人脸识别技术以其“刷脸即通行”的便捷性,早已融入企业的日常运营,从写字楼门禁、员工考勤,到商场客流分析、金融身份验证、车站机场身份核对,无处不在。然而,这项技术的广泛应用也伴随着个人信息泄露、强制使用、“无感”采集等风险,引发了公众和监管层的高度关注。
在此背景下,国家网信办联合公安部在今年3月份重磅出台《人脸识别技术应用安全管理办法》(以下简称“《办法》”),该《办法》已于今年6月1日正式落地实施。这部新规为各行各业应用人脸识别技术划定了较为清晰的合规要求,比如应用人脸识别技术处理人脸信息的告知要求、存储和传输要求、“非唯一验证方式”限制,以及广受关注的人脸信息存储数量达到10万人的个人信息处理者的备案要求(国家网信办及各省网信办最近已陆续发布备案工作指引)等。这些要求彰显了技术便利不应凌驾于个人权益保护这一基本原则。对企业而言,理解并落实《办法》要求已非选择题,而是关乎合规经营、规避处罚的必答题。
在本文中,笔者通过问答形式对《办法》相关的几个实务问题进行说明,期待能够给相关企业提供参考。
理解新规的适用范围是合规的第一步。《办法》第二条第一款规定,“在中华人民共和国境内应用人脸识别技术处理人脸信息的活动,适用本办法。”此处“境内”该如何理解是判断适用范围的关键——境内企业在境内应用人脸识别技术处理人脸信息自然应落入适用范围内,但境外企业直接收集境内个人信息后应用人脸识别技术进行处理是否也适用?
按照《个人信息保护法》(以下简称“《个保法》”)第三条的规定,境外处理中国境内自然人个人信息也受《个保法》的管辖。《办法》作为《个保法》的下位规定,从境内自然人个人信息保护一致性的角度来看,《办法》似乎也应该对前述境外处理的情况适用。但《办法》未对这一点提供明确的指引,这在一定程度上可能给境外企业的合规工作造成困扰——境外企业可能难以忽略《办法》提出的合规要求,但又在实操层面无法做到完全合规。比如,《办法》第十五条规定了人脸信息存储数量达到10万人的个人信息处理者的备案要求——达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。对于境外企业而言,并无“所在地省级以上网信部门”这一概念。我们也与部分省份的网信部门进行了电话沟通,得到的答复是目前备案工作并不面向境外企业;此外我们也得知境外企业在“个人信息保护业务系统”发起备案时,系统会提示“境外用户没有人脸识别应用技术备案权限”。这意味着在实操层面,境外企业目前无法完成备案。
根据笔者的经验,类似的情况在其他个人信息、人工智能相关法律法规中也多有出现。比如《互联网信息服务算法推荐管理规定》规定的适用范围是“在中华人民共和国境内应用算法推荐技术提供互联网信息服务,适用本规定。”境外企业直接面向中国境内用户利用算法推荐技术提供互联网信息服务是否也适用该规定,目前监管部门未提供明确指引,实务中的观点也并不统一,但该规定下的核心合规义务“算法备案”实操中也只面向境内企业。
总结而言,目前《办法》适用的地域范围尚未有官方定论,考虑到《个保法》具有域外效力,笔者认为不能完全排除《办法》具有域外效力的可能性。从开展合规工作的角度,笔者建议境外企业密切关注监管动态(比如官方对《办法》适用范围的说明、执法案例等)并在合理可行的范围内落实相关合规要求。
值得注意的是,《办法》第二条明确了该规定不适用于“为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息”。也就是说,《办法》更关注人脸识别技术实际应用场景中的人脸信息安全风险防范,而为纯技术研发或算法训练之目的而使用人脸识别技术处理人脸信息(比如研发中心利用人脸识别技术开发人脸识别门禁设备、调试人脸识别算法)则不在《办法》的监管范围内。规定该例外情形的目的显而易见:为开展人脸识别技术的攻关研究和应用创新预留空间、避免给研发企业造成过高的合规成本,有利于推动相关产业安全健康发展。
