面向社会征求反馈意见。该规定根据《中华人民共和国网络安全法》(以下简称“《网络安全法》”)《中华人民共和国数据安全法》(以下简称“《数据安全法》”)《个人信息保护法》等法律制定,旨在规范人脸识别技术应用,保护个人信息权益及其他人身和财产权益,维护社会秩序和公共安全。
相比于此前的《人脸识别数据安全要求》对人脸信息处理规则的详细规定,《管理规定》的落脚点更加宏观,适用范围也更广泛。具体而言,《管理规定》共二十五条,分别从适用范围、使用人脸识别技术的通用要求、特殊场所下使用人脸识别技术的要求、投诉举报、法律责任等方面,规定了应用人脸识别技术的安全管理要求,为企业如何使用人脸识别技术带来了更为详细落地的合规指导。
下文首先将就《管理规定》的重点内容进行详细解读,随后通过横向分析对比美国及欧盟的人脸识别应用相关立法趋势,以向读者提供更广维度的监管视角,以供综合分析借鉴之用。
二、适用范围
根据《管理规定》第二条,在中国境内利用人脸识别技术处理人脸信息,提供人脸识别技术产品或者服务,应当遵守本规定。法律、行政法规另有规定的从其规定。
因此,无论是在中国大陆境内利用人脸识别技术处理人脸信息,或是虽然未处理人脸信息,但在中国大陆境内提供人脸识别技术产品或者服务的,都应当受到《管理规定》的约束。此处,作为人脸识别技术服务提供商的企业应当注意,这一规定在一定程度上扩大了此前《个人信息保护法》《最高法规定》等以“处理人脸信息的数据处理者”为维度的适用范围,也体现了本次发布的《管理规定》并未局限于处理人脸信息这一行为,而是将运用人脸技术作为整体从而进行约束规定。
例如,若人脸识别技术提供方甲公司仅向B端客户乙公司提供私有化部署在乙公司本地服务器的人脸识别工具(如考勤机、门禁系统等),无法接触到乙公司通过人脸识别工具收集的人脸信息,也未协助乙公司处理任何人脸信息。在此情况下,甲公司并不直接适用《个人信息保护法》《最高法规定》等要求,也没有需要直接承担的个人信息保护义务;而甲公司直接适用《管理规定》的要求,根据第十七条的规定,需要满足作为人脸识别技术服务提供商的各项安全保障义务。
三、人脸识别技术应用的通用要求
(一)符合最小必要原则
顺应《个人信息保护法》下最小必要原则的要求,《管理规定》第四条第一款前半句规定“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息”。
但是,如何判断人脸识别技术处理人脸识别信息是否“必要”?《管理规定》第四条第一款后半句对“必要性”进行了细化,采用了与《人脸识别数据安全要求》第5条(a)款相同的表述,即“实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案”。换言之,数据处理者应仅在人脸识别方式比非人脸识别方式更具安全性或便捷性时才可以采用人脸识别技术。例如,在机场、火车站进行人证比对时,使用非人脸识别方式会导致旅客通行的便捷性明显下降。《管理规定》第十二条也对“必要性”进行了补充说明,提出“涉及社会救助、不动产处分等个人重大利益的,不得使用人脸识别技术替代人工审核个人身份,人脸识别技术可以作为验证个人身份的辅助手段。”在处理个人重大利益信息的场景下,人脸识别技术并非更具安全性或者便捷性,不能完全替代人工审核的方式。
《管理规定》第四条第二款同时为应用人脸识别技术过程中验证个人身份或辩识特定自然人的数据来源提供了指引,鼓励优先使用“国家人口基础信息库”和“国家网络身份认证公共服务”等权威渠道。其中,“国家人口基础信息库”的主要使用者为政府部门,其已存储包含13个数据项的有效人口信息13.99亿,面向地方政府电子政务服务大厅提供公民身份信息共享核查服务,并与国家数据共享交换平台对接,实现了人口基础信息对跨部门业务应用的支撑。而“国家网络身份认证公共服务”主要面向社会公众提供安全、便捷、权威、高效的网络身份认证公共服务。同时,还值得注意的是,该条款非强制性条款,仅“鼓励”数据处理者使用上述权威认证渠道,数据处理者仍保留自由选择权。
