近年來隨著信息技術(shù)的快速發(fā)展，人臉識別技術(shù)在越來越多的場景與領(lǐng)域得到廣泛應(yīng)用，基于人的臉部特征進行身份識別相較于傳統(tǒng)的密碼驗證等方式更加快捷、準確，同時能夠基于人臉的獨特性被用于身份的自動確認與識別，降低人力成本。

然而，人臉信息作為可識別自然人的信息，其應(yīng)用涉及個人信息保護與數(shù)據(jù)安全問題，一方面，人臉識別技術(shù)能夠用于線上支付、解鎖門禁、驗證門票等場景，為商業(yè)經(jīng)營與社會管理帶來便利；另一方面，也會帶來個人敏感信息泄露、人身安全威脅、換臉欺詐等風險。

面對新興技術(shù)帶來的社會風險，如何把握發(fā)展與安全的平衡，避免“一刀切”，引導(dǎo)科技向善，是法律不得不面對的問題。8月8日，國家互聯(lián)網(wǎng)信息辦公室公布了《人臉識別技術(shù)應(yīng)用安全管理規(guī)定（試行）（征求意見稿）》（下稱《征求意見稿》）并向社會公開征求意見，回應(yīng)了人臉識別技術(shù)濫用等問題。

縱觀《征求意見稿》全文，規(guī)范人臉識別技術(shù)應(yīng)用充分遵循了常態(tài)化監(jiān)管的內(nèi)在要求，從以下方面規(guī)范人臉識別技術(shù)的使用，在更好保障科技紅利所帶來的便民化和均等化的同時，防止科技濫用，促進科技向善。

第一，《征求意見稿》堅持發(fā)展與安全并重的總體原則。

近年來，在全球范圍內(nèi)對人臉識別技術(shù)的規(guī)制逐漸收緊，歐盟通過的《人工智能法案》禁止實時遠程生物識別技術(shù)，意味著不能在公共場合實時掃描人臉；美國舊金山、馬薩諸塞州薩默維爾市等多地也已正式通過了在公共場所禁用人臉識別軟件的法案。面對人臉識別技術(shù)應(yīng)用中出現(xiàn)的風險與挑戰(zhàn)，《征求意見稿》第三條規(guī)定不得利用人臉識別技術(shù)從事危害國家安全、損害公共利益、擾亂社會秩序、侵害個人和組織合法權(quán)益等法律法規(guī)禁止的活動，體現(xiàn)了以安全為底線的使用和管理原則。

同時，《征求意見稿》除明確上位法《個人信息保護法》第二十八條對包括生物識別的敏感個人信息“特定的目的”“充分的必要性”并“采取嚴格保護措施”的敏感個人信息處理規(guī)則，還提出了“實現(xiàn)相同目的或者達到同等業(yè)務(wù)要求，應(yīng)當優(yōu)先選擇非生物特征識別技術(shù)方案”，鼓勵優(yōu)先使用國家人口基礎(chǔ)信息庫、國家網(wǎng)絡(luò)身份認證公共服務(wù)等權(quán)威渠道，強調(diào)了人臉識別技術(shù)只能在必要的情形下使用，一方面是對我國人臉識別技術(shù)應(yīng)用廣泛的現(xiàn)實情況的回應(yīng)，另一方面也為技術(shù)發(fā)展預(yù)留了一定的空間，體現(xiàn)出我國并未對人臉識別技術(shù)進行“一刀切”監(jiān)管，注重發(fā)展與安全并重。

第二，在上位法原則性規(guī)定的基礎(chǔ)上對人臉識別技術(shù)應(yīng)用構(gòu)建了全流程、全要素、規(guī)范化監(jiān)管規(guī)則。

2021年出臺的《個人信息保護法》第六十二條規(guī)定，國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門依據(jù)本法針對小型個人信息處理者、處理敏感個人信息以及人臉識別、人工智能等新技術(shù)、新應(yīng)用，制定專門的個人信息保護規(guī)則、標準。

