上海拟出台公共场所人脸识别应用推荐性地方标准

专家学者建议人脸识别应用进一步细化合规指引

　　近日，上海市市场监督管理局发布《公共场所人脸识别分级分类应用规范（征求意见稿）》（以下简称《征求意见稿》），聚焦公共场所人脸识别系统建设前的分级分类评估及其应用要求问题，拟为公共场所人脸识别的分级分类应用建立推荐性地方标准，目前正在公开征求意见。

　　人脸信息作为生物识别信息，随着人脸识别技术在安防、教育、交通、支付等领域的广泛应用，被过度采集或者泄露、滥用等问题一直为人们担忧。对此，近年来，许多地方通过立法形式加强对人脸识别技术应用的规范。2021年，最高人民法院出台《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，规范正确审理使用人脸识别技术处理个人信息相关民事案件。此外，还有《信息安全技术 人脸识别数据安全要求》（GB/T 41819-2022）、《App收集使用个人信息最小必要评估规范 人脸信息》（T/TAF 077.7-2020）、《安全防范 人脸识别应用 分类》（GA/T 1470-2018）国家标准、团体标准和行业标准等。但在现实应用中，人脸识别技术仍存在合规困境，专家表示需要细化规定，为现实应用提供更明确的合规指引。

　　上海地方标准遵循风险动态治理路径

　　上海政法学院教授张继红表示，《征求意见稿》将人脸识别应用的常见公共场所按照应用场景和应用领域进行了两级划分，应用场景分为社会管理、行业应用、其他三类，应用领域在各应用场景下依照行业类别进一步细分。比如社会管理应用场景下包括公共安全、司法、政务、公共服务、交通等；行业应用场景下包括金融、医疗、教育、建筑、房地产、商业、娱乐等；其他包括社区和园区，主要应用涉及利用人脸识别技术实现人员管理、安全防范等目的场景。在分级方面，《征求意见稿》对公共场所实施人脸识别进行风险等级定级，根据人脸识别的应用目的、底库规模、覆盖密度、管理水平和网络环境等要素进行风险评估。

　　张继红表示，《征求意见稿》采用分类分级方式对风险进行赋值，按照特定的参数计算风险值，并根据风险要素的不同权重进行综合风险计算评分，将公共场所人脸识别风险从低到高分为低风险、中低风险、中风险、中高风险、高风险五级。它在设定通用管理要求外，使不同等级对应的通用管理要求（针对主体）、技术要求（针对人脸信息流通环节）以及分级应用要求有所差异，风险级别越高则规制要求越严格。例如，对社会管理场景中人脸识别技术的应用风险会预设低于行业应用场景，给予社会管理场景更高的宽容度，以保障民生福祉。再比如，底库规模人数越多、部署人脸识别设备的安装密度越高，那么人脸识别应用的风险程度就越高。

　　“对风险程度不同等级的划分，会激励引导企业、机构降低部署密度、提升系统安全水平与管理水平，将人脸识别设备更多地应用于安全防范而非商业分析、娱乐游戏等商业用途。”张继红说，《征求意见稿》还建立了事前、事中、事后的全过程管理闭环机制，以事前评估管理为基本定位，将公共场所人脸识别技术的应用风险进行事先预防性控制，真正实现“未雨绸缪”。

　　值得一提的是，《征求意见稿》还规定公共场所人脸识别风险等级应遵循应降尽降原则，并在附录C中提供了风险的消解、应对措施，贯穿数据收集、传输、存储、使用、公开披露、删除等全生命周期。张继红认为，此举不仅为企业、机构提供整改指引，也体现了风险动态治理的思路与理念。

　　人脸识别应用存在的合规困境

　　《征求意见稿》规定了人脸识别应用的通用管理要求、通用技术要求等。比如，在使用主体管理方面，要求组织并采用合法、合适的方式获得人脸识别对象的正式同意授权；在公共场所的显著位置，告知、设置人脸识别采集点位提示标识等。