需要提示的是,企业需警惕“借研发之名,行应用之实”。如果打着研发的旗号,实际上却在收集用户人脸数据进行商业模型的训练或优化,这依然属于《办法》规制的范围,不可掉以轻心。
《办法》第五条对企业向个人信息主体履行告知义务提出了具体的要求,强调“透明”与“可及”。该要求整体上与《个保法》第十七条(一般性的告知规则)和第三十条(处理敏感个人信息的额外告知要求)的规定保持一致,具体包括:
•个人信息处理者的名称或者姓名和联系方式;
•人脸信息的处理目的、处理方式,处理的人脸信息保存期限;
•处理人脸信息的必要性以及对个人权益的影响;
•个人依法行使权利的方式和程序;
•法律、行政法规规定应当告知的其他事项。
除了上述告知的内容外,《办法》还要求告知的形式要满足“以显著方式、清晰易懂的语言真实、准确、完整地向个人告知”,以确保个人信息主体看得见、听得懂。实操中常见的办法是,在收集人脸信息时弹出对话框/勾选框让个人阅读相关规则及确认、线下向个人提供书面规则并要求个人签字确认。
此外,《办法》还特别提到了特殊群体关怀,要求处理残疾人、老年人人脸信息的个人信息处理者应当符合国家有关无障碍环境建设的规定。对于残疾人、老年人等群体,企业有责任提供符合《无障碍环境建设法》的告知方式,这意味着企业可能需要相应地:
•提供语音播报功能(清晰、语速适中);
•提供大字体、高对比度的界面选项;
•配备手语视频解释;以及
•确保操作流程简单直接,便于感知和理解。
《办法》第八条对人脸信息存储于人脸识别设备提出了具体要求,其核心精神是“能不传就不传,能本地就本地”。按照该规定,企业在使用人脸识别终端设备(如门禁闸机、考勤机、支付终端)收集人脸信息后,应当尽可能在设备内部存储和处理,而不应将数据回传至云端或企业后台进行存储和处理。如果确有必要回传,比如本地设备无存储或处理能力,企业在回传前应当取得个人的单独同意或者符合法律法规的另外规定。
所述“单独同意”一般适用于可能对个人权益带来重大影响的个人信息处理活动,按照《个保法》的规定包括向其他个人信息处理者提供个人信息、公开个人信息、将在公共场所通过图像采集、个人身份识别设备所搜集的个人图像、身份识别信息用于维护公共安全之外的目的、处理敏感个人信息以及向境外提供个人信息。但《个保法》并未明确定义“单独同意”,可以参考推标GB/T42574-2023《信息安全技术个人信息处理中告知和同意的实施指南》中的定义:个人针对其个人信息进行特定处理而专门作出具体、明确授权的行为,不包括一次性针对多种目的或方式的个人信息处理活动作出的同意。简而言之,单独同意的告知内容与取得同意的方式需要与其他处理活动予以区分,具体的实现方式一般为:
•通过单独的交互界面(如弹窗)或纸质页面提示需要单独同意的告知内容,并要求个人点击/签署同意;或者
•在向个人展示隐私政策时提供分项选择同意的机制(比如在隐私政策勾选框旁边或文中设置单独勾选框)。
需要注意的是,在涉及多个需要单独同意的情形时,向个人提供可分项选择同意的机制,分项选择同意的选项应当各自互不影响。
此外,笔者认为《办法》的本地存储和处理要求在某种程度上也指明了人脸识别终端设备的未来研发方向。随着数据重要性以及监管力度的不断加强,能够实现本地存储和处理的终端设备将会更容易获得市场青睐。
《办法》第十条明确向“强制刷脸”说“不”——实现相同目的或者达到同等业务要求(如验证身份进入场所、完成支付),存在其他非人脸识别技术方式的(如密码、刷卡、手机验证码、指纹、登记等),不得将人脸识别技术作为唯一验证方式;个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。
