2024人臉識別產(chǎn)業(yè)法律治理研究報告

2024人臉識別產(chǎn)業(yè)法律治理研究報告前言人臉識別技術(shù)是對靜態(tài)或視頻中的人臉圖像進行特征62條進一步強調(diào)了人臉識別信息的特殊性，要求有關(guān)部門針對人臉識別制理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律202388（以下簡稱為“國家網(wǎng)信辦公布《人臉識別技術(shù)應(yīng)用（試行（征求意見稿從更宏觀的維度規(guī)定應(yīng)用人臉識別技術(shù)的安全管理要求，采取了不同參與者、多種場景和細化技術(shù)標準相呼應(yīng)的生態(tài)治理方法。目錄第章人識別業(yè)的態(tài)圖譜 1一、人臉識別技術(shù)生態(tài) 2（一）技術(shù)提供者 2（二）產(chǎn)業(yè)實踐 3（三）人臉識別技術(shù)價值 4二、人臉識別產(chǎn)品/服務(wù)生態(tài) 5（一）產(chǎn)品/服務(wù)提供者 5（二）產(chǎn)業(yè)實踐 5（三）人臉識別產(chǎn)品價值 7三、人臉識別服務(wù)使用生態(tài) 8（一）服務(wù)使用者 8（二）產(chǎn)業(yè)實踐 9（三）人臉識別服務(wù)使用價值 9三、人臉生成合成生態(tài) 10第章人識別業(yè)的理經(jīng)驗 12一、美國人臉識別的治理經(jīng)驗 12（一）美國人臉識別治理的立法 12（二）美國人臉識別治理的典型案例 17二、歐盟人臉識別的治理經(jīng)驗 21（一）歐盟人臉識別治理的立法 21（二）歐盟人臉識別治理的典型案例 31三、中國人臉識別的治理經(jīng)驗 34（一）中國人臉識別治理的立法 34（二）中國人臉識別治理的典型案例 38第章人識別業(yè)法治理景 38一、人臉識別產(chǎn)業(yè)生態(tài)治理的基本原理 44二、人臉識別技術(shù)生態(tài)治理 44（一）技術(shù)提供者的數(shù)據(jù)安全義務(wù) 44（二）技術(shù)提供者的算法可信義務(wù) 47三、人臉識別產(chǎn)品/服務(wù)生態(tài)治理 48（一）產(chǎn)品/服務(wù)提供者的質(zhì)量管理義務(wù) 48（二）產(chǎn)品/服務(wù)提供者的人工監(jiān)督義務(wù) 49（三）產(chǎn)品/服務(wù)提供者的算法日志記錄義務(wù) 49（四）產(chǎn)品/服務(wù)提供者的起草技術(shù)文件的義務(wù) 50四、人臉識別服務(wù)使用生態(tài)治理 50（一）服務(wù)使用者的個人信息保護義務(wù) 50（二）服務(wù)使用者的算法解釋義務(wù) 51（三）服務(wù)使用者的算法備案義務(wù) 54（四）服務(wù)使用者的守門人義務(wù)55五、人臉生成合成生態(tài)治理55（一）技術(shù)提供者的訓(xùn)練數(shù)據(jù)來源合法義務(wù)555（二）技術(shù)提供者的訓(xùn)練數(shù)據(jù)質(zhì)量保障義務(wù)57（三）技術(shù)提供者的數(shù)據(jù)安全義務(wù)58（四）技術(shù)提供者的算法義務(wù)58（五）產(chǎn)品/服務(wù)提供者的內(nèi)容安全義務(wù)59（六）產(chǎn)品/服務(wù)提供者的內(nèi)容標識義務(wù)61（七）產(chǎn)品/服務(wù)提供者的用戶管理義務(wù)62（八）服務(wù)應(yīng)用者的正當(dāng)使用義務(wù)63第四章人臉識別產(chǎn)業(yè)最佳實踐64案例一：以權(quán)威數(shù)據(jù)源為基礎(chǔ)進行人臉識別64案例二：以最小必要原則為基礎(chǔ)進行人臉識別65案例三：回應(yīng)反詐需求進行人臉識別68案例四：以算法治理為基礎(chǔ)進行人臉識別68案例五：以個人信息保護為基礎(chǔ)進行人臉識別70案例六：以網(wǎng)絡(luò)安全為基礎(chǔ)進行人臉識別71案例七：以本地部署為基礎(chǔ)進行人臉識別73附：人臉識別產(chǎn)業(yè)治理倡議75人臉識別產(chǎn)業(yè)法律治理研究報告人臉識別產(chǎn)業(yè)法律治理研究報告PAGEPAGE1第一章人臉識別產(chǎn)業(yè)的生態(tài)圖譜（FaceRecognition是一種基2014圖1：人臉識別產(chǎn)業(yè)發(fā)展數(shù)據(jù)顯示，202156億元，202410023%增速。其中，10%7%6%3%、政2%2%。作為數(shù)字經(jīng)濟的集合，人臉識別產(chǎn)業(yè)是一個復(fù)雜的生態(tài)系統(tǒng)?；诓煌膮⑴c主體，其包括了人臉識別技術(shù)生態(tài)、人臉識別產(chǎn)品/服務(wù)生態(tài)和人臉識別服務(wù)應(yīng)用生態(tài)。一、人臉識別技術(shù)生態(tài)（一）技術(shù)提供者人臉識別產(chǎn)業(yè)的技術(shù)提供者是提供包含視頻人臉識別、圖片人臉識別和數(shù)據(jù)庫對比檢驗11參見智慧芽&羅思咨詢：《人臉識別行業(yè)研究報告》，2021年。電子設(shè)備廠商其他科技公司人臉檢測作為人臉識別算法人臉預(yù)處理特征提取對比識別模塊根據(jù)特征提取模塊輸出的特征向量與數(shù)據(jù)庫中存儲的人臉特征向量進行距離度量，閾值內(nèi)最小距離即識別為同一人3?；铙w檢測通過眨眼、張嘴、搖頭或點頭等動作進行判別4。（二）產(chǎn)業(yè)實踐百度智能云依托領(lǐng)先的深度學(xué)習(xí)人工智能前沿技術(shù)框2吳玲：《人臉識別中的圖像預(yù)處理技術(shù)》，載《中南論壇》2010年第4期，第116-118頁。3李懷宇等人：《基于人臉識別的智能立體車庫控制系統(tǒng)設(shè)計》，載《工業(yè)控制計算機》2022年第7期，第1-3頁。4劉琴：《基于人臉識別的塔機身份管理系統(tǒng)》，載《建設(shè)機械技術(shù)與管理》2022年第5期，第69-71頁。AI領(lǐng)域的算法技業(yè)，為不同領(lǐng)域提供產(chǎn)品與解決方案，包括SenseID，SenseUnitySensePassSenesKeeperSenesNebulaSenesRadar（三）人臉識別技術(shù)價值5參見前注1。二、人臉識別產(chǎn)品/服務(wù)生態(tài)（一）產(chǎn)品/服務(wù)提供者產(chǎn)品/服務(wù)提供者相應(yīng)的產(chǎn)品及服務(wù)包括離線SDK、在線API、人臉識別一體機等。安防領(lǐng)域零售領(lǐng)域11的人臉識別移動終端；在金融領(lǐng)域，API（二）產(chǎn)業(yè)實踐人臉識別產(chǎn)品提供者主要為研發(fā)人工智能產(chǎn)品的科技場景下的不同需求。以百度為例，人臉識別技術(shù)靈活應(yīng)用于金融、泛安防、安全生產(chǎn)等行業(yè)場景，滿足身份驗證和反欺詐、通行考勤、AI+物聯(lián)網(wǎng)+在安防領(lǐng)域在銷售領(lǐng)域，科技公司提供人臉識別產(chǎn)品形態(tài)主要為智能化的解決方案。例如，騰訊提供騰訊云智能貨柜解決方案。