(二)征得单独同意
《个人信息保护法》明确处理敏感个人信息需要在原有同意的基础上适用单独同意规则,对个人信息处理者处理敏感个人信息提出了更高的合规标准。[1]如上文所述,人脸信息属于敏感个人信息的一种,处理人脸信息当然要符合《个人信息保护法》中关于敏感个人信息的特殊规定。同时,《管理规定》第十三条提出,处理不满十四周岁未成年人人脸信息应当取得未成年人的父母或者其他监护人的单独同意或者书面同意。
但值得注意的是,《管理规定》第五条虽然明确了处理人脸信息的单独同意规则,但内容基本与《个人信息保护法》的规定一致,未作进一步的细化规定,具体如何有效落地仍然给企业留有解释空间。
(三)限制人脸信息处理目的
《管理规定》明确除法定条件和单独同意外,任何组织或者个人不得使用人脸识别技术对个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息进行分析。例如,品牌门店不可以设置摄像头捕捉来往客户的人脸信息,进而对客户的财富状况等社会阶层信息进行分析。此点直接明确了禁止使用人脸识别技术的部分目的,较为直接,故不展开赘述。
(四)开展个人信息保护影响评估
根据《个人信息保护法》第五十五条的规定,个人信息处理者在“处理敏感个人信息的情况”下应当进行个人信息保护影响评估(以下简称“PIA”)。《个人信息保护法》第五十六条规定了PIA的内容主要包括:个人信息的处理目的;处理方式等是否合法、正当、必要;对个人权益的影响及安全风险以及所采取的保护措施是否合法、有效并与风险程度相适应。
考虑到人脸信息的特殊性,《管理规定》第十五条延续了《人脸识别数据安全要求》第5条(f)款的表述,对上述PIA的规定进行了细化,要求个人信息处理者在使用人脸识别技术处理人脸信息前进行PIA时,应额外评估使用人脸识别技术是否“符合伦理道德”,并判断是否“限于实现目的所必需的准度、精度及距离要求”。《汽车数据安全管理若干规定(试行)》第六条提出了相似的“精度范围适用原则”,要求“汽车数据处理者在开展汽车数据处理活动时需根据所提供服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。”《信息安全技术 网联汽车 采集数据的安全要求(草案)》对“精度范围适用原则”也提出了细化规定,提出除清晰度转换为120万像素以下且已擦除可识别个人身份的人脸、车牌等信息的视频、图像数据外的数据,未经被收集者的单独同意,不得通过网络、物理接口向车外传输。进行人脸信息PIA时可以适当参考上述汽车数据处理的要求来确定摄像头的分辨率、数量、安装角度,做到不超范围收集人脸信息的要求。
此外,《管理规定》在PIA记录保存方面的规定与《个人信息保护法》一致,要求应当至少保存三年。《管理规定》同时提出在处理人脸信息的目的、方式发生变化,或者发生重大安全事件时,应当重新进行PIA。
(五)向网信部门备案
《管理办法》第十六条特别提出在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者在30个工作日内向所属地市级以上网信部门备案。备案内容覆盖处理人脸信息的必要性说明;人脸信息的处理目的、处理方式和安全保护措施;人脸信息的处理规则和操作规程以及个人信息保护影响评估报告等。
因此,满足上述两项条件之一的人脸识别技术使用者(如采取强实名措施要求观众刷脸入场的演唱会主办方),应当密切关注网信办后续发布的备案渠道,在《管理办法》正式出台后,尽快完成备案工作。
