人脸识别技术规范的国际经验（规范人脸识别技术应用国家标准）

21世纪经济报道记者钟雨欣报道人脸信息，又称“生物特征码”，具有特殊属性。近年来，人脸识别技术的普及程度不断提高，随之而来的风险也不容忽视。8月8日，国家网信办就《人脸识别技术应用安全管理规定(试行)》(征求意见稿)向社会公开征求意见。

多位受访专家表示，《征求意见稿》坚持安全与发展并重，通过区分应用场景，设定不同的法律义务和监管要求，促进人脸识别技术应用的规范化。

构建过程治理框架

中国人民大学法学院教授、中国人民大学民商法律科学研究中心执行主任施家友在接受21世纪经济报道记者采访时指出，近年来，人脸识别给个人信息保护带来的挑战逐渐被公众和监管部门所重视。在认识到人脸识别技术带来的便利的同时，也要注意其背后的风险和隐患。搜索网采集人脸信息的过程可能会严重威胁个人隐私，引发人身、财产和心理安全担忧。

事实上，世界各地对人脸识别的监管存在一些争议。美国旧金山、波士顿等城市相继立法禁止政府使用人脸识别技术，波特兰的人脸识别禁令覆盖民间。今年6月，欧洲议会通过了“人工智能法案”草案，其中提到禁止实时远程生物识别技术，这意味着不能在公共场合进行人脸识别。施家友认为，鉴于我国经济社会发展的实际情况，不宜照搬欧美的做法，一刀切完全禁止也不现实。不如讨论一下如何更有效的监管。

北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈阔表示，征求意见稿旨在提高人脸识别技术的规范应用和合规水平，从而实现对个人信息权益和其他人身、财产权利的保护，维护社会秩序和公共安全。

“在机制设计上，征求意见稿重点构建人脸识别技术应用的流程治理框架，从设备安装到图像采集，从数据的处理和存储到数据的提供和删除，从人脸识别技术应用的准确度和精度到置信度阈值，从人脸识别技术使用者到产品或服务提供者的责任和义务，努力实现场景所有要素的流程组合规则应用。”沈括吴说。

北京航空航天大学法学院副教授、北京科技创新中心研究基地副主任赵认为，征求意见稿的特点是:第一，安全与发展并重是人脸识别技术应用的监管原则，并没有完全限制或禁止该技术的应用；二是个人信息保护影响评估成为人脸识别技术应用的前提条件，个人信息权益保护得到全面落实；第三，细分人脸识别技术的应用场景，根据不同的应用场景设定不同的义务。

北京大成律师事务所高级合伙人邓表示，征求意见稿延续了《个人信息保护法》的基本思路，以“堵不如疏，疏不如引”的辩证思维对待人脸识别技术应用中涉及的法律风险。并没有一刀切的完全禁止，也没有任其无序发展。相反，它通过区分应用场景和设置不同的法律义务和监管要求，促进了人脸识别技术应用的标准化。

对关键场景进行针对性设计。

人脸识别技术应用的“目的性”和“必要性”贯穿征求意见稿。其中第四条提出“人脸识别技术只有在具有特定目的，并有充分的必要性和采取严格的保护措施的情况下，才能用于处理人脸信息。”如果有其他非生物特征识别技术方案可以达到相同的目的或者满足相同的业务需求，应当优先考虑非生物特征识别技术方案。"

北京理工大学法学院教授洪延庆撰文指出，该条是“最少使用”原则的具体体现。人脸识别技术的应用应当具有正当合法的目的，遵循完全必要原则，如果有其他可替代的非生物特征识别技术方案达到相同目的，应当优先考虑其他技术方案。

分场景治理是征求意见稿的亮点之一。吴沈阔表示，《征求意见稿》重点规定了关键场景技术应用的专项治理规则，涵盖了酒店客房、公共浴室、更衣室、厕所等可能侵犯他人隐私的场景。在公共场所安装图像采集和个人身份识别设备的场景中，机构为落实内部管理及时响应，利用人脸识别技术，在公共场所和经营场所远距离、无感地识别特定自然人。