6參見前注1。7參見前注1。人臉識別產(chǎn)業(yè)法律治理研究報告人臉識別產(chǎn)業(yè)法律治理研究報告PAGEPAGE10RFID在金融領(lǐng)域機。在直播等新興產(chǎn)業(yè)頭條等APP（三）人臉識別產(chǎn)品價值作為人臉識別系統(tǒng)與其他系統(tǒng)、設(shè)備的集成者，產(chǎn)品/8參見前注1。9參見依圖官網(wǎng)：https:///cn/business/smart-retail從技術(shù)的發(fā)展角度來看，技術(shù)產(chǎn)品化是實現(xiàn)技術(shù)價值、探索技術(shù)邊界的必經(jīng)之路，良好的產(chǎn)品設(shè)計需要充分考慮應(yīng)用場景的差異和最終用戶的需求。從法律關(guān)系角度來看，產(chǎn)品提供者不僅應(yīng)當(dāng)按照合同向產(chǎn)品接收者履行義務(wù)，在產(chǎn)品面向自然人提供涉及用戶個人信息等具有敏感性的服務(wù)時，還應(yīng)當(dāng)向用戶作出真實的說明和明確的警示，防止危害后果的發(fā)生。三、人臉識別服務(wù)使用生態(tài)（一）服務(wù)使用者服務(wù)使用者是指將人臉識別技術(shù)實際應(yīng)用于生活場景在安防領(lǐng)域銀行自主研發(fā)人在銷售車企利用人臉識別技術(shù)提升人機交互家具企業(yè)通過人臉識別技術(shù)研發(fā)智能開鎖產(chǎn)品，提高產(chǎn)品的智能性。（二）產(chǎn)業(yè)實踐人臉識別服務(wù)使用者主要按照場景需求開展產(chǎn)業(yè)實踐，90%務(wù)，以兼顧不同場景和部署環(huán)境需求10。微眾銀行自主研發(fā)APP行人臉識別系統(tǒng)會作為前置安全保障的步驟進行服務(wù)調(diào)用（三）人臉識別服務(wù)使用價值10參見中國工商銀行金融科技研究院：《商業(yè)銀行生物識別技術(shù)應(yīng)用實踐及趨勢分析》，2022年9月。四、人臉生成合成生態(tài)AI在人臉生成合成領(lǐng)域的應(yīng)用可以分為兩大類臉合成，針對已有人臉進行修改，包括：1.人臉身份合成，更改圖像或視頻中人物的身份；2.人臉動作合成，改變?nèi)宋镌械拿娌縿幼鳎?.人臉屬性合成，對原始人臉的某些屬性進行編輯。在醫(yī)療領(lǐng)域，生成與真實影像無異的醫(yī)學(xué)圖像來訓(xùn)練AI系NPC人臉生成合成生態(tài)包括三類主體：技術(shù)提供者、產(chǎn)品/API、開源等方式輸出大OpenAIStabilityAIGoogleMeta/（小模型）AI應(yīng)用的服務(wù)商，如百度大RealOasisDeepfake、FaceSwap、ZAO、Midjouney、DALL-E等。第二章人臉識別產(chǎn)業(yè)的治理經(jīng)驗一、美國人臉識別的治理經(jīng)驗（一）美國人臉識別治理的立法美國在人臉信息保護上采用的是通過專項立法進行保（IllinoisBiometricInformationPrivacy是美國境內(nèi)第一部規(guī)范生物識別信息的法律，并且由此催生Facebook尼亞州接連頒布的《加利福尼亞州消費者隱私法》(TheCaliforniaConsumerPrivacyAct隱私權(quán)利法案》（CaliforniaPrivacyRightsAct，以下簡稱“CPRA”）同樣也影響深遠?？傮w而言，各法案內(nèi)容主要涉及以下三方面：第一，以限制處理人臉信息為核心，給予數(shù)據(jù)生命周期的強化保護。當(dāng)私人實體在采集、存儲、使用與銷毀生物信息過程中，應(yīng)嚴格遵守合法權(quán)源等義務(wù)、處理必要性等原則。第二，注重層級文件名稱內(nèi)容簡介本法案第四節(jié)規(guī)定禁止政府機構(gòu)使用人臉識別技術(shù)。美國政府機構(gòu)不得安裝任何與人臉識別技術(shù)相連接的攝像機，不得在未經(jīng)授權(quán)的情況下獲取或使用通過人臉識別技術(shù)獲得的個人信息，不得在沒有逮捕令的情況下使用人臉識別技術(shù)來識別特定個人。第五節(jié)提供了人臉識別技術(shù)侵害權(quán)利的司法救濟。任何人如果認為美國政府機構(gòu)違反規(guī)定使用人臉識別技術(shù)使自己遭受侵害的，均可向相應(yīng)的美國地方聯(lián)邦層面《道德使用人臉識別法案》（層級文件名稱內(nèi)容簡介本法案第四節(jié)規(guī)定禁止政府機構(gòu)使用人臉識別技術(shù)。美國政府機構(gòu)不得安裝任何與人臉識別技術(shù)相連接的攝像機，不得在未經(jīng)授權(quán)的情況下獲取或使用通過人臉識別技術(shù)獲得的個人信息，不得在沒有逮捕令的情況下使用人臉識別技術(shù)來識別特定個人。第五節(jié)提供了人臉識別技術(shù)侵害權(quán)利的司法救濟。任何人如果認為美國政府機構(gòu)違反規(guī)定使用人臉識別技術(shù)使自己遭受侵害的，均可向相應(yīng)的美國地方聯(lián)邦層面《道德使用人臉識別法案》（EthicalUseofFacialRecognitionAct）（2020.2.12）法院提起民事訴訟，以獲取禁止令或者宣告性救濟。在未經(jīng)許可的情況下，人臉識別技術(shù)是否可以在私人或商業(yè)化使用人臉識別技術(shù)的情形和限制是什么，個人對于其數(shù)據(jù)所享有的權(quán)利是考慮個人對于保護隱私或匿名的合理期望，應(yīng)采用何種規(guī)則來控制通過人臉識別技需要采取當(dāng)人個人應(yīng)享有哪些與人臉識別技術(shù)所產(chǎn)生的數(shù)據(jù)及他們肖像的使用相關(guān)的權(quán)利?！秶疑镒R別信息隱私法案》(NationalBiometricInformationPrivacyActof2020)(2020.08.03)為藍本，規(guī)范生物識別信息的收集、保不能通過貿(mào)易獲取個人或客戶的生物識別信息，除非實體提供服務(wù)或其他有效商業(yè)用途，以書面形式告知并獲得書面許可（不得與其他同意，包括就業(yè)協(xié)議相結(jié)合）；b的方式存儲、傳輸和保護生物識別信息等?！渡虡I(yè)人臉識別隱私法法案主要規(guī)范商業(yè)使用人臉識別技術(shù)，要求在使案》(CommercialFacialRecognitionPrivacyActof2019)用前獲得個人的同意，在未經(jīng)同意情況下禁止將人臉識別數(shù)據(jù)共享給非關(guān)聯(lián)第三方。具體內(nèi)容包括：一是要求收集人臉識別數(shù)據(jù)獲得明確同意；二是對人臉識別數(shù)據(jù)的處理提出限制性要求：（a）原則上禁止使11例如，加州法案規(guī)定企業(yè)應(yīng)保存內(nèi)外部審計機構(gòu)就生物識別系統(tǒng)的安全性、隱私性作出的審計記錄，審計測試與測試數(shù)據(jù)庫須經(jīng)政府部門批準，定期將審計結(jié)果向社會公示。同時，亦注重外部問責(zé)．針對企業(yè)采用的生物識別系統(tǒng)進行年度外部審計，就收集數(shù)據(jù)的期限是否合理、精確度是否達標、是否對個人產(chǎn)生不利的歧視性影響開展審計問責(zé)。