此处需要企业特别关注的是,由于人脸信息属于敏感个人信息,若处理人脸信息的人脸识别技术使用者涉及向境外传输人脸信息,并且自上年1月1日起累计向境外提供1万人人脸信息,该个人信息处理者除履行上述人脸信息备案义务外,还应当遵守《数据出境安全评估办法》第四条的规定,需主动申报数据出境安全评估。
(六)采取安全措施
1. 存储与删除
《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(以下简称“《个人信息安全规范》”)对敏感个人信息的存储,特别是个人生物识别信息的存储做了限制性规定,要求原则上不应存储原始个人生物识别信息(如样本、图像等)。《管理办法》第十七条第一款采取了与《个人信息安全规范》相似的表达,除经匿名化处理的人脸信息,明确禁止存储人脸信息的原始图像、图片和视频,除非满足法定条件或者取得个人单独同意。
同样限于最小必要的原则,《管理办法》第十八条要求使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息。若因业务需要、技术限制等原因确需超范围收集人脸信息,应当及时删除或者进行匿名化处理。类似的规定并非第一次出现,在汽车行业中实际收集个人信息时可能会遇到无法完全符合“最小必要原则”以及“取得用户同意”的困境(如自动驾驶技术需要集成大量的摄像头、雷达、测速仪、导航仪等各类传感器,通过实时获取路况、环境、车辆及用户数据等来完成,在此过程中,无法避免地会收集到行人的个人信息)。针对这种情况,《汽车数据安全管理若干规定(试行)》第八条允许个人信息处理者为保证行车安全的需要,在缺少个人明示同意的情况下采集车外人脸信息,但是要求个人信息处理者应以“删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理”等方式对信息进行匿名化处理。《智能网联汽车 数据通用要求(征求意见稿)》第5.6.2条也在人脸匿名化对象、匿名化处理性能等方面对匿名化处理的要求进行了细化规定。上述规定与本次《管理规定》第十八条所提出要求的立意如出一辙。
此外,《管理办法》第十七条第二款要求人脸识别技术的服务提供者需达到网络安全等级保护3级以上的保护要求,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。属于关键信息基础设施的,还应当符合关键信息基础设施安全保护的相关要求。
2. 风险评估
《管理办法》第十九条增设了人脸识别技术使用者进行风险评估的义务,要求其每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并要求人脸识别技术使用者根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。风险评估与PIA二者相比,前者从设备安全性角度出发,更侧重于图像采集设备、个人身份识别设备的使用是否具有安全性,要求人脸识别技术使用者进行全面的年度风险测评,以免设备被攻击、侵入、干扰和破坏;后者则是对人脸识别信息的处理是否符合法律规定而进行系统性评估,更关注处理人脸信息的行为是否符合“正当、合法、最小、必要”等要求。
3. 强制性合格认证/检测
《管理办法》第二十条额外规定了对外销售或者提供被列入网络关键设备和网络安全专用产品目录的图像采集设备、个人身份识别设备的前提条件,即按照相关国家标准的强制性要求,由具备资格的机构进行合格认证或者检测,例如“要求用户提供以电子信息或生物信息为载体的身份鉴别信息,确认应用系统使用者的身份鉴别产品”等。
4. 配合监管的义务
《管理办法》第二十一条规定网信部门、电信主管部门(即工业和信息化部和省、自治区、直辖市通信管理局)、公安机关、市场监管部门为相应监管部门,负责对人脸技术的识别、使用以及备案进行监督和指导。人脸识别技术的使用者、产品或者服务提供者负有配合监管的义务。目前相关主管部门并未制定人脸识别技术相关的专门规定或细则,企业可密切关注后续相关的规则及监管动态。