《征求意見稿》是在其上位法制定的個人信息保護原則性規(guī)定下，對人臉識別設(shè)置更為具體的規(guī)則標準與操作指引?！墩髑笠庖姼濉穼⑷四樧R別技術(shù)的使用前提條件，人臉信息采集、處理、刪除規(guī)則，人臉識別技術(shù)的應(yīng)用評估與備案，人臉識別技術(shù)使用者、產(chǎn)品或者服務(wù)提供者的法律責任與義務(wù)等環(huán)節(jié)將人臉識別技術(shù)的應(yīng)用全流程與全要素置于規(guī)制范圍內(nèi)。

全流程、全要素、規(guī)范化監(jiān)管有利于最大限度地降低人臉識別技術(shù)應(yīng)用產(chǎn)生的風險，將風險控制在每一環(huán)節(jié)與每一要素的管理中，能夠在一定程度上緩解人臉識別技術(shù)監(jiān)管的滯后性。譬如《征求意見稿》第十六條提出的針對人臉識別技術(shù)的個人信息保護影響評估制度與備案制度，對人臉識別技術(shù)使用者提出了更高的合規(guī)要求，通過設(shè)定高標準的人臉識別技術(shù)條件，有助于適當降低人臉識別技術(shù)在部分領(lǐng)域的非必要使用，特別是嚴格人臉識別技術(shù)在公共場所的使用條件。

同時，由于備案制度的性質(zhì)，人臉識別技術(shù)使用者僅需提供所需材料即可進行技術(shù)使用活動，并不需要經(jīng)過監(jiān)管機構(gòu)審批，合規(guī)成本并沒有過度提高，有利于保護企業(yè)合規(guī)與發(fā)展的積極性，達到更好的監(jiān)管效能，科學(xué)區(qū)別人臉識別技術(shù)的使用場景和條件。

第三，注重場景化規(guī)制，明確為不同場景下的人臉識別技術(shù)應(yīng)用設(shè)定不同的義務(wù)內(nèi)容，推動規(guī)制措施的精準化。

《征求意見稿》首先將使用場景區(qū)分類為“公共場所”和“組織機構(gòu)實施內(nèi)部管理”兩大類別，并對兩大使用場景的安裝圖像采集、個人身份識別設(shè)備的行為提出了不同嚴格程度的要求，體現(xiàn)了根據(jù)不同應(yīng)用場景風險程度大小的精準規(guī)制，但對于二者具體的區(qū)分標準尚待進一步明確。

針對當前有關(guān)人臉識別技術(shù)應(yīng)用濫用問題，《征求意見稿》第九條也對技術(shù)應(yīng)用中的具體場景進行了分級規(guī)定：“旅館客房、公共浴室、更衣室、衛(wèi)生間及其他可能侵害他人隱私的場所”不得使用人臉識別技術(shù)；“賓館、銀行、車站、機場等經(jīng)營場所”則要求在個人自愿的前提下使用人臉識別技術(shù)；“出入物業(yè)管理區(qū)域”則不得將人臉識別技術(shù)驗證個人身份作為唯一方式。

然而，雖然《征求意見稿》以分類分級的形式確立了較為精準的場景化規(guī)制框架，在實踐中其實施則具有較大的難度，隨著近年來人臉識別技術(shù)的廣泛應(yīng)用，在許多使用場景下都已經(jīng)安裝了采集人臉信息的前端設(shè)備，例如部分社區(qū)門禁和校園門禁僅能通過“刷臉”進入，并未從設(shè)備上設(shè)置其他的進入方式，“自愿原則”難以實際踐行，因此，場景化分類分級規(guī)制將對現(xiàn)有的人臉信息采集設(shè)備提出較大的合規(guī)要求，使用者可能面臨加裝其他設(shè)備或更換設(shè)備的問題，增加合規(guī)成本，使得場景化規(guī)制面臨一定的困難。

第四，規(guī)定“人臉識別技術(shù)使用者”“相關(guān)產(chǎn)品或者服務(wù)提供者”等概念，為具化問責依據(jù)提供了基礎(chǔ)，但仍需進一步細化概念的內(nèi)涵與范疇。

