人脸识别技术的不断发展和广泛运用，给我们的生活带来了很大的便利。随着人脸识别技术的成熟与普及，获取和使用人脸识别技术的门槛已经越来越低，而采集人脸数据的途径相当广泛和“便捷”。

    苏州市人大代表吴卫忠调研发现，目前，对人脸数据的采集尚缺乏强制性的许可及管制规范，各类主体基于自身需要，采购人脸识别设备、设置人脸识别要求并进行人脸信息采集，人脸数据采集存在任意性。对于被采集人脸数据的公众而言，既有经过个人同意的数据采集，也有“被迫”同意的数据采集，还有在不知情的情况下被采集了人脸数据。人脸数据的采集仍处于相对任意、无序的发展状态，呈现出技术滥用的趋势，给人脸数据信息泄露及非法使用埋下了很大隐患。人脸数据具有识别唯一性、关联验证性等特征，使得人脸数据具有极高的利用价值，这也导致人脸数据随时面临着被非法利用的风险。同时，法律规制对于人脸识别技术的监管明显滞后，监管层面尚存在监管依据相对缺失、监管手段相对滞后、监管重心尚待聚焦等问题。

    吴卫忠代表对此提出建议：
    一是规范人脸数据采集行为，从源头上遏制人脸数据的非法交易与利用。确立正当、合理、必要的使用原则，就是要平衡技术创新与个人信息保护之间的冲突矛盾。从数据采集主体、采集目的、采集方式等层面限制公共场所的人脸数据采集。在公共场所安装人脸识别设备，应当为维护公共安全所必需,所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的。
    二是加强个人信息权利保障，从知情权、决定权、选择权、删除权等层面加强个人信息权利保障。相关主体通过人脸识别技术收集、使用人脸数据信息时，应当事先向个人履行告知义务，具体告知收集使用的主体、目的、期限、信息种类等，以便个人明确获取人脸识别的信息，作出是否同意信息采集的判断。个人作为人脸数据信息的所有权人，有权决定是否允许相关主体收集使用自身人脸数据信息。除法律法规另有规定之外，任何主体不得在未经个人同意的情况下擅自收集使用人脸数据信息。无论是公共服务还是商业服务，在非必要的情况下，均应当尊重个人的选择权，提供除人脸识别之外的其他方式，不得以个人不同意接受人脸识别为由拒绝提供产品或者服务。当人脸信息收集使用的目的已经实现、相关服务已经完结或者收集使用行为已经失去正当性、合理性或必要性时，个人即有权要求相关主体删除人脸数据信息，相关主体也应当负有主动删除个人信息的义务。
    三是重点强化人脸数据信息安全保护，有效保障人脸数据信息的安全。要压实主体责任，人脸识别技术提供方、使用方应当对数据信息采取加密措施，制定并执行数据安全管控制度，对不同人员的数据访问权限进行分级管理。引入第三方测评机制，委托第三方专业机构就数据安全保护措施是否符合相关标准等问题，对人脸识别技术服务提供方、使用方等进行测评。建立数据泄露溯源机制，及时发现信息泄露源头，不仅有利于从源头上阻断信息后续泄露，有效应对大规模人脸数据泄露导致的安全风险。强化全流程监管，强化前置监管措施，构建以事前预防为中心、事中监管为常态、事后救济为保障的全方位数据信息安全防护网。

    苏州市公安局会同市场监督管理局、市政府办公室、人民银行苏州中心支行等部门办理了该件建议，并及时答复代表。

    2018年以来，依托人脸识别、车辆识别等新兴技术，苏州公安创新建立了新一代治安防控体系即“城市盾牌”，通过近两年的发展，已成为全国单体规模最大的安防平台，初步实现了省委提出的“一人入苏，全程掌控”的实战目标。在打击犯罪方面，通过人脸识别精准锁定人员身份，实时推送抓捕预警指令，精准赋能打击破案。截至2021年3月31日，共抓获各类违法犯罪对象15673人，其中在逃人员2116人（逃亡10年以上的命案逃犯71名，八类重点案件逃犯72名），抓获人数全省第一。在便民服务方面，通过人证核验设备向政府窗口业务输出身份核验能力，服务各类办证业务达2000余万次，有效提升了人民群众满意度、获得感。

    至今年上半年，苏州公安累计建设各类前端设备近32万路，将人脸自动采集设备全部架设在公共区域，并在大部分点位做了标志提醒；数据仅留存三个月，采用循环覆盖机制，不做永久存储；数据流转全部通过专用通道、专用网络进行传输，全部流程通过监测服务体系；使用严格的多维认证登录方式，严格控制登录环境，全程记录应用日志，确保数据使用合理合规。围绕“放管服”需求，公安人脸数据对外服务仅限于政务APP和政务办事窗口人证核验服务，主要支撑政务无证办事事项，不向任何社会机构、互联网企业提供任何人脸数据服务。

    根据未来公安大数据智能化应用需求，苏州公安大数据部门会持续针对公安人脸采集工作从前端、网络、平台、数据、应用、终端和边界等维度，构建以安全技术体系、安全管理体系为主体的立体化纵深安防体系，从被动防御角度来筑牢安全阵地，常态化开展边界整治、资产扫描、渗透测试、攻防演练等工作。

    苏州公安历来重视对侵犯公民个人信息相关违法犯罪行为的打处， 2020年，苏州公安共计破获侵犯公民个人信息的刑事案件136起，办结侵犯隐私行政案件1193起，抓获违法犯罪嫌疑人1355名，其中提起公诉168人，摧毁了多个侵犯公民个人信息犯罪团伙及相关产业链条，有效震慑了违法犯罪分子。

    为了规范人脸识别应用，防范伦理与法律风险，在实现“刷脸”便捷的同时，确保“护脸”规范，市公安局提出了列出必要的应用场景清单、加强社会面人脸采集治理、增强行业协会的内部监督、加大对侵犯隐私打处力度等建议措施。

    苏州市公安局大数据建设应用支队副支队长胡雷地介绍，《网络安全法》规定，生物识别信息属于个人信息，受法律保护，并确立了“谁收集，谁负责”的原则。监管部门要研究列出必要的应用场景清单，在对人脸识别生物信息采集的范围、场景等必要性规定方面进行列举，除道路、交通工具、银行等法律规定的公共区域安防监控设备以外，涉及公园、市场、企业以及商场等单位按程序自主申报，在应用人脸识别技术上进行审批，以必要安保措施限于最小范围使用，并对安全使用进行积极监管。同时，要加强社会面人脸采集治理。《民法典》明确了公民个人信息处理的原则和条件，处理个人信息应当遵循合法、正当、必要的原则。建议由监管部门研究明确：谁可以安装图像采集和个人身份识别设备，需要什么样的程序批准，由谁来批准等问题，并统筹对照国家现行法律条款统筹落实责任。对公共场所使用人脸识别技术从数据采集主体、采集目的、采集方式等层面进行限制，增强相关开发和应用单位在信息收集与使用等方面的主动性与责任感，降低数据被泄露与滥用的可能性。