四、人脸识别技术应用在不同场景下的特殊要求
(一)涉及个人隐私的场景
《最高法规定》对特殊场景下人脸识别技术的应用提供了合规指引,但是未对涉及个人隐私的场景进行规定。《管理要求》第六条首次提出并且明令禁止在可能侵害他人隐私的场所安装图像采集、个人身份识别设备,如旅馆客房、公共浴室、更衣室、卫生间等,以充分保护个人隐私。
(二)公共场所和经营场所
《最高法规定》第二条规定在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析使,属于侵害自然人人格权益。《管理要求》第七条、第九条分别对在公共场所和经营场所使用人脸识别技术进行了细化规定。
1. 在公共场所使用人脸识别技术的要求
《管理要求》第七条第一款从安全保护的角度对人脸识别技术的使用进行了规制,允许出于维护公共安全的目的在公共场所,如公园、广场、车站、机场等,安装图像采集、个人身份识别设备,但应当设置显著提示标识。个人信息处理者可以通过设置明确的、易于识别的人脸识别设备覆盖的区域标识,并以在覆盖区域张贴公开告示、二维码、网址链接、传单、柜台等形式,向个人提供人脸识别功能及其信息处理规则的完整描述以达到合规要求。
与《个人信息保护法》第二十六条的规定相衔接,《管理要求》第七条第二款再次明确了收集人脸信息需符合最小必要原则,除取得个人单独同意的情况外,所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的。《管理要求》第七条第二款还强调在公共场所安装图像采集、个人身份识别设备的建设、使用、运行维护单位,对获取的个人图像、身份识别信息负有保密义务,不得非法泄露或者对外提供。
2. 在经营场所使用人脸识别技术的要求
《管理要求》第十条对在经营场所使用人脸识别技术进行了规定。与《最高法规定》相比,《管理要求》明确将“展览馆、博物馆、美术馆、图书馆”列为经营场所,提出除法律、行政法规明确规定应当使用人脸识别技术验证个人身份的,上述经营场所不得以办理业务、提升服务质量等为由,强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
以“人脸识别第一案”为例,该案中,郭兵于2019年4月购买野生动物世界双人年卡,留存相关个人身份信息,并录入指纹和拍照。随后野生动物世界将年卡入园方式由指纹识别调整为人脸识别,并向郭兵发送短信通知相关事宜,要求其进行人脸激活,双方协商未果,遂引发纠纷。审理法院认为,“野生动物公司采集原告照片信息,不具有正当性。原告郭某在办理年卡时,合同约定以指纹识别方式入园,动物园采集郭某及其妻子的照片信息,超出了法律意义上的必要原则,故不具有正当性。”换言之,除法定义务外,经营场所使用人脸识别技术应当严格遵守最小必要原则并征得信息主体的单独同意,不得以办理业务等原因强制使用人脸识别技术。
3. 远距离、无感式人脸识别技术使用的限制条件
在公共场所和经营场所使用远距离、无感式的人脸识别技术擅自采集人脸信息,是人脸识别技术滥用的典型样态,引发社会公众普遍质疑。例如,有些知名商超使用无感式人脸识别技术,在未经消费者同意的情况下擅自采集其人脸信息,分析消费者的性别、年龄、心情等,进而采取不同营销策略。
《管理要求》第十条严格限制了使用远距离、无感式的人脸识别技术的前提条件,包括(1)为维护国家安全、公共安全或者在紧急情况下为保护自然人生命健康和财产安全所必需;(2)由个人或者利害关系人主动提出;(3)符合最小必要原则,即将相关服务限定在最小必要的时间、地点或者人群范围内,不得关联与个人请求事项无直接必然相关的个人信息。
4. 人脸识别技术在组织机构内部的使用
