在人脸识别技术应用场所方面,《规定》要求,旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备。宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
同时,在公共场所安装图像采集、个人身份识别设备的建设、使用、运行维护单位,对获取的个人图像、身份识别信息负有保密义务,不得非法泄露或者对外提供。
近年来,有的房地产售楼中心为判定客源,在消费者进入售楼中心后便开始抓拍消费者人脸照片并记录消费者在售楼中心内的行动轨迹,甚至将消费者人脸照片储存在本地服务器。此类问题引发社会广泛关注。
对此,《规定》提出,在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人,应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出。
人脸识别技术使用者应个人或者利害关系人请求使用人脸识别技术远距离、无感式辨识特定个人或者利害关系人的,应当将相关服务限定在最小必要的时间、地点或者人群范围内,不得关联与个人请求事项无直接必然相关的个人信息。
加强个人信息保护影响评估
《规定》提出,人脸识别技术使用者处理人脸信息,应当事前进行个人信息保护影响评估。评估内容包括,处理人脸信息是否具有特定的目的和充分的必要性;发生或者可能发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、非法利用的风险以及可能造成的危害;可能对个人权益带来的损害和影响,以及降低不利影响的措施是否有效等。