《個人信息保護法》的醞釀和施行，正在改變人們“習以為?！钡囊恍┬袨椋缢⒛槾蚩?、刷臉支付、刷臉考勤，這也影響著人臉識別背后的產業(yè)。該法首次將人臉歸為敏感個人信息，將人臉識別納入監(jiān)管范疇。

11月7日，一位來自北京航空航天大學的教師對記者表示，學校曾在疫情期間大規(guī)模引入人臉識別門禁設備，安裝在校門和教學樓門口，并要求高校教師進行人臉數據錄入、出入刷臉。近期，該校在教學樓設備旁邊另外放置了一個本子，規(guī)定不愿意刷臉的人可以紙筆登記進入。

這一改變符合《中華人民共和國個人信息保護法》（下稱《個人信息保護法》）首次對人臉識別作出的規(guī)范。中國人民大學法學院教授張新寶對記者表示，法律要求，企事業(yè)單位收集和處理人臉信息必須要有合法依據，目的必須是服務公共安全，同時，還要提供替代措施，比如工作單位考勤，不能強制性要求員工進行人臉圖像采集和比對，要對拒絕者提供身份證核對等一些替代措施。張新寶全程參與了《個人信息保護法》的立法工作。

同時，記者從商湯科技、曠世科技處獲悉，作為人臉和圖像識別技術的新銳企業(yè)，兩家公司正加緊對人臉識別產品進行安全升級和改造，包括待售的和過往售出的設備。

更多細小的改變表明，《個人信息保護法》的醞釀和施行，正在改變人們“習以為?！钡囊恍┬袨?，如刷臉打卡、刷臉支付、刷臉考勤，這也影響著人臉識別背后的產業(yè)。該法首次將人臉歸為敏感個人信息，將人臉識別納入監(jiān)管范疇，為保護用戶權益，對技術的提供方、使用方提出了一系列規(guī)范。

拒絕刷臉將有法可依

《個人信息保護法》在國內首次將個人信息分類成敏感和非敏感個人信息，并將人臉歸為敏感信息。張新寶表示，法律生效后，原則上數據處理者不能收集這些信息。如需處理需要經本人單獨同意，而且只能用于特定目的，用完后不可用到別處或出現泄漏，否則就屬于違法行為。

張新寶表示，法律規(guī)定，若侵權情況嚴重，可以提起公益訴訟。針對違法處理個人信息的行為、受害人人數眾多，可向三大類機構進行起訴，包括人民檢察院、法律規(guī)定的消費者組織、由國家網信部門確定的組織，這些機構再針對性地提起個人信息保護公益訴訟。

上述商湯科技和曠世科技兩家公司屬于技術提供方，北京航空航天大學以及更多采用刷臉設備的高校、銀行、機場，都屬于技術的使用方，兩者均為《個人信息保護法》規(guī)定的責任主體，如果被個人起訴，將共同面對監(jiān)管和懲罰。

一位商湯科技人員對記者表示，團隊自今年上半年開始做安全合規(guī)工作，任務量非常大，團隊高度重視，因為如果客戶因隱私安全不合規(guī)而被起訴，公司也要共同面臨相關索賠或者法律程序。

牽動人臉識別產業(yè)

中國信通院云計算與大數據研究所所長何寶宏對記者表示，該法將對人臉識別產業(yè)帶來全面影響。第一，《個人信息保護法》要求處理敏感個人信息需取得個人單獨同意，在公共場合下出于商用目的人臉識別應用需落實“單獨同意”制度，但由于條件非受控，用戶的“單獨同意”將成難題。所以對人臉識別的技術使用方來說，部分應用場景落地會受限，包括智慧園區(qū)、智慧零售、智慧校園等，部分人臉識別企業(yè)的業(yè)務會收縮。

第二，《個人信息保護法》明確要求，處理人臉信息的企業(yè)要開展事前個人信息保護影響評估、定期開展審計，這就需要企業(yè)配備必要的法務、審計人員，或委托第三方提供服務?？梢哉f，法律將直接增加人臉識別技術使用方、技術提供方的合規(guī)成本，尤其對人臉識別的技術提供方，將直接影響部分產品的功能形態(tài)。

但另一方面，何寶宏表示，法律也為人臉識別企業(yè)健康發(fā)展提供了具體實踐路徑，針對人臉信息處理提出有效的治理體系，有助于人臉識別產業(yè)長期健康發(fā)展。

何寶宏表示，總之，《個人信息保護法》的頒布實施，給企業(yè)帶來更加明確、嚴格的法律要求，產業(yè)界將可能經歷“陣痛期”。但長遠來看，在合規(guī)、可信的“雙驅動”下，產業(yè)界將持續(xù)提升個人信息保護及數據安全的治理能力，逐步實現用戶權益保障和產業(yè)健康發(fā)展的平衡。

治理與發(fā)展并重

人臉是所有生物信息中，社交屬性較強、較容易采集的一種個人信息，人臉識別作為人工智能應用中的一種，過去幾年，率先被安防、金融、安防等行業(yè)大規(guī)模采用。

在企業(yè)和資本的推進下，人臉識別技術正在大面積地、深入地進入社會生活，對維護社會治安起到了重要作用。但是，對人臉識別有意識的“濫用”和“無意識的”誤用行為，已經引起社會的擔憂。

何寶宏表示，業(yè)界當前重點討論的是，在數據層面，訓練數據的來源是否可靠、可追溯，訓練數據本身是否全面、準確，以及人臉信息的脫敏和去標識化處理如何做到規(guī)范統一且可落地；在算法層面也存在識別安全性的問題，一些面具仿冒、對抗樣本攻擊等，有可能造成識別失效；從應用上看，人臉識別作為一種身份認證技術，同密碼、指紋等傳統身份認證技術一樣，都存在一定被攻破的概率，現階段尚不存在百分之百安全的技術。

何寶宏表示，長遠來看，人臉識別行業(yè)的安全合規(guī)，需要政府主管部門、科研機構、法律機構、技術提供方、技術使用方以及用戶方構共建一個良性的生態(tài)環(huán)境，中國信通院云大所發(fā)起的“護臉計劃”，就是針對人臉識別的安全合規(guī)問題、聯合社會各界共同組建的一個開放平臺，也歡迎各方積極參與，共同提升全行業(yè)的安全合規(guī)能力，促進產業(yè)的健康發(fā)展。

中國社科院哲學所科技哲學研究室主任、研究員段偉文表示，在新冠疫情到來之前，一些公共場所部署人臉識別的閘機和門禁，就引發(fā)了一些爭議，隨著疫情出現，這些技術在特殊條件下被大規(guī)模采用，過程中也受到法律界的質疑。

段偉文表示，整個社會都對科技活動有一種許可，而這種許可沒有具體形式，比如化工廠、垃圾焚燒廠、核電站的建設過程需要許可。而從政府治理的角度，要把技術的風險扼殺在搖籃里，不能等出現惡性事件、公眾負面輿論多了之后再來處理。

The END

本文來自微信公眾號“經濟觀察網”（ID:eeojjgcw），作者：沈怡然，36氪經授權發(fā)布。

關鍵詞： 你可以 個人信息 保護法