12例如，《商用人臉識別隱私法草案》中規(guī)定禁止使用人臉識別技術(shù)對用戶進行歧視化對待。(2019.03.14)用該技術(shù)收集人臉識別數(shù)據(jù)，除非獲得明確同意并提供通知；禁止歧視、更改使用目的及未經(jīng)明確同意與非附屬第三方（anunaffiliatedthirdparty）共享人臉識別數(shù)據(jù)，（b）若對某一服務(wù)而言該技術(shù)的使用非必需的，不可因終端用戶同意放棄隱私權(quán)服務(wù)或沒有提出明確同意而終止或拒絕提供服務(wù)；三是明確可使用人臉識別技術(shù)的例外情形；四是要求對人臉識別技術(shù)的準確性進行獨立第三方測試?！度四樧R別技術(shù)授權(quán)法案》（FacialRecognitionTechnologyWarrantAct）（2019.11.14）法案旨在限制聯(lián)邦調(diào)查局、移民與海關(guān)執(zhí)法局等機構(gòu)通過人臉識別技術(shù)開展持續(xù)監(jiān)視，持續(xù)監(jiān)視是指利用人臉識別技術(shù)在公共場所跟蹤被識別個人的身體運動超過72小時，無論是實時的還是使用該技術(shù)進行歷史記錄，明確只有在支持執(zhí)法機構(gòu)的活動中，取得法院命令等情況下才能將人臉識別技術(shù)用于持續(xù)監(jiān)視。此外，持續(xù)監(jiān)視獲取的證據(jù)的使用具有限制，若信息是非法獲得的、授權(quán)獲取信息的法院發(fā)出命令的理由不充分、與法院命令授權(quán)使用的目的不相符等情況下不得在訴訟中申請使用。最后，政府機構(gòu)要對使用人臉識別技術(shù)得出的結(jié)（NIST）協(xié)商建立人臉識別系統(tǒng)測試程序，定期對系統(tǒng)性能進行獨立測試?！?018年外國投資風(fēng)險審查現(xiàn)代化法案》《關(guān)于外國人在美國進行特定投資的規(guī)定》《出口管制條例》通過外商投資安全審查、出口管制等手段對人工智能關(guān)鍵技術(shù)、敏感個人數(shù)據(jù)等采取相關(guān)跨境限制措施。直接或間接收集或持有美國居民敏感個人數(shù)據(jù)的美國企業(yè)屬于敏感行業(yè)美國企業(yè)（TIDBusiness）。外國投資者針對敏感行業(yè)美國企業(yè)的非控制權(quán)CFIUS報的情形。Lieu2022年面部識別法案》。該法案包含規(guī)范面部識別技術(shù)在公共和私營部門的必要使用的條款。它還規(guī)定了透明度要求、年度評估和圍繞執(zhí)法部門使用情況的報告。（一進行嚴格限制和禁止：將執(zhí)法部門使用人臉識別技術(shù)的情況限制在獲得搜查令的情況下，搜查令應(yīng)說明某人可能犯下嚴重暴力重罪的可能原因。禁止執(zhí)法部門使用來記錄個人如何表達憲法所保障的權(quán)利，如合法抗議。禁止將匹配作為確定搜查、逮捕或其他《2022年面部識別法案》（提案）執(zhí)法行動的合理理由的唯一依據(jù)。來執(zhí)行移民法。與包含非法獲得的信息的數(shù)據(jù)庫以及人體攝像頭、儀表盤攝像頭和飛機攝像頭一起使用。追蹤具有實時或存儲視頻片段的個人。確保該法案中的任何內(nèi)容都不妨礙州或地方政府禁止或暫停使用。（二）為個人提供透明度并提供救濟路徑：而受到傷害的個人建立了私人訴訟權(quán)等救濟途徑。要求執(zhí)法部門向作為搜查對象的個人提供通知，并提供法院命令的副本和/或其他關(guān)鍵數(shù)據(jù)點。要求執(zhí)法部門每六個月從逮捕照片數(shù)據(jù)18（三的情況進行年度評估和報告：要求對執(zhí)法機構(gòu)使用的系統(tǒng)進行定期審計，對審計不合格的機構(gòu)進行停職處理。對審計不合格的機構(gòu)進行暫停。系統(tǒng)進行獨立測試。司法和檢察報告，以及數(shù)據(jù)收集。伊利諾伊州(IllinoisBiometricInformationPrivacyAct,(2008)1.知情同意，收集個人生物識別信息需獲得知情的書面同意；2.保留準則，企業(yè)須制定書面政策設(shè)定生物識別數(shù)據(jù)的保留時間表，且當(dāng)收集數(shù)據(jù)的目的已達到或距信息主體與企業(yè)最后一次聯(lián)絡(luò)已滿三年時（以先發(fā)生者為準禁止獲利，生物識別數(shù)據(jù)不得出售；4.有限披露，且除非獲得相關(guān)自然人的同意或法律規(guī)定的特定例外情況不得對他要求私人實體行業(yè)內(nèi)的合理的注意標準（不同行業(yè)的注意標準不盡相同）；6.對生物信息的保護至少等同于“機密和敏感信息”的保護；7.允許公民對違反其規(guī)定的行為提起私人司法訴訟。德克薩斯州《捕獲或使用生物識別符法案》(TexasCaptureorUseofBiometricIdentifierAct,CUBI)(2009)1.除非事前通知并收到同意外，任何人不得出于商業(yè)目的獲取生物特征識別信息；2.規(guī)定除完成個人要求或授權(quán)金融交易等四種特殊情形外，不得向他人出售、出租或以其他方式透露已獲取的生物特征識別信息；3.應(yīng)該以合理謹慎的態(tài)度存儲、傳輸、保護生物識別標識符。華盛頓州《生物識別隱私法》(WashingtonBiometricPrivacyLaw,WBPL)(2017.07)從問責(zé)、人工審查、測試等機制來規(guī)范人臉識別服務(wù)使用。1.控制者必須獲得消費者的同意，才能部署面部識別服務(wù)；2.在可能會對消費者產(chǎn)生法律或類34.供描述技術(shù)能力和局限性的文件；5.開發(fā)人員可在線使用的面部識別技術(shù)必須為第三方提供獨立測試的技術(shù)能力。加利福尼亞州《人臉識別技術(shù)法》(AssemblyBill 2261:Facialrecognitiontechnology)(2020.02.14)該法在加州民法典隱私保護部分增加人臉識別章節(jié)，內(nèi)容上主要涉及人臉識別信息的收集和處理、政府機構(gòu)使用人臉識別服務(wù)的限制性要求。一是收集人臉識別信息應(yīng)當(dāng)征得個人同意；二是建立人臉識別服務(wù)的人工審查和測試機制；三是建立政府機構(gòu)使用人臉識別服務(wù)的問責(zé)機制；四是限制政府機構(gòu)對人臉識別服務(wù)的使用?！都永Ｄ醽喼菹M者隱私法》(TheCaliforniaConsumerPrivacyAct,CCPA)CCPA雖被稱為全美最嚴厲的隱私保護立法，但其對收集個人生物信息的規(guī)制比較寬松，沒有專門針對生物特征識別信息收集與使用的規(guī)定條款，與對一般個人信息的規(guī)制基本無異。13《加州隱私權(quán)利法案》(CaliforniaPrivacyRightsAct,CPRA)(2020.11.3)(2023.1.1)的基礎(chǔ)上，進一步賦予個人一些新的權(quán)利。CPRA的內(nèi)容上進行了多處修改，但許多細節(jié)需要通過法規(guī)加以澄清和定義。例如，建立針對全面選擇退出偏好標志及其他選擇退出機制的技術(shù)要求、定期提交個人信息處理風(fēng)險評估報告（報告內(nèi)容應(yīng)當(dāng)包括該處理行為是否涉及處理個人敏感信息）等。