　　个人信息保护法要求只有在具有特定目的和充分必要性并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。处理敏感个人信息除应当取得个人的单独同意外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

　　“在公共区域安装人脸识别设备后，如何在收集人脸信息前便履行完毕个人信息保护法规定的告知义务，这是实践中面临的另一难题。”厦门大学法学院教授郭春镇表示，目前，在公共区域设置的图像采集或者人脸识别设备难以满足个人信息保护法要求履行的“事前”告知义务。《个人信息保护法》第四条规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供等，即在人脸识别设备开始采集个人信息时，便已经进入了个人信息的处理过程。

　　实践中，人脸识别设备收集个人信息的过程往往是实时进行的，当个人信息主体进入人脸识别设备的图像采集范围时，其人脸信息便会自动被抓取。在这种场景下，即使采取措施，如张贴提示语并通过二维码扫描的形式提供完整的个人信息处理政策，可能最多只能做到同步告知，而无法做到事前告知。

　　张继红表示，从实践反馈情况看，何为《个人信息保护法》第十四条要求的“单独同意”，何为《个人信息保护法》第二十八条要求的“充分的必要性”“采取严格保护措施”，如何做到针对人脸识别场景的个人信息保护影响评估，实务界尚未形成较统一的做法。

　　《个人信息保护法》第二十六条规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。对此，郭春镇表示，目前对于何类主体有权在公共区域安装视频采集设备并没有清晰的界定标准。现实中，人脸识别技术常常应用在商场、小区、学校等公共场所。在这些公共场所安装人脸识别设备的前置合法性基础为“为维护公共安全所必需”，但法律并没有明确何为“为维护公共安全所必需”，即无法准确界定有权主张基于维护公共安全所必需安装人脸识别设备的主体范围。

　　人脸识别应用需要更明确的合规指引

　　当前，各地已陆续出台人脸识别应用相关的地方性法律法规或者地方标准、行业标准。比如针对上述谁有权安装人脸识别设备的问题，《北京市公共安全图像信息系统管理办法》中明确，仅政府有权在公共场所设置图像信息系统，但《西安市公共安全视频图像信息系统管理办法》则并未完全禁止除政府外的其他类型主体参与公共安全图像信息系统建设和维护工作。

　　郭春镇表示，清晰界定个人信息保护法规定的“为维护公共安全所必需”范围，牵涉到各类主体在公共区域安装人脸识别设备采集个人信息的合法性基础。他建议，在立法层面，对“为维护公共安全所必需”进一步界定，即尽快明确在公共区域内安装图像采集、人脸识别设备的适格主体范围。可以考虑参考《西安市公共安全视频图像信息系统管理办法》，对不同类型的公共区域设置不同的人脸识别设备安装义务主体。同时，还需要做好法律规定与现实状况的衔接过渡，如针对已经存在的由不适格主体安装的人脸识别设备，应当明确以何种方式纳入公共安全治理的法定范围等。

　　张继红表示，此次《征求意见稿》属于推荐性地方标准，遵循风险动态治理理念，具有较强的前瞻性与实用性。不过，受限于分类分级应用这一主题，无法对实践中法律适用问题进行全面回应，国家标准、行业标准以及地方标准、团体标准可以在充分了解企业数据合规需求的前提下就场景合规重点、难点作出细化规定，为企业提供更明确的合规指引。

　　“此次，上海发布的《征求意见稿》对不同人脸识别技术应用场景和领域进行了区分，在此基础上，从应用目的风险、底库规模风险、覆盖密度风险、管理水平风险和网络环境风险五个方面建立了人脸识别应用的风险等级评估机制，设置了完善的风险等级评估流程，这为不同场景下的人脸识别技术应用提供了有效的基于风险因素识别的义务主体划分依据，也能为公共场所人脸识别技术应用在不同场景下的告知义务的设置提供有效的参考指引。基于此，可以考虑允许人脸识别信息处理者履行同步告知、事后告知义务。”郭春镇说。

　　（广东北源律师事务所律师侯天赐、厦门大学法学院博士研究生张荣义对本稿亦有贡献）