邓志松律师表示,近年来,中国快速进入互联网智能时代,人脸识别大量出现在人们的日常生活场景中,需要增强对人脸识别技术使用的监管力度,征求意见稿正是在这一背景之下出台。
《征求意见稿》指出,在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。邓志松律师指出,要求进行备案说明网信部门对于重点主体的人脸识别监管更加严格。
他说:“从近期出台的规定来看,例如《个人信息出境标准合同办法》《生成式人工智能服务管理暂行办法》,都规定了相关主体的备案义务。可见,备案已经成为了网信部门的一个重要监管手段。而从人脸识别的备案材料来看,相关主体所要提供的备案材料更为复杂,除个人信息保护影响评估报告外,还需提供包括主体基本情况、必要性说明、处理目的、方式和安保措施、处理规则操作规程等,可见网信部门对于重点主体的人脸识别监管更加严格。”
与此同时,邓志松律师指出,在征求意见稿中,备案义务主体并非“个人信息处理者”而是“技术使用者”,这两个概念是否重合,以及为何使用了“技术使用者”这一概念仍待明晰。
人脸识别技术在中国的应用场景已拓展得相当广泛,刷脸支付、门禁考勤、铁路验票等等场景都看得到这项技术的“身影”。很显然,这项技术为人们的生活、工作带来了很大便利。但随着技术的不断发展,人脸识别技术被滥用的风险也在逐渐增加。而人脸信息很可能成为非法分子的牟利手段。
《征求意见稿 》对使用人脸识别的情形进行了限缩,如旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备;物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式等。
邓志松律师表示 :“这些规定都是对时下人们关注的重点问题的回应。这些都是人们日常生活中所经常遇到的,并且切实影响着个人信息安全的场景。这些场景下违法使用人脸信息的案例屡见报端。这些红线条款的设立,从立法上明确了什么可为、什么不可为,相信能够在很大程度上威慑企业停止滥用人脸识别技术的行为,从而更好地保护老百姓的个人信息权益。”
早在2021年,中国针对面部识别技术的使用就发布了保护生物特征数据的国家标准草案。这份已提到更广泛讨论的标准草案指出,公司必须获得受试者明确的同意才能获取和使用生物识别数据。这是中国第一个规范面部识别技术使用的综合性文件。在线下的应用场景中,人脸识别非自愿采集更为普遍。邓志松律师说,从历史上看,技术的发展必然会带来新的问题,因此对之的监管也会逐步走向规范化。
他表示:“我们正处于一个信息技术不断发展的阶段,收集数据、使用数据进行大数据分析也是当前技术发展的重要方向之一。在这一背景下,技术发展和数据安全的矛盾可能会愈发尖锐、多样。但我们应当以‘堵不如疏,疏不如引’的辩证思维看待人脸识别技术应用所蕴含的法律风险,既不能‘一刀切’地全面禁止,也未放任其无序发展,而应区分应用场景、收集信息的敏感程度、数据规模等,对不同的主体采取不同的监管手段,促进人脸识别技术应用逐步走向规范化。”
在监管力度方面,邓志松还指出,一方面要考虑企业落实监管要求的可行性,避免给企业增加过多的负担,保障技术的发展不因过高的合规经营成本而停滞;另一方面,也要平衡监管机构执法监管的效率和效果,确保数据的处理活动能得到有效的监督、数据安全能够获得制度保障。
他说:“在本征求意见稿中,我们认为,之所以国家网信办选择以备案方式进行监管,是因为相较于许可,备案这一监管手段属于更能平衡各方诉求的监管制度。相关主体仅需按照规定要求制定相应的制度、履行相应的评估要求即可,而无需另行等待监管机构的审查批准才能从事技术应用活动。”
邓志松律师强调称,目前数据保护的各项政策尚处于初步探索阶段,各项制度如何落实、监管尺度如何仍在不断调整中,随着实践的积累与制度的完善,未来的监管将会更加具有确定性与可行性。