《征求意見稿》在條文中較為分散地規(guī)定了“人臉識別技術(shù)使用者”處理不滿十四周歲未成年人人臉信息的規(guī)則，進行事前個人信息保護影響評估、備案、設(shè)備安全性和風險評估等義務(wù)，初步確定了人臉識別信息保護違法責任主體及法律責任與義務(wù)。但在問責層面，《征求意見稿》仍存在以下不足：首先，對于何為“人臉識別技術(shù)使用者”“相關(guān)產(chǎn)品、服務(wù)提供者”等，《征求意見稿》并沒有作出明確的解釋與界定，容易造成實踐中適用對象與范圍的模糊不清；其次，對于處罰的規(guī)定較為籠統(tǒng)，僅提出依照《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等上位法進行處罰，并未規(guī)定約談、警告、通報批評等措施以及罰款的情況與具體罰款數(shù)額，難以起到威懾作用；最后，《征求意見稿》并未規(guī)定侵權(quán)行為產(chǎn)生后的具體救濟途徑與渠道，當人臉信息被泄露或濫用時，個人沒有明確的救濟途徑和渠道，一旦發(fā)生較為嚴重的泄露問題，《征求意見稿》也并未提出相應(yīng)的應(yīng)急預(yù)案。

第五，充分關(guān)注個人重大利益與未成年人等弱勢群體的利益保護，促進科技向善，保障科技紅利均等化享用。

《征求意見稿》第十二條指出，涉及社會救助、不動產(chǎn)處分等個人重大利益的，不得使用人臉識別技術(shù)替代人工審核個人身份，人臉識別技術(shù)可以作為驗證個人身份的輔助手段。當前，有較多與民生領(lǐng)域息息相關(guān)的業(yè)務(wù)都引入了人臉識別技術(shù)，與此同時，也出現(xiàn)了“94歲老人被抬進銀行進行人臉識別”“廣西十多名業(yè)主刷臉買房被騙超千萬”等極端事件，此類事件違背了“增進人類福祉、尊重生命權(quán)利”的科技倫理，此條規(guī)定則對此類事件做出了回應(yīng)，促進科技向善，實現(xiàn)科技紅利均等化。

同時，未成年人的認知分辨能力還在形成階段，對人臉信息等個人敏感信息的保護意識較弱，隨著人工智能技術(shù)的發(fā)展，各類采集人臉信息的新應(yīng)用層出不窮，未成年人往往更容易泄露自身的個人敏感信息，因此《征求意見稿》第十三條規(guī)定使用未滿十四歲的未成年人人臉信息需要其監(jiān)護人同意，保護了未成年人利益。

第六，跨部門對人臉識別技術(shù)應(yīng)用進行協(xié)同聯(lián)動監(jiān)管。

根據(jù)《征求意見稿》第二十一條與二十二條，網(wǎng)信部門會同電信主管部門、公安機關(guān)、市場監(jiān)管部門對人臉識別技術(shù)使用履行監(jiān)督檢查職責，并接收相關(guān)投訴與舉報。一方面，人臉識別技術(shù)作為數(shù)字技術(shù)，被廣泛應(yīng)用于身份信息識別與確認，并在此基礎(chǔ)上衍生了AI換臉等一系列商業(yè)應(yīng)用，與網(wǎng)信、電信、公安、市場監(jiān)管息息相關(guān)；另一方面，人工智能技術(shù)近年迎來發(fā)展的突破口，其與人臉識別技術(shù)的結(jié)合給個人數(shù)據(jù)安全、公共安全甚至國家安全都帶來了更大的風險，因此《征求意見稿》確立了對人臉識別技術(shù)的協(xié)同監(jiān)管機制，將有利于對人臉識別技術(shù)的應(yīng)用進行多層次、全方位、全環(huán)節(jié)的監(jiān)管，提高監(jiān)管效能。同時，由于人臉信息屬于個人敏感信息，各部門之間如何進行安全有效的協(xié)同還需進一步細化。

（陳兵系南開大學(xué)競爭法研究中心主任、法學(xué)院副院長、教授，南開大學(xué)數(shù)字經(jīng)濟交叉科學(xué)中心研究員；董思琰系南開大學(xué)競爭法研究中心研究助理）