CPRA區(qū)分敏感個人信息和一般個人信息。消費者可以限制對于除必要服務(wù)和必需產(chǎn)品外敏感個人信息的商業(yè)使用。值得注意的是，對于敏感個人信息的規(guī)定不適用于公開信息14或者非用于分析消費者特點15而收集或處理的敏感個人信息。CPRA主要規(guī)制三類主體收集、處理消費者個16171813在“公開可用”上略有不同，公開可用不意味著企業(yè)可以在消費者不知情的情況下收集關(guān)于消費者的生物信息。141798.140第(v)款第(2)人信息。1798.140第(v)款第(2)項中個人信息不包括公開獲得的信息，或合法獲得的、真實的、引起公眾關(guān)注的信息。就本項而言“可公開獲得”是指：從聯(lián)邦、州或地方政府記錄中合法獲得的信息，或者某企業(yè)有合理理由認為是由消費者合法地向公眾公布的，或從廣泛傳播的媒體獲取的；或者如果消費者沒有將信息限定于特定的受眾，則由消費者已經(jīng)向其披露了信息的人提供的信息?！翱晒_獲得”并不意味著企業(yè)在消費者不知情的情況下收集的關(guān)于消費者的生物識別信息。151798.121條(d)信息仍應(yīng)被視為個人信息。16CPRA只針對滿足一定條件的大企業(yè)。即在加州開展業(yè)務(wù)的營利組織，并滿足：(1)上一年度年收入總額超過2500萬美元；或(2)單獨或與他人合并，每年購買、出售、共享消費者的個人信息或家用設(shè)備數(shù)量達到10萬以上；或(3)50%以上的收入來自出售、共享消費者的個人信息。CPRA要求承包商和服務(wù)提供方與企業(yè)簽訂的書面合同需要以下條件：禁止出售、共享該個人信息；禁止超范圍、超限度使用、處理該個人信息；原則上禁止將從企業(yè)處獲取的消費者個人信息與從其他企業(yè)處獲得的個人信息相結(jié)合用于個性化營銷目的。此外，合同中須包含的合規(guī)承諾，以及授權(quán)企業(yè)對其個人信息處理活動的監(jiān)督、審計等權(quán)利。涉及敏感個人信息的3.Opt-out機制的實現(xiàn)企業(yè)可以通過多種方式向消費者提供“Opt-out”CPRA的要求，企業(yè)應(yīng)在其網(wǎng)站主頁、線上隱私政策中都提供清晰、明顯且分開的“不得出售或共享我的個人信息”鏈接和“限制使用我的個人敏感信息”鏈接，供消費者點擊選擇。一旦消費者作Opt-out12個月內(nèi)不得再次要求該消費者授權(quán)企業(yè)出于其他目的使用、披露消費者的敏感個人信息。（二）美國人臉識別治理的典型案例谷歌用戶起訴谷歌違反20163的規(guī)定。2019年1月，法官以原RosenbachSixFlagsEntertainmentCorp.2017年12月，伊利諾伊州一位市民因其兒子辦理六17與企業(yè)簽訂書面合同，企業(yè)出于商業(yè)目的向承包商提供消費者個人信息。18以企業(yè)的名義處理個人信息的個人并根據(jù)書面合同從企業(yè)或代表企業(yè)接收用于商業(yè)目的的消費者個人信息的主體。旗主題公園（SixFlags）的季卡時被要求提供指紋信息而向識別信息的政策，也未獲得用戶的書面同意，違反了院在2019年1月推翻了原審法院的判決，認為生物特征隱私是一項基本的民事權(quán)利，個人無需證明受到實際損害就可起訴自身權(quán)利受到侵害。19多名用戶針對Facebook的圖片標簽功能提起集體訴訟2016年5月，多名用戶針對Facebook的圖片標簽功能提起集體訴訟，認為Facebook未經(jīng)用戶同意收集用戶生物識別信息，并存儲在Facebook面部識別數(shù)據(jù)庫中。只要Facebook的系統(tǒng)就會自動分辨出鏡頭中的面孔與之前上傳照片中的人臉匹配，最后鑒別出個人身份。2019年8月，美國第九巡回上訴法院駁回了Facebook要將向符合條件的伊5.5億美元，并支付原告的訴訟費。SnapInc.公司違規(guī)收集個人生物特征信息2022年9月，在伊利諾伊州，針對視頻通訊應(yīng)用軟件19Rosenbachv.SixFlagsEntertainmentCorp.,2019IL123186(Jan.25,2019).Snapchat違規(guī)收集用戶生物特征信息的集體訴訟案（Boone,etal.SnapInc.案）初步達成了庭外和解（350035萬人的和解動議）。在這起集體訴訟中，SnapInc.SnapInc.的隱私政策（PrivacyPolicy）中沒有說明用戶的面部信息會被戶使用濾鏡和特效鏡頭掃描了用戶人臉。作為被告的SnapInc.3500萬美元的和解費用，但不接受以上任何一項指控。SnapInc.表示：“軟件在使用鏡頭時不會收集可用于識別特定人員或進行面部識別的生物特征數(shù)據(jù)，例如，鏡頭可將眼睛或鼻子識別為面部管轄之列。Instagram違法收集處理人臉信息20154月，多位美國伊利諾伊州用戶針對Instagram。Instagram通過面部標記工具采Instagram聲稱其面部識別功能開啟時，作用僅為通過建立個人面部模板來查找用戶在Facebook等及其母公Meta此舉實際上在未獲得用戶知情同意的情況下，收集和使用其生物特征信息。年月，由于用戶對生物識別技術(shù)的安全性愈發(fā)擔(dān)憂，Meta3月，Instagram與多位原告達成和解，20158102023816日期間使用該6850萬美元的和解金，用927日之前提交索賠申請，不想接受和解條款的816日之前提交信函請求排除；想要留在和解集816日10月Instagram的時長。102190（20242月開始獲得自己應(yīng)得的賠償份額，但具體付款時間還需法院確定，仍具有不確定性。作為一個真正強大的機制和執(zhí)在人臉識別技術(shù)的使用和部署過程中所發(fā)揮的重要作用。二、歐盟人臉識別的治理經(jīng)驗（一）歐盟人臉識別治理的立法歐盟對于人臉信息保護采取綜合立法保護模式，初期以《一般數(shù)據(jù)保護條例》（以下簡稱“GDPR”）中生物信息保護為核心，近期則延伸到人臉識別應(yīng)用人工智能算法上。與美國不同，歐盟嘗試著在區(qū)分人臉識別產(chǎn)業(yè)中不同主體的AIAI系統(tǒng)用戶的AI系統(tǒng)提供者和用戶的證據(jù)、因果關(guān)系推定的規(guī)則?？傮w而言，歐盟對人臉識別產(chǎn)業(yè)保持非常謹慎的態(tài)度，對其設(shè)置了多重限制，包括但不限于（1）使用目的和使用場景的限制：人臉識別技術(shù)的使用只能在受控環(huán)境中進行驗證、認證或分類；（2）數(shù)據(jù)處理的限制：數(shù)據(jù)處理的合法此外，雖然沒有直接針對人臉識別技術(shù)開發(fā)的規(guī)定，但人臉識別技術(shù)被《人工智能法案》確定為高風(fēng)險AI系統(tǒng)，AI系統(tǒng)應(yīng)符合的標準和系統(tǒng)提AI系統(tǒng)技術(shù)要求和組AI系統(tǒng)能夠達到適當(dāng)?shù)臏蚀_性、魯棒性和網(wǎng)絡(luò)安全、售后監(jiān)控。