赵还指出，《征求意见稿》体现了基于场景的监管思路，根据应用场景中可能存在的具体风险类型和涉及的具体法律关系，确定了用户和提供商相应的义务。这也符合我国数据分类保护的基本制度，能够达到更直接有效的监管效果。

“人脸识别技术在不同场景的应用所带来的法律风险是不一样的，需要在不同的场景下进行控制，这也有利于监管资源的合理配置。区分应用场景，有针对性地设计法律规则，是个人信息保护领域的全球共识。”邓表示，低风险场景下高水平措施带来的高合规成本和高风险场景下低水平措施带来的高违法风险，是立法者、监管者和技术使用者无法接受的。

21世纪经济报道记者注意到，对于在公共场所、经营场所使用人脸识别技术远距离、无感觉地识别特定自然人的场景，《征求意见稿》拟要求“应当为维护国家安全、公共安全或者在紧急情况下保护自然人生命健康和财产安全所必需，并由个人或者利害关系人提出。”

此外，“人脸识别技术的使用者应个人或者利害关系人的请求，使用人脸识别技术远距离、无意识地识别特定个人或者利害关系人的，应当将相关服务限制在最低限度的必要时间、地点或者人群，不得关联与个人请求无直接、必然联系的个人信息。”

邓表示，公共场所、营业场所等场景的远距离、非感应式人脸识别设备，由于影响面广，难以管控，其应用是否有法律依据容易被质疑，因此需要设定更严格的合规义务。《征求意见稿》指出，实践中，其适用基于个人或者利害关系人的主动，仅限于在紧急情况下为维护国家安全、公共安全或者保护自然人生命健康和财产安全的目的，且仅适用于特定自然人的身份识别，不得为任何其他目的大范围、无限制地识别不特定公众。

吴沈阔分析，实践中判断“最小必要”的核心依据是业务需求与相关数据粒度之间的直接逻辑关联是否满足比例性和相称性的要求。禁止关联分析的主要目的是为了保护人脸信息，防止非法二次处理和可能出现的安全问题。

推进监管治理障碍

征求意见稿第15条和第16条分别要求建立事前个人信息保护的影响评估和备案机制。拟规定人脸识别技术使用者应当事先进行个人信息保护影响评估，并记录处理情况，在公共场所使用人脸识别技术或者存储人脸信息超过1万条的人脸识别技术使用者应当在30个工作日内向所在地市级以上网信部门备案。

“这体现了监管部门关口前移、最大限度降低人脸识别技术应用安全风险水平的综合治理思路。”沈括吴说。

邓宋智分析，对于企业来说，一方面，相关规定短期内意味着合规投入的增加，需要付出各种成本来全面梳理自身人脸识别技术应用的合规工作，依法履行评估、备案等义务；另一方面，这其实是一个技术应用和监管相对平衡的方案，企业个人信息保护实体和程序的违法风险可以得到有效控制。

“《征求意见稿》只对两类重点主体提出了备案要求。与许可相比，企业的备案负担相对较低，相关主体只需按照规定要求制定相应制度、履行相应评估要求，无需等待监管机构的审核批准即可从事技术应用活动。”邓对说:

值得注意的是，《征求意见稿》还在个人信息保护影响评估和年度风险检测评估的内容中规定了比对性、准确性和置信度阈值。

赵认为，这实质上是保证义务主体能够按照监管要求履行个人信息保护义务。准确性的提出也是为了匹配人脸识别信息的敏感度，实现真正意义上的“目的性”和“必要性”，保证人脸识别信息的采纳和使用不会扩大个人信息泄露的潜在风险。

“在不同的准确度、精确度和置信度阈值下，可能采集的人脸信息量不同，对个人权利的影响也可能不同。比如在某些场景下，如果只需要记录各区域的人流量、拥堵程度等一般信息，比如采用过于高精度的人脸识别技术，显然就超出了其实现目标的范围。同时，不同准确度的人脸信息如果泄露，对个人的影响也是不同的，因此相应的安全措施需要区别对待。”邓对说:

(作者:钟雨欣编辑:张明鑫、林鸿)

南方财经全媒体集团及其客户发布内容的知识产权归其媒体所有。未经书面授权，任何人不得以任何方式使用。请点击此处获取详细信息或授权信息。