强制刷脸这一行为其实早有争议。2019年,杭州居民郭某起诉杭州野生动物园擅自将年卡入园方式由指纹识别调整为人脸识别的行为构成违约。后杭州中院二审判决认为杭州野生动物园的行为违反了服务协议,并要求杭州野生动物园删除郭某办卡时提交的包括照片在内的面部特征信息。2021年,天津居民顾某状告物业公司采用人脸识别作为出入物业服务区域唯一的验证方式,请求法院判令物业公司删除其人脸信息并提供出入物业服务区的替代方案。天津市第一中级人民法院二审作出(2022)津01民终349号民事判决,支持了顾某的上述请求。二审判决认为:根据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第10条规定,如果有业主或者物业使用人不同意采取上述验证方式而请求物业公司提供其他合理验证方式的,物业公司不能以智能化管理为由予以拒绝……顾某在办理入住时虽然同意某某天津公司提取其人脸信息作为通行验证方式,但其后多次就某某天津公司提取人脸信息作为唯一的验证通行方式提出异议……某某天津公司应积极履行法定义务,删除顾某人脸信息并为其提供其他验证方式……”
《办法》的该条规定呼应了最高人民法院司法解释的规定,也顺应了公众对于保护生物识别信息的一致呼声。采用人脸识别进行物业管理、打卡考勤、身份验证的企业应当重视该条规定的要求,在设置人脸识别功能的同时就要考虑替代方案,且该等替代方案应当满足合理、便捷的要求,不应给个人造成过多不便。
需要补充说明的是,该条第二款“但书”提到“国家对应用人脸识别技术验证个人身份另有规定的,从其规定”。这里的“另有规定”是指法律法规中的特定条款,这些条款在人脸识别身份验证场景具有优先适用效力。比如,《反恐怖主义法》第五十条第一款规定公安机关调查恐怖活动嫌疑,可以依照有关法律规定提取或者采集嫌疑人的肖像、指纹、虹膜图像等人体生物识别信息,此时“强制刷脸”便是被允许的。
《办法》第十条要求应用人脸识别技术处理的人脸信息存储数量达到10万人的个人信息处理者在30日内向所在地省级以上网信部门履行备案手续。5月28日,国家网信办新发布了《关于开展人脸识别技术应用备案工作的公告》(以下简称“《备案公告》”),对备案对象、方式和时间均作了细化规定,随后,各省级网信办(如上海、四川、重庆、福建等)也陆续发布了关于开展人脸识别技术应用备案的通知。
根据《备案公告》的要求,个人信息处理者需要登陆“个人信息保护业务系统”在线完成人脸识别技术应用备案。对于2025年6月1日前,应用人脸识别技术处理的人脸信息存储数量已经达到10万人的个人信息处理者,应当在2025年7月14日前履行备案手续;自2025年6月1日起,应用人脸识别技术处理的人脸信息存储数量达到10万人的,应当自数量达到之日起30个工作日内履行备案手续。此外,如果备案信息发生实质性变更的,个人信息处理者应当在变更之日起30个工作日内办理备案变更手续。
“个人信息保护业务系统”官网发布的《人脸识别技术应用备案系统填报说明(第一版)》(以下简称“《填报说明》”)对备案所需的信息和材料,以及备案流程提供了详细的说明。根据《填报说明》,个人信息处理者需要提供以下文件(相关模板见《填报说明》):
•个人信息处理者基本情况表电子版
•人脸识别技术应用情况备案表电子版
•个人信息保护影响评估报告电子版
•统一社会信用代码证件原件或影印件扫描件
•法定代表人或负责人身份证件扫描件
•经办人身份证件扫描件
•经办人授权委托书扫描件
•承诺书扫描件
•其他相关材料扫描件
需要特别说明的是,根据《填报说明》,如以集团公司等形式运营、有多个分支机构的,可以由总部统一履行备案手续;如多个个人信息处理者存在关联关系(多个子公司、办公区、连锁店、第三方服务企业等),且人脸识别技术应用的目的、必要性以及人脸信息处理方式、范围一致的,可以合并履行备案手续。
合规是信任的基石,更是发展的引擎。《办法》的落地实施,标志着我国对人脸信息这一敏感个人信息的保护进入精细化、强监管的新阶段。对企业而言,这不仅是法律合规的强制性要求,更是构建用户信任、塑造负责任品牌形象、赢得市场长期竞争力的核心要素。可以预见,随着《办法》的落地实施,网信、公安等监管部门可能会加强执法检查力度,开展专项治理行动。企业唯有将人脸信息保护置于重要位置,以高标准落实各项合规要求,方能有效规避风险、行稳致远。
阅读原文