根據(jù)目前公布的最終版法案，AI工具將依照本身技術(shù)特性，按照風(fēng)險等級匹配監(jiān)管規(guī)則，其中值得一提的是《人工智能法案》將嚴格禁止對人類安全具有不可接受風(fēng)險的人工智能系統(tǒng)（UnacceptableriskAI），例如公共場合的“實時”或“事后”的遠程生物識別系統(tǒng)、使用敏感特征（如性別、錄像中無目標地抓取面部圖像以創(chuàng)建或擴展面部識別數(shù)據(jù)AI公司可以通過社交媒體或電視影像對民眾的外觀信息進行大規(guī)模搜集與之一必須的：（1）尋找綁架、販賣或性剝削的受害者，以及失蹤人員；（2）防止對于生命或身體安全的特定的、重大的和緊迫的威脅或恐襲；（3）出于調(diào)查、檢控或執(zhí)行懲罰的目的定位或識別嚴重犯罪的嫌疑人。2024313523票贊成，46票反對49票棄權(quán)的壓倒性票數(shù)通過了《人工智能法案》。該法文件名稱內(nèi)容GDPR文件名稱內(nèi)容GDPR規(guī)定的個人敏感數(shù)據(jù)。除了數(shù)據(jù)控制者對一般信息的保護義務(wù)，如遵守合法、合理和透明原則、目的限制原則、最小化原則、準確性原則、限期儲存原則、完整保密原則和權(quán)責(zé)一致原則等，GDPR對敏感數(shù)據(jù)的保護提出更嚴格的要求，原則上禁止處理。對于人臉識別技術(shù)的商業(yè)應(yīng)用而言，可適用的唯一例《一般數(shù)據(jù)保護條例》（GeneralDataProtectionRules）GDPR還對敏感數(shù)據(jù)37條）和必須進行數(shù)據(jù)保護影響評估的義務(wù)（35條）。GDPR的規(guī)定，照片不當(dāng)然構(gòu)成個人敏使其能夠識別或認證特定自然人時，也屬于處理個人敏感數(shù)據(jù)（第51條）。（草案（EUArtificialIntelligenceAct）（2020.2.19）《歐盟人工智能法案（草案）》（以下簡稱AI系統(tǒng)。1.AI系統(tǒng)提供商（技術(shù)研發(fā)者）2章對高AI系統(tǒng)本身的要求、第3章中關(guān)于高風(fēng)險AI61條提供商的入市后監(jiān)測義務(wù)。2915條規(guī)定了強制性的風(fēng)險管理系統(tǒng)、高質(zhì)量數(shù)據(jù)訓(xùn)練集、技術(shù)文件和記錄保存、明確的透明度、確保能對系統(tǒng)進行AI系統(tǒng)能夠達到適當(dāng)?shù)臏蚀_性、魯棒性和網(wǎng)絡(luò)安全。316AI系統(tǒng)17條—23條詳細闡述前述義務(wù)的AI系統(tǒng)符合AI（2章、AI系統(tǒng)自動生成的日志、確保系統(tǒng)投放前經(jīng)過合格評定程序、采取糾正措施等義務(wù)。第八編第61條規(guī)定了提供者負有建立售后監(jiān)AI系統(tǒng)的持續(xù)合規(guī)性。2.329AI統(tǒng)附帶的使用說明使用系統(tǒng)；監(jiān)督系統(tǒng)運行；在自己控制范圍內(nèi)確保輸入數(shù)據(jù)是與高風(fēng)險AIAI系統(tǒng)自動生成的日志；進行數(shù)據(jù)保護影響評估。除此之外，技術(shù)應(yīng)用者也可能被認定為構(gòu)成技術(shù)供應(yīng)商，從而承擔(dān)技術(shù)研發(fā)者相同的責(zé)任。328條規(guī)定了經(jīng)銷商、進口商、用戶或任何其他第三方應(yīng)被視為提供者的情形：（a）AI系統(tǒng)投放市場或投入使用；（b）修改已經(jīng)投放市場或投入AIAI系統(tǒng)進行了實質(zhì)性的修改。商的名義與根據(jù)該法律行為生產(chǎn)的產(chǎn)品一起投放AI系統(tǒng)符合AI銷商的義務(wù)，系統(tǒng)服務(wù)者如果有進口或經(jīng)銷人臉識別技術(shù)的業(yè)務(wù)，需要履行《草案》規(guī)定的相應(yīng)義務(wù)?！稓W盟人工智能法案》（EUArtificialIntelligenceAct）（2024.3.13）本法案將公共場合的“實時”或“事后”的遠程生物識別系統(tǒng)歸為具有不可接受風(fēng)險的人工智能系統(tǒng)，對于人臉識別采取嚴格謹慎的態(tài)度，這也與《歐盟人權(quán)公約》中規(guī)定的隱私權(quán)、思想自由、禁止歧視等內(nèi)容相符。具體涉及人臉識別的相關(guān)條文如下：Recital定自然人就是他或她聲稱的那個人，以及確認自然人的身份。這種排除的理由是，與遠程生物識別系統(tǒng)相比，這類系統(tǒng)對自然人基本權(quán)利的影響可能較小，因為遠程生物識別系統(tǒng)可用于處理許多人的生物數(shù)據(jù)，而無需這些人的積極參與。在“實時”系統(tǒng)中，生物數(shù)據(jù)的采集、比對和識別都是在瞬間或接近瞬間進行的，或在任何情況下都沒有明顯的延遲。在這方面，不應(yīng)存在通過設(shè)定輕微的延遲來規(guī)避本條例關(guān)于“實時”使用有關(guān)人工智能系統(tǒng)的規(guī)則的空間?！皩崟r”系統(tǒng)涉及使用“現(xiàn)場直播”或者“近乎現(xiàn)場直播”的材料，如攝像機或其他具有類似功能的設(shè)備生成的錄像片段。相比之下，“事后”系統(tǒng)則是生物數(shù)據(jù)已經(jīng)得到采集，只有在延遲之后才進行比對和識別。這涉及在對有關(guān)自然人使用該系統(tǒng)之前已經(jīng)生成的材料，如閉路電視攝像機或私人設(shè)備生成的圖片或錄像Recital18：在公共場所為執(zhí)法目的使用“實時”遠程生物識別系統(tǒng)，每次使用都應(yīng)得到司法機關(guān)或其決定對成員國具有約束力的獨立行政機24小時內(nèi)提出申請。如果這種授權(quán)被拒絕，則應(yīng)立即停止使用與該授權(quán)有關(guān)的實時生物鑒別系統(tǒng)，并應(yīng)棄置和刪除與這種使用有關(guān)的所有數(shù)據(jù)。這些數(shù)據(jù)包括人工智能系統(tǒng)在使用過程中直接獲得的輸入數(shù)據(jù)，以及與該授權(quán)相關(guān)的使用結(jié)果和輸出。這不應(yīng)包括根據(jù)其他國家或歐盟法律合法獲取的輸入數(shù)據(jù)。在任何情況下，不得僅根據(jù)遠程生物識別系統(tǒng)的輸出結(jié)果做出對個人產(chǎn)生不利法律影響的決定。Recital24：在使用人工智能系統(tǒng)進行生物識別時涉及的生物數(shù)據(jù)和其他個人數(shù)據(jù)的任何處理，除與本條例規(guī)定的為執(zhí)法目的在公共場所使用“實時”遠程生物識別系統(tǒng)有關(guān)外，應(yīng)繼續(xù)遵守2016/680號指令第10條規(guī)定的所有要求。對于執(zhí)法以外的目的，2016/679912018/1725101款禁止處理生2016/67991款時，遠程生物特征識別用于執(zhí)法以外的目的的已經(jīng)落入國家數(shù)據(jù)保護機關(guān)的禁止決定之下。Recital26b：應(yīng)禁止將人工智能系統(tǒng)投放市場、為這一特定目的提供服務(wù)或加以使用，這些系統(tǒng)通過從互聯(lián)網(wǎng)或閉路電視錄像中無針對性地獲取面部圖像來創(chuàng)建或擴大面部識別數(shù)據(jù)庫，因為這種實踐會增加大規(guī)模監(jiān)控的感覺，并可能導(dǎo)致嚴重侵犯基本權(quán)利，包括隱私權(quán)。