为隐私保护装上“安全阀”

日前，国家网信办就《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（以下简称《规定》）公开征求意见。其中提出，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可使用人脸识别技术处理人脸信息。

如今，人脸识别技术应用已经颇为广泛，不过这项技术在显著提升高效便捷效用的同时，也伴生来源更为多样、程度更为深刻的安全风险。现实中，一些物业要求业主刷脸才能进小区；一些开发商为精准获客，在售楼部偷偷设置人脸识别系统；部分网络应用程序强制开通人脸认证；甚至还有动物园要求游客入园必须刷脸……都一再引发争议和担忧，乃至闹上法庭。

其实人脸识别技术并非“法外之地”，不少法律和政策中对人脸识别技术的应用都有原则性规定，但出台专门的人脸识别技术应用安全管理规定，为其划定更准确的航道，依然是必要的。

有分析指出，此次《规定》中的诸多条款，都是对一些常见但仍有争议的人脸识别应用场景作出回应。比如，明确宾馆、银行等场所不得以办理业务、提升服务质量为由强制采集人脸信息；物业不得将人脸识别作为出入唯一验证方式；旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备；人脸识别技术使用者处理不满十四周岁未成年人人脸信息的，应当取得未成年人的父母或者其他监护人的单独同意或者书面同意……

此外，《规定》还提出，在公共场所使用人脸识别技术，或者存储超过1万人人脸信息的人脸识别技术使用者，应当在30个工作日内向所属地市级以上网信部门备案。而大型演唱会动辄数万人，若使用人脸识别，也必须进行备案。这些都反映了监管机关前移治理关口、最大限度降低人脸识别技术应用安全风险水平的综合治理思路。

总之，新规是遵循个人信息收集的最基本原则——“最小必要”。也即，最大程度避免滥用，防止其打开“潘多拉魔盒”。这背后涉及个人信息收集的一个根本理念问题：不管是以何种手段来收集个人信息，都应该是以让渡个人信息的个体为本位，来思考其必要性、安全性，而不是以收集者和使用者的需求为本位。通俗说，不能让收集者的方便考量，凌驾于个人的信息安全之上。

针对新规，也有专业人士建议，《规定》现正处于征求意见阶段，难免还有不完善之处。立足当下技术、经济和社会生态现状，为实现人脸识别技术治理水平的进一步提升，可将实践场景应用中日渐多见的算法因素考虑在内，调研并针对重点场景中的人脸识别算法运用，引入或明确专门的合规要求。还应着眼实现敏捷治理的监管落地，进一步细化重点监管机制的运行方式和程序时限。还可提高合规操作的明确性和确定性，如就人脸识别应用场景中的“匿名化处理”要求，进一步明确其实现途径和实现程度，助益各方准确理解和把握必须达到的合规水准。

也有声音认为，眼下五花八门的人脸识别应用已经非常普遍，相关政策制度的完善，不止于对违规行为的一种预防，更是立足于对业已出现的乱象作出更有力的规制和纠偏。而这，必须依赖于相关监管的完善。（邹通）