作者:
王艺 赵艳明 周谢军
北京植德律师事务所
前言
2023年8月8日,国家互联网信息办公室(以下简称“国家网信办”)发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《管理规定》),在人脸识别技术应用领域首次提出备案制,进一步强化个人信息权益及其他人身和财产权益保护,未来正式出台后相关企业将面临更高的合规要求。本文将解析《管理规定》的出台背景、适用范围及十大要点,并重点解读人脸识别技术应用备案管理要求、三级等保要求及设备准入要求,为相关企业提前开展合规工作提供参考。
一、发布背景
自2021年“央视315晚会”曝光线下门店摄像头滥用问题、2021年4月“人脸识别第一案”二审宣判以来,人脸识别技术应用可能带来的风险引起了社会大众及监管部门的高度关注。
继司法解释《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《人脸识别司法解释》)、国家标准GB/T 41819—2022《信息安全技术 人脸识别数据安全要求》(以下简称《人脸识别数据安全要求》)等出台后,为进一步规范人脸识别技术应用,《管理规定》正式面向社会公开征求意见。
二、适用范围
根据《管理规定》第二条的规定,《管理办法》主要适用于两类主体,一是在中国境内利用人脸识别技术处理人脸信息的数据处理者,二是在中国境内提供人脸识别技术产品或者服务的提供者。
首先,《管理办法》规制的是处理行为、提供行为,因此无论数据处理者、提供者是境内主体还是境外主体,只要其在境内利用人脸识别技术处理人脸信息或者提供人脸识别技术产品、服务,均应当适用《管理办法》。
其次,对于在中国境内利用人脸识别技术处理人脸信息而言,《管理办法》规制的是境内利用人脸识别技术处理人脸信息的行为,但是未明确人脸识别技术、人脸信息的境内外属性(即人脸识别技术是来自于境内还是境外、人脸信息是来自境内自然人还是境外自然人),按照文义理解,境内公司根据境外公司的委托利用境内的人脸识别技术在境内处理从境外收集到境内的人脸信息也应当适用《管理办法》。
最后,对于在中国境内提供人脸识别技术产品或者服务而言,《管理办法》同样规制的是境内提供人脸识别技术产品或者服务的行为,但是未明确提供对象的主体属性(即提供对象是境内主体还是境外主体、是B端企业还是C端用户),按照文义理解,境内公司仅面向境内的外国人提供人脸识别技术产品或者服务,以及境外公司仅向境内B端企业提供人脸识别技术产品用于B端企业向C端用户提供人脸识别技术服务,都应当适用《管理办法》。
综上,《管理办法》征求意见稿的适用范围较为广泛,正式稿是否会更加明确,有待进一步观察。
三、十大要点解析
(一)首提备案义务
《管理规定》首次提出,在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当向所属地市级以上网信部门备案。此前《个人信息保护法》等并未提出该要求,这是继APP备案、个人信息出境标准合同备案、算法备案等之后的又一备案管理制度,可以预见,备案管理将是个人信息保护、数据安全相关领域的常态化监管方式之一。
《管理规定》规定的备案义务主体包括两类人脸识别技术使用者:一是在公共场所使用人脸识别技术的人脸识别技术使用者,二是存储超过1万人人脸信息的人脸识别技术使用者。实践中,企业可能较容易落入第二类,但是我们理解:第一,参考《人脸识别数据安全要求》,人脸信息主要包括可识别自然人身份的人脸图像、人脸特征,若人脸识别技术使用者不存储人脸信息或存储的是匿名化信息,则无需备案。第二,《管理办法》未明确存储时间要求,按照严格理解,即使人脸识别技术使用者仅短暂存储人脸信息、处理完成后即删除,只要同一时间存储的数量超过1万人也需备案,这是否意味着处理峰值控制在1万以下就可以免于备案呢?该问题有待进一步观察。第三,履行备案义务的前提是利用人脸识别技术处理人脸信息(即满足人脸识别技术使用者这一主体要求),即使存储了超过1万人人脸信息,只要未利用人脸识别技术进行处理,就无需履行备案义务,例如企业收集、存储员工提供的登记照,一般不会利用人脸识别技术进行处理,故无需备案。
《管理规定》规定的备案时限是“30个工作日内”,但并未明确起算时点,我们理解应当是从满足备案条件之日(即在公共场所使用人脸识别技术之日或存储的人脸信息超过1万人之日)起算,结合备案材料来看,该时限是比较紧张的,因此,我们建议相关企业在满足备案条件之前即开始着手规划、准备备案工作。
《管理规定》规定的备案方式是向市级以上网信部门提交备案材料(包括六项:备案主体及其个人信息保护负责人基本情况,必要性说明,处理目的、处理方式和安全保护措施,处理规则和操作规程,PIA报告,监管要求的其他材料),但并未明确备案材料提交方式、也未明确具体的备案流程(包括审核方式、审核时限及备案结果通知或公告等),参考其他相关备案制度,我们理解《管理规定》正式稿出台后监管部门可能会发布具体的备案指引,且基于人脸信息处理的特殊性、结合备案材料和备案变更要求,备案过程中会对备案材料进行审核,并会有一个谨慎从严到常态化监管的过程。