Article3paragraph1pointArticle3–paragraph1–point37：“‘實時’Article5–paragraph1：(da)投放市場、提供服務(wù)或加以使用人工智能系統(tǒng)，對自然人進行風(fēng)險評估，以評估或預(yù)測自然人實施刑事犯罪的風(fēng)險，而這完全是基于對自然人的畫像或?qū)ζ鋫€性特征和特點的評估；這一禁令不適用于這樣的人工智能系統(tǒng)，其根據(jù)與犯罪活動直接相關(guān)的客觀且可核實的事實，支持人類對特定個人是否參與犯罪活動的評估。(db)投放市場、為此特定目的提供服務(wù)或加以使用人工智能系統(tǒng)，通過從互聯(lián)網(wǎng)或閉路電視錄像中無區(qū)別地爬取面部圖像來創(chuàng)建或擴展面部識別數(shù)據(jù)庫；(dc)投放市場、為此特定目的提供服務(wù)或加以使用人工智能系統(tǒng)，在工作場所和教育機構(gòu)領(lǐng)域推斷自然人的情緒，但出于醫(yī)療或安全原因，有意將人工智能系統(tǒng)提供服務(wù)或投放市場的情況除外；(de)投放市場、為此特定目的提供服務(wù)或加以使用生物分類系統(tǒng)，根據(jù)生物數(shù)據(jù)對自然人進行個體層面的分類，以推導(dǎo)或推斷其種族、政治觀點、工會成員身份、宗教或哲學(xué)信仰、性生活A(yù)rticle5–paragraph2:在公共場所為執(zhí)法目的使用“實時”遠程生物識別系統(tǒng)，除非這種使用相應(yīng)是為下列目標之一所嚴格必要的：防止對自然人的生命或人身安全構(gòu)成確切、重大切緊迫的威脅，或防止真實存在或真實可預(yù)見的恐怖襲擊威脅；《歐盟人工智能責(zé)任指令》（AILiabilityDirective）（2022.9.28）《指令》的目的是通過協(xié)調(diào)成員國的過失責(zé)任規(guī)則，以確保因人工智能系統(tǒng)對其造成的損害而要求賠償?shù)娜?，享有等同于在沒有人工智能系統(tǒng)參與的情況下而要求損害賠償?shù)谋Ｗo水平。在涉及人工智能的侵權(quán)案件中，由于人工智能系統(tǒng)不透明、自動化決策和復(fù)雜性等特征，可能會使受害者難以證明過錯、因果關(guān)系。其中跟高風(fēng)險人工智能提供者有關(guān)的規(guī)則主20確認技術(shù)開發(fā)者過錯方面的重要性21人工智能系統(tǒng)提供者提起的訴訟規(guī)定了可推定因果關(guān)系的情形22?！蛾P(guān)于通過視頻設(shè)備處理個人數(shù)據(jù)的3/2019指引》（Guidelines3/2019onprocessingofpersonaldatathroughvideodevices）（2020.1.29）GDPR區(qū)分了人臉識別數(shù)據(jù)和照片，未提及視頻監(jiān)控。但實際中視頻監(jiān)控通?？梢允占罅縂DPR處理個人數(shù)據(jù)提供指導(dǎo)。1.GDPR9條當(dāng)視頻監(jiān)控系統(tǒng)用于處理特殊類型數(shù)據(jù)時，數(shù)據(jù)控制者應(yīng)該確認GDPR96條規(guī)定的合法基礎(chǔ)；但數(shù)據(jù)控制者不能依據(jù)條規(guī)定的豁免情形——涉及數(shù)據(jù)主體明示公開的個人數(shù)據(jù)，處理視頻監(jiān)控系統(tǒng)得到的20對于高風(fēng)險人工智能系統(tǒng)，《人工智能法案》規(guī)定了具體的文件、信息和記錄要求，但沒有規(guī)定受傷害者有權(quán)獲得這些信息。而獲得涉嫌造成損害的特定高風(fēng)險人工智能系統(tǒng)的信息，是確定是否要求賠償和證實賠償要求的一個重要因素，因此，為確定賠償責(zé)任，應(yīng)當(dāng)規(guī)定有關(guān)人員披露相關(guān)證據(jù)的規(guī)則。這也應(yīng)該為遵守《人工智能法案》中規(guī)定的相關(guān)要求提供額外的激勵，以記錄或保存相關(guān)信息。21在確定提供者是否遵守了本指令中提到的《人工智能法案》的相關(guān)要求時，應(yīng)考慮提供者在風(fēng)險管理系統(tǒng)中采取的步驟和風(fēng)險管理系統(tǒng)的結(jié)果，即決定采取或不采取某些風(fēng)險管理措施。提供者根據(jù)《人工智能法案》建立的風(fēng)險管理系統(tǒng)是一個持續(xù)迭代的過程，貫穿于高風(fēng)險人工智能系統(tǒng)的整個生命周期，提供者據(jù)此確保遵守旨在減少風(fēng)險的強制性要求，因此可以作為評估其合規(guī)性的有用因素。2210(2)至(4)發(fā)的；不符合透明度的要求；不允許自然人對該系統(tǒng)有效監(jiān)督；未達到適當(dāng)?shù)臏蚀_性、魯棒性、網(wǎng)絡(luò)安全水平。數(shù)據(jù)，進入攝像范圍的事實行為并不意味著數(shù)據(jù)主體有意公開與其相關(guān)的特殊類型數(shù)據(jù)。2.提出了一些降低處理生物識別信息所面臨風(fēng)險的措施，包括：一是遵照數(shù)據(jù)最小化原則，確保不過多提取用于構(gòu)建生物模板的數(shù)據(jù)，并采取措施防止模板在不同生物識別系統(tǒng)之間轉(zhuǎn)移；二是必須存儲生物特征數(shù)據(jù)時，數(shù)據(jù)控制者必須考慮數(shù)據(jù)存儲的最佳位置，應(yīng)存儲在用戶單獨控制的設(shè)備上（例如智能手機或身份證）或以加密形式存儲在只有用戶擁有密鑰的集中式數(shù)據(jù)庫（centralized三是應(yīng)采取一切必要的預(yù)防措施保持所處理數(shù)據(jù)的可用性、完整性和機密性，在傳輸和存儲過程中進行數(shù)據(jù)隔離，明確加密和密鑰管理策略，整合欺詐檢測的組織性和技術(shù)性措施，將完整性代碼與數(shù)據(jù)關(guān)聯(lián)（例如簽名或哈希），并禁止任何外部訪問生物特征數(shù)據(jù)；四是對人臉識別數(shù)據(jù)等原始數(shù)據(jù)進行刪除，并確保刪除的有效性。如果數(shù)據(jù)控制者需要保存原始數(shù)據(jù)，必須護方法?！度斯ぶ悄苎芯繄蟾妗ㄍ吭胶托湃蔚臍W洲路徑》(OnArtificialIntelligence–AEuropeanapproachtoexcellenceandtrust)（2022.2.19）針對使用人臉識別等高風(fēng)險人工智能系統(tǒng)提出了嚴格的限制，如訓(xùn)練人工智能的數(shù)據(jù)應(yīng)符合要求、保留部分記錄和數(shù)據(jù)、告知使用者相關(guān)信息、確保技術(shù)魯棒性、接受人工監(jiān)控、投入使用前應(yīng)接受事前合規(guī)審查?！蛾P(guān)于人臉識別的指南》（GuidelinesonFacialRecognition）（2021.1.28）和服務(wù)提供商的指引主要包括確保人臉識別技術(shù)準確性和數(shù)據(jù)保護兩個方面：術(shù)的準確性。