根据《管理要求》第八条的规定,组织机构可以为实施内部管理安装图像采集、个人身份识别设备,但是同时应当根据实际需求合理确定图像信息采集区域,并采取严格保护措施,包括防止违规查阅、复制、公开、对外提供、传播个人图像以及防止个人信息泄露、篡改、丢失或者被非法获取、非法利用。
(三)物业服务企业
《最高法规定》第十条对物业服务企业使用人脸识别技术处理个人信息做出了特别规定,即小区物业不得将人脸识别作为出入小区的唯一验证方式,以及物业服务企业违规处理人脸信息、侵害自然人人格权益须承担侵权责任。
《管理规定》第十四条承接了《最高法规定》的要求,并明确“个人不同意通过人脸信息进行身份验证的,物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。”所以,业主有权拒绝物业要求使用人脸识别技术出入小区,“刷脸”不能完全替代“刷卡”。例如,2020年9月,清华大学法学院教授劳东燕拒绝小区采用人脸识别作为门禁手段,经各方协商后,业主可在门禁卡、刷手机、人脸识别三种方式中自愿选择。
五、境外人脸识别技术立法的比较
(一)美国
在美国,当前联邦层面没有统一的法律对人脸识别技术和数据的使用进行规定,未来几年联邦通过统一法规的概率也相对较低,主要是各州和地方的法律法规及各行业的自律准则对人脸识别信息的收集和使用等进行了规定。
目前,美国部分州颁布了对人脸识别技术使用的具体法律要求。例如,2020年2月14日,加利福尼亚州众议院通过了第2261号关于人脸识别技术的法案,即《加州人脸识别技术法案》(2020年5月12日修改)。该法案对如何使用人脸识别技术提出了要求,包括收集人脸识别信息应当征得个人同意。在公共场所部署人脸识别服务应以显著且符合特定使用场景的方式,向个人发出通知,告知关于部署目的、个人如何获得人脸识别服务、个人的权利义务等。同时,2021年1月10日,纽约州纽约市也通过了《生物数据保护法》,对当地私营部门收集和交易面部识别信息等生物识别信息的行为进行了规定,并赋予了个人从违法者处取得赔偿的权利。此外,华盛顿特区、伊利诺伊州等也相应通过了有关人脸识别技术的立法。但同时,也有极少部分州全面禁止人脸识别技术的应用,例如,2020年9月9日,俄勒冈州波特兰市通过的人脸识别禁令,要求商店、饭店和旅馆等商业私营机构及政府部门不得使用人脸识别技术。但该禁令不禁止个体为了个人验证目的而使用人脸识别技术,比如解锁iPhone的Face ID功能,也允许社交媒体应用程序提供人脸自动检测服务。
总体来看,与中国趋势相同,美国人脸识别技术相关的法律规定有向更为严格的立法趋势发展的态势,主要是从人脸识别数据收集和使用、人脸识别商业应用的限制等方面进行规定,但法律内容并未十分详细。此外,由于美国对于公权力主体使用人脸识别技术存在广泛争议,在许多州立法中也多有体现,表现为将立法重点放在限制人脸识别在政府层面的使用,以防止公权力的滥用,对私营部门的约束则较少。这一点与国内人脸识别技术相关的立法有所不同。
(二)欧盟
虽然欧盟目前也没有专门的关于人脸识别的统一立法,但相较于美国,欧盟地区对应用人脸识别技术的规定更为细致,监管力度也更加严格。与《个人信息保护法》类似,欧盟也是通过《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)等综合性法律对于使用人脸识别技术的行为进行约束。例如GDPR第4条规定生物识别数据包含面部图像(facial image),在特定情况下可被认为是个人敏感数据,从而适用处理此类数据的规定。同时,GDPR第9条规定,生物特征数据属于个人数据的“特殊类别”,除非涉及公共利益等重要事件,不得处理该等数据。因此,人脸识别技术商业应用的必要前提条件是“数据主体已明确表示同意”,而且同意须“自愿作出的、具体的、知情的以及明确的”,数据主体任何形式的被动同意均不符合GDPR的规定。
