十三届五次会议征集提案精选
标　题	关于规范人脸识别应用，防范伦理与法律风险，促进人工智能产业健康发展的提案
提案者	民革广州市委员会
情况分析	一、问题分析 　　当前我市人工智能（AI）产业突飞猛进，特别是人脸识别技术在交通、治安、疫情防控等方面成为政府好帮手，带来了社会治理、生活方式重大变革,同时可能引发复杂多元的科技伦理、公共安全和法律风险，需要引起高度重视。 　　1、人脸识别技术被大量使用，存在公共安全隐患。人脸识别技术已在房地产、商场、写字楼、游乐园等机构及学校、医院、车站、出租车等场所广泛使用，“黑科技”刷脸机在人们不知觉间就采集大量人脸识别生物信息数据。市民去售楼部咨询买房，往往就被摄像头偷拍人脸数据。部分小区物业要求业主录制刷脸信息，否则为其进出小区、使用电梯加设障碍。在商场，人脸及消费特征信息已贯穿注册、到店、跟踪、管理的会员运营管理全流程。对人脸识别的强制使用屡屡成为热点事件，杭州市民诉杭州野生动物园的“人脸识别第一案”，消费者戴头盔看房等事件引发公众对人脸识别技术滥用的忧虑。 　　人脸识别生物信息在安装、采集、储存、使用时缺少规范管理，无限制使用存在公共安全隐患，人们无处遁形的行踪记录，一旦被用于不法领域，危及人身与财产安全。随着海量的人脸数据被收集、上传云端，泄露、乱用及滥用可能性急剧上升，而违法惩处机制并未落实到位，未来人脸数据或将与电话、身份证号一样成为不法分子的新手段。2020年10月媒体曝出南宁有不法中介利用政府房地产交易管理平台漏洞，将10多套二手住房在业主不知情时以其偷录的人脸识别数据“刷脸”成功过户，私自抵押套取资金1000多万元。 　　2、人脸识别生物信息无节制使用引发技术伦理问题。人脸识别生物信息具有唯一性、永久性，不像密码可以替换，因为无法换脸，终身无法修改，一旦泄露即终身泄露，即便法律维权成功也难以恢复原状；也不像指纹识别需主动操作，人脸公开外露在无感时就能可采集数据；该技术存在不可控性，数据使用者安保水平与能力参差不齐，人脸照片、视频及伪造3D头套等都有可能被机器识别。 　　目前允许任何组织单位可随意收集民众人脸数据，学习、工作、休闲、生活等场所皆被人脸识别监控，个人行踪被精准记录，人们隐私空间被挤压殆尽，由此导致技术伦理困境：技术让人更自由，还是更受束缚？隐私权未受有效保护，将极大伤害公众安全感。 　　3、法规和部门管理不到位，导致行业治理问题。人工智能具有广泛渗透性和技术颠覆性，相关法规和部门管理的缺位，也导致行业治理的痛点：如公众对信息泄露的担心——人脸信息公开无法加密、绑定财务账户、技术不完善易被黑产盗用；公众知情权被剥夺，无奈“丢脸”，没有隐私协议保护；企业责任与商业伦理缺失，相关单位聚焦于隐私监控而在信息保护、身份认证等技术上缺少主动性与责任感。 　　业内人士透露，类似人脸信息泄露的安全事故已比较普遍，犯罪分子通过非法购买个人信息制作“换脸”视频就曾突破支付宝人脸识别认证，也曾有人绕过厦门银行App的人脸识别系统，使用虚假身份信息注册多个账户并倒卖牟利。
具体建议	二、对策建议 　　作为新一代人工智能创新发展试点城市，广州需确保安全底线，探索构建新型人工智能治理框架，在发展与安全上取得平衡，保障产业行稳致远。 　　1、组织市级专项立法，完善人工智能法律法规 　　落实中央经济工作会议“健全数字规则，完善互联网数据法律规范”的要求，在民法典、《信息安全技术》国家标准及个人信息保护法等法规指导下，我市可率先制定相关法规条例，完善制度，为产业健康发展保驾护航。 　　建议市人大尽快制定《生物信息保护条例》。明确界定设备及数据主管部门职责、技术标准、数据使用、管理权限、资质要求等。规范生物信息数据权属及机制，明确数据所有权、使用权及收益权，健全使用、交易、共享等机制。设置机构准入场景、准入条件、权限及程序。机构采集、使用、共享权限，及摄制、采集、储存、传播、使用、销毁等程序。 　　同时完善问责及处罚制度。制定人脸识别等生物信息泄露、诈骗等追责机制，明确处罚构成要件、处罚标准，防范技术滥用。强化跨部门工作协同，保障个人信息保护工作高效开展。 　　2、为技术应用设立专门监管机构，加强数据保护 　　健全组织体系和工作机制，深化我市“放管服”改革，建议将人脸识别社会场景应用的审批与监管纳入市公安部门管理职能。设立审批标准及程序。除道路、交通工具、银行等法律规定的安防应用以外，单位、个人在应用人脸识别技术前应自主申报，由公安部门依法审批与监管。涉及对特定及非特定对象已应用人脸识别处所，如写字楼、商场、企业等单位及公园、学校、市场都需申报，公安部门依法审核其合法、正当和必要性；对数据安全进行积极监控，探索更安全的数据保护模式，要求信息处理者以必要安保措施限于最小范围使用；设立群众维权投诉渠道。 　　3、强化应用场景必要性审查，维护个人信息主体权益 　　按目的合法正当、最小必要原则进行审查，限制使用场景。对于如小区等特定人群人脸识别应用，须以自愿为原则由个人信息主体进行必要性审查。物业应将其视作新增公共设施建设项目，交由业主按户数及面积2/3以上投票通过后方可申报审批，同时保障业主选择权，不可强制使用。对于如商场等非特定人群的经审批的人脸识别应用，须以最小化使用为原则并显著标识；保障公众选择权，不可强制使用；商城不可使用人脸识别收集顾客行为数据。 　　4、整治不规范的采集与使用，提升政务系统安全性能 　　对不合规安装、使用人脸识别技术的要求定期整改，依法打击非法滥用。制定集中整治计划，开展自查、主管核查、公安检查和市民举报等专项整治，重点整治相关企事业单位、房产销售机构、商场超市、住宅区等，对未经审批擅自安装该设备的，依法进行行政处罚、设备拆除及数据销毁。同时清理电子政务平台人脸识别认证安全漏洞，设置刷脸文字提醒、增加验证码确认等提升系统安全性能。督促人工智能企业提升信息安全能力。 　　5、引导行业自律，完善标准和伦理规范 　　主管部门引导鼓励相关行业协会和中介组织制定人工智能产业技术标准、行业自律规范，制定科技伦理规则，强化开发企业与应用单位保护个人隐私责任。开展法律法规与公民隐私宣传教育，强化企业科技伦理与法律培训，全社会要加强生物识别信息保护的底线意识，促进人工智能行业稳健成长。