確保所用數(shù)據(jù)的代表性、定期更新數(shù)據(jù)以訓(xùn)練改進所使用的算法、確保算法的有效性，具體操作措施如算法必須使用合成數(shù)據(jù)集來開發(fā)、記錄、檢測可靠性百分比記錄等。別產(chǎn)品的設(shè)計和架構(gòu)要納入數(shù)據(jù)保護相關(guān)的原如指定專門的工作人員，為員工提供隱私培訓(xùn)，以及進行數(shù)據(jù)保護影響評估。在外部：幫助使用技術(shù)的實體提升透明度并尊重隱私如為他們的隱私政策提供示例語言，或推薦清晰、易懂的標記表明人臉識別技術(shù)已部署在特定空間中。正面明確指出人臉識別技術(shù)的使用只能在受控環(huán)境中進行驗證、認證或分類目的，還列舉情緒識別等禁止性目的；用的公平性、透明性和準確性，以及遵守目的限制、數(shù)據(jù)最小化以及存儲時間的原則；23細化了數(shù)據(jù)保護影響評估的規(guī)定；24引，如發(fā)布關(guān)于特定使用人臉識別技術(shù)的透明性報告、成立內(nèi)部審查委員會，以評估和批準任何涉及人臉識別數(shù)據(jù)的處理等。3.《指南》還指出如果使用人臉識別技術(shù)時，完全根據(jù)人臉識別技術(shù)的結(jié)果做決定，則可被視為自動化決策，也需遵守法律對自動化決策的要求。（2019.11）CNIL并沒有對人臉識別技術(shù)持否定態(tài)度，而是認為在適用該技術(shù)時不僅要考慮到保護公民的隱私權(quán)以及個人數(shù)據(jù)權(quán)，還要激發(fā)公民對已經(jīng)實施技術(shù)的信任。報告指出有關(guān)機場面部識別必須遵守的主要1.稱性、征得乘客事前同意以及保障同意有效的技2.3.（DPA）?！秷?zhí)法領(lǐng)域面部識別技術(shù)指南》（Guidelines05/2022ontheuseoffacialrecognitiontechnologyintheareaoflawenforcement）（2023.4）203年4月26DPB通過了其在執(zhí)法領(lǐng)域的面部識別技術(shù)準則的最終版本。該準則為歐盟和國家立法機關(guān)以及執(zhí)法部門提供了實施和使用面部識別技術(shù)的系統(tǒng)指導(dǎo)。該準則強調(diào)，面部識別工具的使用應(yīng)嚴格遵守執(zhí)法指令（LED）。此外，正如《基本權(quán)利憲章》所規(guī)定的那樣，只有在必要和相稱的情況下才能使用這種工具。在指導(dǎo)方針中，EDPB呼吁禁止在某些情況下使用面部識別技術(shù)，這是EDPB-EDPS關(guān)于人工智能法提案的聯(lián)合意23《指南》明確對使用目的和使用環(huán)境做出限制，即人臉識別技術(shù)的使用只能在受控環(huán)境中進行驗證、人證或分類目的；《指南》強調(diào)使用人臉識別技術(shù)要獲得明確、具體、自由和知情的同意，在此內(nèi)涵上進一步延伸提出處理者提供使用人臉識別技術(shù)的替代方案、不能當(dāng)然處理公開照片；就透明度而言，《指南》詳細給出告知數(shù)據(jù)主體的內(nèi)容；數(shù)據(jù)存儲方面，《指南》要求處理者確保不同的存儲限制期限適用于處理不同的階段；24包括內(nèi)容（使用人臉識別技術(shù)，應(yīng)當(dāng)將必要性，目的性、比例性，以及對數(shù)據(jù)主體權(quán)利的影響一起進行評估）、評估主體、評估出風(fēng)險的處理規(guī)則、公開評估結(jié)果等。見中提出的要求。在公開征求意見后，對準則進行了更新，并增加了進一步的澄清意見。對于執(zhí)法背景下的個人數(shù)據(jù)保護，必須滿足LED規(guī)定了一定LED3(13)條（術(shù)語生物識別數(shù)據(jù)4（與個人數(shù)據(jù)處理有關(guān)的原則）8條（處理的合法性）10條（特殊類別個人數(shù)據(jù)的處理）LED11條（自動個人決策）。對特殊類別數(shù)據(jù)的處理，如生物識別數(shù)據(jù)，只能被視為“絕對必要”（10LED）。之前進行數(shù)據(jù)保護影響評估(DPIA)LED27條。3.的當(dāng)局應(yīng)在部署該系統(tǒng)之前咨詢主管監(jiān)督機構(gòu)。鑒于生物識別數(shù)據(jù)的獨特性質(zhì)，實施和/或LED29條，特別注意處理的安全性。（LED25條是核實處理的合法性的重要保障，包括內(nèi)部（即相關(guān)控制人/處理人的自我監(jiān)督）和外部監(jiān)督機構(gòu)。在面部識別系統(tǒng)方面，建議對參考數(shù)據(jù)庫的變化和識別或驗證嘗試進行記錄，包括用戶、結(jié)果和信心分數(shù)。在公共場人工智能支持的面部識別系統(tǒng)，根據(jù)個人的生物特征，按照種族、性別、政治或性取向或其他歧視理由，將其(3)這將依賴于通過大規(guī)模和不加區(qū)分地收集個人數(shù)通過刮取網(wǎng)上可獲得的照片和面部圖片。IO/ICD986（標準）該標準為遠程生物特征識別系統(tǒng)提供了建議（草案》中的相關(guān)規(guī)定，如系統(tǒng)部署后測試的要求等。（二）歐盟人臉識別治理的典型案例案例一：收集人臉信息應(yīng)符合最小必要性原則2019年8月瑞典數(shù)據(jù)保護機構(gòu)對Anderstorps中學(xué)做出20萬瑞典克朗的罰款25，因其在學(xué)校教室里面安裝人臉識別GDPR校征得的同意違背了GDPRgiven）”這一要求。二是該中學(xué)收集的信息類別GDPRGDPR所要求的最小必要性原則。案例二：處理公開的人臉信息應(yīng)獲得同意（CNIL）向美國ClearviewAI2000GDPR。ClearviewAI從許多網(wǎng)站包括社交媒體上收集照片。它25參見瑞典數(shù)據(jù)監(jiān)管機構(gòu)于2019年8月20日對涉事高中作出的處罰決定書，“TillsynenligtEU:sdataskyddsf?rordning2016/679ansiktsigenk?nningf?rn?rvarokontrollavelever”https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-ansiktsigenkanning-for-narvarokontroll-av-elever-dnr-di-2019-2221.pdf（即無需登錄賬戶即可查看的照片200億張圖片。（在這種情況下是面部）的數(shù)字表示。這些生物識別數(shù)據(jù)非常敏感，（我們是什么20205月，CNILClearviewAI的人臉識20215就這一問題向CNIL發(fā)出警告。CNILRGPD的行為：1.非法處理個人數(shù)據(jù)（違反GDPR6條），因為生物識別數(shù)據(jù)的收集和使用沒有法律依據(jù)；2.未能以有效和令GDPR12、1517條）。202126日，CNILClearviewAI發(fā)出正式通知：1.在沒有法律依據(jù)的情況下，停止收集和使用法國境內(nèi)人員的數(shù)據(jù)；2.為個人權(quán)利的行使提供便利，并滿足刪除的要求。ClearviewAI原本有兩個月的時間來遵照監(jiān)管要求調(diào)整CNIL說明其理由。