作者：金茂律师事务所  金文玮 律师

从早些年开始（当时指纹识别的软硬件刚开始推广），我就在各种培训讲课时一直强调，从密码安全性的角度来讲，生物识别不是一种很好的密码方式，数字字母构成密码组合可以在泄密事件发生后进行更换，但是生物特征可替换性实在太低——指纹总共十个（脚趾纹很难用于日常识别），虹膜才两个（即使杨戬出马也只有三个），脸部特征识别更是只有靠大整容才有变换的可能。所以尽管生物识别更便捷，但出于安全考虑不宜大量推广使用。

但是技术发展与普及的根本动力是人类的惰性，生物识别尤其是人脸识别还是被广泛应用了。经济基础决定上层建筑，在人脸识别技术被广泛应用的时候，国家网信办出台了《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（以下简称“人脸识别规定”），希望在制度层面对“刷脸”应用进行规范，以期在技术便捷与信息安全中取得平衡。

“人脸识别规定”全文二十五条，第一条至第五条相当于总则：第一条（立法目的、上位法依据）、第二条（适用范围）、第三条（立法价值导向）、第四条（必要性原则）、第五条（同意原则）；第二十三条（法律责任）相当于罚则；第二十四条（解释权归属）、第二十五条（施行日期），相当于附则。第六条至第二十二条，共十七条属于实质性条款。

一、“三前一后”的第四条是总则中最值得关注的条款

“人脸识别规定”为人脸识别技术使用设定了“三前一后”的使用原则——“三前”指人脸识别技术使用有“三个前置条件”：特定目的、充分必要性、严格保护措施；“一后”指人脸识别技术应“劣后”使用，即有其他生物特征识别技术方案可供选择时（注意，这里使用的词语是“生物特征识别”，而不仅仅是“人脸识别”），应当优先选择非生物特征识别技术。

第四条 只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求，存在其他非生物特征识别技术方案的，应当优先选择非生物特征识别技术方案。

使用人脸识别技术验证个人身份、辨识特定自然人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。

二、“一禁三场所”——人脸识别应用场所的四个分类

“人脸识别规定”第六条至第九条，将人类识别应用的场所分成了五类，然后进行区分规定。

“一禁”——旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所，禁止使用。

“公共场所”——维护公共安全所必须，设置显著标识；建设、使用运维单位负保密义务，是的用于维护公共安全目的；取得个人单独同意除外。

“组织机构内部”——合理确定采集区域，严格保护措施，防止违规查阅、复制、公开、对外提供、传播；防止个人信息泄露、篡改、丢失、被非法获取、利用。

“经营性场所”——宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等接近于公共场所的经营场所，不得强制、误导、欺诈、胁迫个人接受人脸识别；个人自愿选择使用人脸识别，应当确保个人充分知情、主动参与，验证过程的语音、文字等方式应即时明确提示验证的目的。

三、“人脸识别”技术应用的五个限制

“人脸识别规定”第十条至第十四条，对人脸识别技术的应用设置了五种限制情况。

“公共场所、经营场所，远距离无感式识别的限制”——第十条规定远距离无感式识别，仅限“为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需”。

但是征求意见稿中还有一句“并由个人或者利害关系人主动提出”，这句话有点看不懂，既然是“远距离”“无感”，个人可能连知道都不知道，还怎么主动提出？我猜测可能“并”字应该是“或”字的笔误吧？

“不得分析种族、民族、宗教信仰、健康状况、社会阶层等敏感信息”——第十一条规定除维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需，或者取得个人单独同意外，不能将人脸识别用于分析敏感个人信息。也就是说，通常情况下组织或个人使用人脸识别技术的，应该仅限于身份识别所用，不能将采集到人脸图像用于分析其他个人信息。

“涉及重大利益，人脸识别不得替代人工审核”——第十二条规定在涉及重大利益的行为时，人脸识别知识技术只能作为人工审核身份的辅助手段，不能完全替代人工审核。

“未成年人的限制”——第十三条规定处理不满十四周岁未成年人人脸信息的，应当取得未成年人的父母或者其他监护人的单独同意或者书面同意

“物业管理的限制”——第十四条是备受关注的一条规定。物业服务企业等建筑物管理人不得将人脸识别技术验证作为出入的唯一方式，个人不同意使用人脸识别的，管理人应当提供其他合理、便捷的身份验证方式。

四、人脸识别技术使用者的五个义务

“人脸识别规定”第十五条至第十九条，对人脸识别技术的使用者处理个人信息应用设置了五个义务。

义务一：事前进行个人信息保护影响评估，并对处理情况进行记录。第十五条规定应当进行事前评估，这与《个人信息保护法》的规定相一致。

义务二：向网信部门备案。第十六条规定人脸识别技术的使用者应当向网信部门备案，当然并不是所有情况都需要备案，“在公共场所使用人脸识别技术，或者存储超过1万人人脸信息的”才应当备案。

义务三：不得保存人脸原始图像、图片、视频。第十七条规定使用者不得保存人脸原始图像、图片、视频；除非法定、个人单独同意或匿名化处理。也就是说立法者希望识别技术的使用者尽量“一过性”使用人脸识别的图像，或者保持低像素的识别资料以防止万一泄露后被再利用的可能。

此外，“人脸识别规定”还规定向社会公众提供人脸识别技术服务的，还应达到“三级等保”以上的要求。

义务四：避免采集与服务无关的人脸信息。第十八条规定使用者应尽量避免采集与服务无关的人脸信息，无法避免的，应当及时删除或者进行匿名化处理。

义务五：每年进行设备安全性和风险监测评估。第十九条规定处理者应当每年对采集设备、识别设备的安全性和可能存在的风险进行监测评估。需要注意的是，这个监测评估并没有对处理量有门槛要求，只要进行了人脸识别就要每年进行测评——不存在处理量小就无需测评。

五、放在第二十一条、第二十二条的监管者

过去的立法体例中，规定由监管部门负责执法等内容往往会先出现在总则中，然后会在后面的条文中加以具体规定，但“人脸识别规定”将对监管部门的规定放到了第二十一条与第二十二条。

第二十一条规定负责监管检查、指导督促的单位为“网信部门会同电信主管部门、公安机关、市场监管部门等有关部门”。

第二十二条规定接受投诉举报的单位为“网信、电信、公安、市场监管等有关部门”。