依法规制人脸识别安全风险.docxVIP

依法规制人脸识别安全风险 从杭州一动物园强制游客入园刷脸而被起诉，到小学生打印父母照片即可打开快递柜，再到央视报道花2元就能买上千张人脸照片，引发了社会各界对于人脸识别技术的担忧。如何平衡人脸识别技术应用与安全风险成为了亟待解决的难题，有必要结合国外经验，寻找适合我国社会经济发展的人脸识别应用法律规制路径。为此，建议下一步在规制人脸识别技术应用的过程中，严格划定统一适用的个人信息安全底线，区分场景设定差异化的制度设计，加快构建人脸识别技术应用监管体系，以及助推行业自律规范落地，建立内生机制。人脸识别应用场景广泛但风险不容小觑人脸识别是指对静态或视频中的人脸图像进行特征提取、分类识别，以达到身份鉴别目的的技术。由于自身具有的自然性、便捷性、非接触性、可拓展性等特性，人脸识别技术已被广泛应用于安防、教育、金融、交通和智慧园区等领域，实现身份认证、消费支付、门禁控制、考勤管理等功能，极大地便利了人们日常生活,提高了社会管理效率。但随着人脸识别应用场景的不断拓展，相关安全风险也随之暴露。数据泄露后果严重人脸数据具有很高的经济价值，被恶意盗取、泄露的现象突出，很容易被用于电信诈骗、勒索、申请信用贷款等严重侵害公民权益的犯罪行为中。而且人脸数据具有唯一性且不可更改，使得其一旦被泄露，将造成更为严重的后果。人脸识别技术存在被滥用现象从上班打卡到酒店入住、从消费支付到安全检查，从医院挂号到进入小区，人脸识别技术正在被广泛且未经充分质证必要性地应用于生活的方方面面，呈现出“遍地开花”的趋势。例如，清华大学教授劳东燕公开反对小区安装人脸识别门禁；浙江理工大学副教授郭兵向法院起诉杭州野生动物园强制游客刷脸进园。人脸识别技术安全性不足由于缺乏统一的行业标准，以及技术开发商、运营商考虑到成本与技术保密等因素，应用于不同场景的人脸识别技术的安全性其实也参差不齐，导致一些人脸识别应用经常被“以假乱真”的人脸照片、3D模型破解。国内外应用规制的比较国外基于政治因素和社会文化的考量，对人脸识别技术的规制较为严厉。而我国人脸识别技术应用还在发展的初级阶段，法律规制较为薄弱。国外经验目前，对人脸识别技术的应用国外主要形成了“禁止使用”“基于公共利益的正当使用”以及“严格限制使用”三种法律规制模式。禁止使用模式禁止使用模式是指，禁止主体使用人脸识别技术。以美国为例，美国虽然在联邦层面上没有统一的规范人脸识别应用的立法，但是部分州市出台立法禁止公权力机关使用人脸识别技术。例如，自2019年5月以来，美国旧金山、萨默维尔市和奥克兰市相继出台立法，全面禁止当地警方和市政部门使用人脸识别技术。基于公共利益的正当使用模式基于公共利益的正当使用是指，在使用人脸识别技术时必须基于实现公共利益的需要，且应合法正当的使用。例如，美国华盛顿州于2020年3月颁布了《人脸识别服务法》规定政府机构出于维护公共安全的目的（识别失踪人员、确定死者身份）可以使用人脸识别技术，但必须严格按照规范使用且需定期报告使用情况，而且不得利用该技术对公民进行持续性监视、追踪或进行实时的身份识别。严格限制使用模式严格限制使用模式是指，对于使用人脸识别技术收集人脸数据的行为进行严格限制。具体的限制要求包括，收集前应征得个人的明示同意；处理人脸数据时要遵循目的限制、最小化、准确性、限期存储、完整保密等要求。例如，欧盟《通用数据保护条例》将人脸数据纳入个人数据的“特殊类别”，除非数据主体明确同意，否则不得处理该类数据。美国伊利诺伊州的《生物信息隐私法》中规定，收集生物识别信息前需通知个人；满足立法列举的特定情况才能出售、披露；需进行特殊的安全防护；仅限于收集时的目的才能留存；不必要时应删除、销毁等。国内现况我国目前虽然没有出台专门针对人脸识别技术的法律规范，但是采用国际通行做法，将人脸数据划入敏感个人信息进行从严监管。《个人信息保护法（草案）》对敏感个人信息的内涵进行了界定，是指一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,并列举了敏感个人信息的种类包括：种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。同时，也规定了敏感个人信息的特殊处理要求，只有在具有特定目的和充分必要性的情形下，才可以处理敏感个人信息，并且应当取得个人的单独同意或者书面同意。此外，《信息安全技术个人信息安全规范》对敏感个人信息规定了更为细致的规制设计，包括明确收集敏感个人信息，应获得个人信息主体的明示同意；传输、存储敏感个人信息，应采用加密等安全措施；共享、转让敏感个人信息，应告知个人信息主体涉及的敏感个人信息的类型、数据接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意。国外对人脸识