近日，国家互联网信息办公室起草了《人脸识别技术应用安全管理规定(试行) (征求意见稿)》 (下称“《征求意见稿》”)，向社会征求意见。结合我们此前对现有的相关法律法规以及司法解释[1]、国家标准[2]的解读，以及近期的实践经验，我们在此就《征求意见稿》当中的一些重要条款进行探讨，希望对使用人脸识别技术的企业开展合规工作有所启发和帮助。

1. “国家人口基础信息库”和“国家网络身份认证公共服务”

《征求意见稿》第四条提到，使用人脸识别技术验证个人身份、辨识特定自然人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。

国家人口基础信息库是首个实现多部委共建共享的国家电子政务示范工程。该项目是以国家电子政务外网为依托，由公安部牵头，教育部、民政部、人力资源和社会保障部、卫生和计划生育委员会共建，覆盖全国人口，以公民身份号码为唯一标识的国家数据库。国家人口基础信息库已于2017年底竣工验收，现已在民政部异地婚姻登记、低保救助，人社部社保发卡、养老保险管理、卫计委跨省医保办理、教育部学籍网络查询等基础业务工作中广泛应用，面向地方政府电子政务服务大厅提供公民身份信息共享核查服务，并与国家数据共享交换平台对接，实现了人口基础信息对跨部门业务应用的支撑。

国家网络身份认证公共服务是由公安部会同有关部委组织建设的公共服务平台，旨在为社会提供安全、便捷、权威、高效的网络身份认证公共服务。现已发布该平台的移动应用程序，运营商为公安部第一研究所，公众可在手机上安装使用。

2.  在公共场所使用人脸识别技术处理人脸信息

《征求意见稿》规定，公共场所所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；并且，《征求意见稿》列举了一些经营场所，包括宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆。虽然没有单独就“公共场所”和“经营场所”进行定义或者区分，但结合上下文，以及最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》[3]，还有通过公开渠道已经可以查询到的不少公共场所经营者因不当使用人脸识别摄像头而被处罚的案例[4] ，我们认为，在通常的人脸识别技术应用场景下，这些经营场所都是公共场所。

另外，《征求意见稿》的各项原则性规定均不区分近距离的单个人脸识别和通过远距离、无感式批量识别的技术手段。因此，特别当相关场所的经营方拟采用远距离、无感式批量识别的方式，来采集和识别个人身份信息的，除了需要依照规定取得个人单独同意外，还要注意《征求意见稿》第十条的特殊规定。

待征求意见的工作结束，《人脸识别技术应用安全管理规定》正式发布后，其自然会成为一项主要的监管依据，由监管部门进一步推动个人生物识别信息的监管工作。这也对使用相关技术的企业提出了新一轮的合规要求。

3. 合规义务

《征求意见稿》明确，人脸识别技术使用者处理人脸信息，应当事前进行个人信息保护影响评估，并对处理情况进行记录[5]。并且，在公共场所使用人脸识别技术，或者存储超过1万人人脸信息的人脸识别技术使用者，应当在30个工作日内向所属地市级以上网信部门备案[6]。人脸识别技术使用者还应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估，并根据检测评估情况改进安全策略，调整置信度阈值，采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏[7]。

4. 有关物业服务企业的专门规定

可能是由于前段时间在全国各地出现的住户投诉物业服务企业不当使用人脸识别技术的情况，《征求意见稿》专门在第十四条针对物业服务企业作出规定：物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式，个人不同意通过人脸信息进行身份验证的，物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。该条规定同时适用于住宅、酒店、办公楼、厂房、仓储设施等各类物业。

5. 需要更加审慎地选择人脸识别技术方案

《征求意见稿》第四条规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求，存在其他非生物特征识别技术方案的，应当优先选择非生物特征识别技术方案。

面部识别特征作为《中华人民共和国个人信息保护法》第二十八条明文定义的“敏感个人信息”，其收集、存储、处理都需要适用更加严格的标准，《信息安全技术 个人信息安全规范（GB/T 35273一2020）》中明确提出了“ 个人生物识别信息应与个人身份信息分开存储”、“原则上不应存储原始个人生物识别信息”、“个人生物识别信息原则上不应共享、转让”等要求。而前述《征求意见稿》的规定进一步明确了“特定的目的和充分的必要性”以及“采取严格保护措施”的前提条件，同时提出了“存在其他非生物特征识别技术方案的，应当优先选择非生物特征识别技术方案”的要求，个人信息处理者需要更加审慎地选择人脸识别技术方案，充分考虑该技术方案的必要性以及是否存在可替代的非生物特征识别技术方案。

Photo from Viola, P. and Jones, M. (2001) Rapid Object Detection Using a Boosted Cascade of Simple Features.

和个人的联系方式、银行账号、支付密码等个人信息不同的是，人脸识别信息等生物识别信息不是可以轻易改变的，一旦被泄露或被非法使用，更加容易导致自然人的人格、人身和财产受到危害或侵害。人脸识别技术经过几十年的发展，在大数据、机器学习等技术的加持下，其识别精确度正在飞速提高，并已经实现了广泛的应用。但很显然，并不是每个技术使用者都具有完备的、合规的技术能力和管理能力，来保障其收集、存储、使用、传输、提供、公开、删除等具体处理活动的安全。有关人脸识别技术应用的便利性和安全性的争论还在继续。

《征求意见稿》的意见反馈截止时间为2023年9月7日。如果您希望和我们就生物识别技术的合规作进一步探讨，欢迎随时联系我们。

[1] 主要包括《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》，以及最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等。

[2] 主要指《信息安全技术 个人信息安全规范（GB/T 35273一2020）》《信息安全技术 人脸识别数据安全要求（GB/T 41819—2022）》《信息安全技术 生物特征识别信息保护基本要求（GB/T 40660-2021）》等。

[3] 最高人民法院2021年7月27日公布，2021年8月1日施行。

[4] 比较知名的有，某房地产开发商安装⼈脸识别摄像头，未取得单独同意的情况下擅⾃在访客进⼊售楼⼤厅后⾃动采集⼈脸信息，防⽌售楼中⼼⾃访客⼾转化成中介客⼾；以及某卫浴品牌经营部安装⼈脸识别摄像头，使⽤具有⼈脸识别的监控设备收集⼈脸信息，统计分析客流量、性别构成、年龄段等数据，并⽤于制定销售政策。

[5] 《征求意见稿》第十五条。

[6] 《征求意见稿》第十六条。

[7] 《征求意见稿》第十七条。