《人工智能法案》对人脸识别技术的应用也有相应规定。在该法案中,欧盟将人脸识别等远距离生物识别系统认定为“高风险”级别,计划在未来几年内禁止执法部门在公共场所使用人脸识别系统,除非出于少数规定的例外情况。这是因为欧盟委员会认为,在使用人脸识别技术用于执法时,算法的缺陷可能会导致或加剧警方执法过程中有关种族偏见等问题。
此外,欧盟的《关于个人数据自动处理过程中的个人保护公约》(The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)咨询委员会在2021年发布了一份《关于人脸识别的指南》(以下简称“《指南》”),虽然这份指南不具有法律约束力,但其中针对立法者与决策者、人脸识别技术的开发商、制造商及服务提供商、使用人脸识别技术的实体等角度分别提供了相应的合规措施参考建议,且不排除未来在欧洲议会通过成为法律的可能性。该指南中的部分要求与《管理规定》存在共通之处,例如,二者均明确提出将人脸识别技术用于确定、分析个人种族、宗教信仰、健康状况或社会状况/阶层等较为敏感的个人信息;又例如,二者均要求使用人脸识别技术前必须进行DPIA,评估人脸识别技术的合法性、可能对个人的哪些权益带来的损害和影响、发生个人人脸信息泄露、篡改、丢失等、被非法获取利用的风险性、降低不利影响的措施是否有效等。而另一方面,因《指南》的篇幅远远大于《管理规定》,所以其中规定的内容更体现落地指引的作用。《指南》对政府部门如何利用人脸识别技术执法进行了较为详细的规定,要求仅由安全领域的主管部门出于具体、合法、明确的执法目的(如怀疑有严重犯罪或对公共安全沟通威胁)使用人脸识别技术,且还应证明人脸识别技术在部署地点和时间方面应具有必要性与比例性。同时,《指南》还要求人脸识别技术的开发商/制造商必须采取措施保证人脸识别数据的准确性;在算法方面,《指南》要求算法必须使用基于不同年龄、形态、肤色、拍摄角度的男性及女性照片的合成数据集来开发,且需要定期更新数据,以保证算法的效率与数据的质量。
综合来看,与国内人脸识别技术相关的立法趋势相似,欧盟地区对人脸识别技术的监管要求也日趋严格。与此同时,欧盟更早地出台了相关法律要求及参考指南,也更加明确未来法律约束的重点(即执法及远程监控等场景),对我国未来人脸识别技术立法具有一定参考作用。
六、结语
随着技术的不断成熟,人脸识别技术的应用逐步渗透各个领域,而近年来因违反人脸识别技术相关法律要求而受到通报或处罚的案例不胜枚举。本次《管理规定》对人脸识别技术使用者或者相关产品、服务提供者提出了明确的要求,旨在希望可以促进人脸识别技术在不同场景下的合法应用。企业应当注意履行《管理规定》所提出的相关义务要求,否则将可能根据《管理规定》第二十三条的规定承担相应的法律责任—在行政责任方面,人脸识别技术使用者或者相关产品、服务提供者违反《管理规定》的,由网信、电信、公安、市场监管等有关部门在职责范围内依照《网络安全法》《数据安全法》《个人信息保护法》等法律法规进行处罚。违反《治安管理处罚法》的,依法给予治安管理处罚。在刑事责任方面,构成犯罪的,依法追究刑事责任。在民事责任方面,违反《管理规定》,给他人造成损害的,依法承担民事责任。
目前我国人脸识别技术相关的立法体系逐渐完善成熟,在《管理规定》正式出台生效后,执法监管的范围会从“人脸信息处理”扩展到“人脸识别技术的具体应用”,不仅是人脸信息处理者,人脸识别技术使用者以及相关产品、服务提供者也会受到相应的法律约束。因此,相关企业应当充分了解本次《管理规定》所提出的义务要求,并提前进行合规自查,确保满足上述通用合规要求及在不同场景下的特殊合规要求,以免规定正式生效后,因整改不及时所可能带来的合规风险与法律责任。
注释:
[1] 周汉华,《个人信息保护法条文精解与适用指引》,法律出版社,第213页。