此外,《管理办法》明确了备案变更、备案注销要求,但并未明确备案的结果(例如是否包括备案通过、补正材料、整改后重新申请、备案不通过等),亦未直接规定备案不通过的法律后果,参考其他相关备案制度,我们理解若备案不通过可能会面临人脸信息处理行为终止、业务终止的风险。
(二)突出人脸信息安全
《管理规定》第十七条第二款对面向社会公众提供人脸识别技术服务明确了更高的合规义务,包括系统需符合三级等保要求、技术需采取安全审计等措施,属于关键信息基础设施的还需符合《关键信息基础设施安全保护条例》等相关法律法规的要求。
该规定与算法监管要求(具有舆论属性或者社会动员能力的算法推荐服务提供者应当……履行备案手续)一脉相承,产品或服务是否涉众是监管部门判断风险、设定监管门槛的重要考量因素之一,这正是审慎监管原则的体现。
何为“面向社会公众提供”?A公司提供的人脸识别技术服务仅供其内部员工使用,A公司是否属于前述范围?A公司仅为B端企业提供技术服务,B端企业利用该技术服务面向C端用户提供人脸识别技术服务,A公司是否属于前述范围?我们理解,这些问题有待《管理规定》正式稿出台及监管实践中进一步明确。
另外,我们提示相关企业注意,即使不面向社会公众提供人脸识别技术服务,相关技术系统满足一定条件也需依据《网络安全法》《信息安全等级保护管理办法》等相关法律法规及相关国家标准落实等保备案、测评义务。
(三)强调设备准入要求
《管理规定》第二十条对图像采集设备、个人身份识别设备提出了认证、检测要求,与欧盟《人工智能法案》中针对高风险人工智能产品的市场准入机制较为类似。
根据2023年国家网信办等部门发布的《关于调整网络安全专用产品安全管理有关事项的公告》《关于调整<网络关键设备和网络安全专用产品目录>的公告》(包括附件《网络关键设备和网络安全专用产品目录》),“身份鉴别产品”(即要求用户提供以电子信息或生物信息为载体的身份鉴别信息,确认应用系统使用者身份的产品)属于网络安全专用产品,应当按照国家标准GB 42250-2022《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
(四)细化必要原则
《管理规定》要求,一是只有具有特定目的和充分必要并采取严格保障措施,才能使用人脸识别技术处理人脸信息,例如地铁仅为统计客流目的而利用人脸识别技术处理人脸信息是非充分必要的;二是可通过其他非生物特征识别技术方案实现相同目的或达到同等业务要求的,应优先选择非生物特征识别技术方案,例如门禁系统应优先选择刷卡等方案;三是应当尽量避免采集与提供服务无关的人脸信息,无法避免的,应当及时删除或者进行匿名化处理。《汽车数据安全管理若干规定(试行)》提出了类似的要求,即“因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。”
《管理规定》提出的必要原则是对《个人信息保护法》第五条“处理个人信息应当遵循合法、正当、必要和诚信原则”、《人脸识别司法解释》第二条第八项“违反合法、正当、必要原则处理人脸信息的其他情形”的细化,将《人脸识别数据安全要求》的相关要求上升为有法律约束力的部门规章规定。
(五)重申单独同意
根据《个人信息保护法》的规定,人脸信息属于敏感个人信息,处理敏感个人信息应当取得个人的单独同意/书面同意或具备其他合法性基础,《管理办法》重申了该要求,并强调处理未满十四周岁未成年人的人脸信息的应当取得其父母或其他监护人的单独同意/书面同意,利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息和保存人脸原始图像、图片、视频均需符合特定条件或取得个人单独同意。
关于单独同意的实施形式,可参考将于2023年12月1日实施的国家标准GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》的要求,例如就利用人脸识别技术处理人脸信息设置独立界面或在界面的独立区域向个人进行告知,并由个人通过点击、勾选等肯定性动作表示同意意愿。
(六)强化PIA义务
根据《个人信息保护法》的规定,人脸信息属于敏感个人信息,处理敏感个人信息前应当开展个人信息保护影响评估(即PIA),《管理规定》重申了该要求,并在评估内容方面进行了细化(例如要求评估是否符合伦理道德,是否限于实现目的所必需的准度、精度及距离要求等),且强调处理人脸信息的目的、方式发生变化或者发生重大安全事件需重新进行PIA。
(七)定期风险检测评估义务
为保障图像采集设备、个人身份识别设备的安全性,《管理规定》要求人脸识别技术使用者每年对图像采集设备、个人身份识别设备进行风险检测评估,且需根据检测评估情况改进安全策略,调整置信度阈值,保证设备免受攻击、侵入、干扰和破坏。
(八)划定红线行为
为保护个人信息权益及其他人身和财产权益、维护社会秩序和公共安全,《管理规定》就人脸识别技术应用划定了多条“红线”:一是不得利用人脸识别技术从事法律法规禁止的活动;二是不得在可能侵害他人隐私的场所安装图像采集、个人身份识别设备;三是经营场所不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份;四是不得关联与个人请求事项无直接必然相关的个人信息(远距离、无感式辨识场景);五是不得使用人脸识别技术替代人工审核个人身份(涉及个人重大利益的);六是不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式(建筑物管理人)。
(九)配合检查、整改义务
《管理规定》第二十一条规定,人脸识别技术使用者、产品或者服务提供者应当对网信部门、电信主管部门、公安机关、市场监管部门等有关部门依法开展的监督检查予以配合,有关部门发现安全隐患要求限期整改的,人脸识别技术使用者、产品或者服务提供者需按照要求进行合规整改,否则可能会被有关部门依照《网络安全法》《数据安全法》《个人信息保护法》等进行处罚。
(十)不同场景中的特殊合规要求
序号
特殊场景
合规要求
1
隐私场所监控场景
旅馆客房、公共浴室、更衣室、卫生间等可能侵害他人隐私的场所禁止安装图像采集、个人身份识别设备
2
公共场所监控场景
在公共场所安装图像采集、个人身份识别设备应为维护公共安全所必需,并设置显著提示标识。设备的建设、使用、运行维护单位应履行人脸信息保密义务,只能出于维护公共安全目的处理收集的人脸信息,但取得单独同意的除外。
3
内部管理监控场景
实施内部管理安装图像采集、个人身份识别设备的,应当根据实际需求合理确定图像信息采集区域,采取严格保护措施,防止个人信息泄露、传播、非法利用。
4
经营场所身份验证场景
宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所除法律规定外,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。个人自愿使用的应当保证个人充分知情并明确提示身份验证目的。
5
远距离、无感式辨识场景
在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人,应为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出。并将相关服务限定在最小必要的时间、地点或者人群范围内,不得关联与个人请求事项无直接必然相关的个人信息。
6
社会救助、不动产处分场景
涉及社会救助、不动产处分等个人重大利益的,使用人脸识别技术的同时应当保留人工审核方式审核个人身份,人脸识别技术可以作为验证个人身份的辅助手段。
7
建筑物管理场景
物业服务企业等建筑物管理人应在人脸识别技术验证个人身份以外设置其他出入物业管理区域方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的身份验证方式。
四、合规建议
目前,《管理规定》尚在征求意见之中,正式稿出台后将对提供人脸识别技术产品或服务(如人脸识别系统)的企业、使用人脸识别技术(如人脸识别身份验证)的企业产生较大影响,为此,我们提出如下合规建议:
1.梳理应用场景、评估影响
相关企业应尽早梳理业务或产品所涉及的人脸识别技术应用场景,厘清自身在人脸信息处理中的数据法角色,并评估《管理规定》可能对业务或产品产生的影响,在摸清现状、找准定位的基础上为后续的自查整改做好准备。
2.对照义务清单自查整改
《管理规定》对利用人脸识别技术处理人脸信息的数据处理者、提供人脸识别技术产品或者服务的提供者提出了多项合规义务,相关企业可结合具体的人脸识别技术应用场景,对照《管理规定》评估、分析自身的合规差距,结合合规要求的紧迫性及整改措施对业务的影响程度,制定适合本企业的的整改规划,相关环节(如PIA、等保等)可聘请外部第三方专业机构(如律师事务所、技术服务机构等)协助完成。
3.提前做好备案准备
根据《管理规定》要求,在公共场所使用人脸识别技术或存储一万人以上人脸信息的人脸识别技术使用者,应当向所属地市级以上网信部门备案,虽然目前备案流程尚不明确,但企业可提前做好相关合规措施、准备相关备案材料,以便能够在规定的期限内申请备案。
来源:北京植德律师事务所
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市律师协会立场。
欢迎大家踊跃投稿,分享各自观点。
版权声明:本站发布此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,请读者仅作参考,并请自行核实相关内容。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件举报,一经查实,本站将立刻删除。