然而，它并沒有對這份正式通知作出任何回應(yīng)。因此，CNIL限制委員會決定根據(jù)GDPR832000萬歐元的經(jīng)濟處罰。三、中國人臉識別的治理經(jīng)驗（一）中國人臉識別治理的立法類型名稱主要內(nèi)容法律《民法典》1034條將“生物識別信息”納入類型名稱主要內(nèi)容法律《民法典》1034條將“生物識別信息”納入1035條具體規(guī)定個人信息處理者應(yīng)要求?！秱€人信息保護法》作為我國首部專門針對個人信息保護的綜合性法律，22832條專門規(guī)定了個人敏感信息的處理規(guī)則?！秱€人信息保護法》第28條12款對敏感信息的處理設(shè)定29條明確了處理人臉識別信息并且明確要求國家網(wǎng)信部門統(tǒng)籌56條明確處理個人信息的原則與要求，并在26條強調(diào)公共場所人臉識別設(shè)備的使用目的僅限“維護公共安全”?！毒W(wǎng)絡(luò)安全法》43條規(guī)定，個人發(fā)現(xiàn)網(wǎng)絡(luò)運營者違反法正?！断M者權(quán)益保護法》291款規(guī)定了經(jīng)營者在收集、使用消費者個人信息情景下應(yīng)當(dāng)56條規(guī)定若經(jīng)營者存在侵害消費者個人信息的情形時，需要承擔(dān)的民事、行政責(zé)任?！峨娮由虅?wù)法》該法第23條規(guī)定電子商務(wù)經(jīng)營者在收集、使用其用戶的個人信息，應(yīng)當(dāng)遵守法律、行政法規(guī)有關(guān)個人信息保護的規(guī)定?！吨腥A人民共和國刑法》非法獲取公民個人信息，并將責(zé)任主體擴展至單位犯罪。司法解釋《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》1條規(guī)定民的個人信息包括身份識別信息和雖不具有身份識別功能但能夠反映特定自然人活動情況的信息。同時，9條規(guī)定了網(wǎng)絡(luò)服務(wù)提供者若不履行法以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪定罪的刑事處罰風(fēng)險。《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》作為我國專門針對人臉識別應(yīng)用進行規(guī)制的第一部161條規(guī)定人臉信息屬于10342條至第9條明確了濫用人臉識別技術(shù)處理人臉信息行為的侵權(quán)性質(zhì)及法律責(zé)任。26理個人信息等情形認定為屬于侵害自然人人格權(quán)益的行理人不應(yīng)將人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)都有權(quán)請求刪除人臉信息。部門規(guī)章《人臉識別技術(shù)應(yīng)用安全管理規(guī)定（試行（征求意見稿）不得存儲原始人臉圖像。《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法（2020號）18條規(guī)定商業(yè)銀行應(yīng)當(dāng)按照反洗錢和反恐怖融資得全權(quán)委托合作機構(gòu)辦理?！痘ヂ?lián)網(wǎng)信息服務(wù)深度合成管理規(guī)定》核、評估、驗證生成合成類算法機制機理?！蹲C券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》在第三章投資者個人信息保護中，《辦法》明確核心機構(gòu)和經(jīng)營機構(gòu)利用生物特征進行客戶身份認證的，應(yīng)當(dāng)對其必要性、安全性進行風(fēng)險評估，不得將人臉、步態(tài)、26參見張勇：敏感個人信息的公私法一體化保護，載《東方法學(xué)》,2022(01):66-78.指紋、虹膜、聲紋等生物特征作為唯一的客戶身份認證方式，強制客戶同意收集其個人生物特征信息?！夺t(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》息等。國家標準GB/T35273《信息安全技術(shù)個人信息安全規(guī)范》2017年舊版的基礎(chǔ)上，細化與完善了個人5.49.2等。GB/T38671-2020《信息安全技術(shù)遠程人臉識別系統(tǒng)技術(shù)要求》該標準是全國首個使用人臉識別技術(shù)進行身份鑒別環(huán)節(jié)的標準化問題。GB/T41819-2022《信息安全技術(shù)人臉識別數(shù)據(jù)安全要求》該標準規(guī)定了人臉識別數(shù)據(jù)的安全通用要求以及收該標準適用于數(shù)據(jù)處理者安全開展人臉識別數(shù)據(jù)處理活動。GB37300-2018《公共安全重點區(qū)域視頻圖像信息采集規(guī)范》該標準規(guī)定了公共安全重點區(qū)域視頻圖像信息采集部位和采集種類、技術(shù)要求和采集設(shè)備要求、安全要求。GB/T35678-2017《公共安全人臉識別應(yīng)用圖像技術(shù)要求》該標準規(guī)定了公共安全人臉識別應(yīng)用中圖像技術(shù)要擋等要求?！毒W(wǎng)絡(luò)安全標準實踐指南——人臉識別支付場景個人信息保護安全要求（征求意見稿）》該實踐指南不適用于用戶在其自有手機或其他自有智能移動終端上進行的人臉識別支付。行業(yè)標準JR/T0171—2020中國人民銀行《個人金融信息保護技術(shù)規(guī)范》該文件主要約束金融機構(gòu)和獲取個人金融信息的非YD/T4087-2022測試評估方法》該標準規(guī)定了移動智能終端人臉識別的安全技術(shù)要團體標準T/TAF077.7-2020《APP收集使用個人信息最小必要評估規(guī)范人臉信息》該標準規(guī)定了移動應(yīng)用軟件對人臉信息的收集、使實最小必要原則。其他中國支付清算協(xié)會行業(yè)自律公約（試行）》（二）中國人臉識別治理的典型案例類型名稱基本案情裁判結(jié)果民事案例中國人臉識某訴杭州野生動物世界有限公司服務(wù)合同糾紛案272019年4月浙江某大學(xué)教授郭某花費1360元購買了一張杭州野生動物世界“暢游365天”的雙人卡，并確定以指紋10月，園方一審判令野生動物世界賠償郭某合同利益損失及交通費共1038元。刪除郭某辦理指紋年卡時提交的包括照片在內(nèi)的面的其他訴訟請求。二審維持一審判決野生動物世界賠償郭某合同利益損失及27參見杭州市富陽區(qū)人民法院（2019）浙0111民初6971號判決書、浙江省杭州市中級人民法院（2020）浙01民終10940號判決書。1038元，刪除郭某辦理指紋年卡時提交的包括照片郭某的其他訴訟請求。孫長寶與北京搜狐互聯(lián)網(wǎng)信息服務(wù)有限公司等人格權(quán)糾紛案28原告孫某在百度網(wǎng)站搜索其名字，發(fā)現(xiàn)百度網(wǎng)站非法收錄并置頂了原告在“chinaren校友錄”網(wǎng)站上傳的個人賬戶頭像（個人證件照）。一審法院判決被告北京百度網(wǎng)訊科技有限公司向原告孫某1元；被告北京百度網(wǎng)訊科技有限公司向原告孫元。劉嘉龍與沈榕隱私權(quán)糾紛案29360二審法院撤銷原劉某出入家門的必經(jīng)的門鈴攝像頭對劉嘉龍及其家人的出行規(guī)家人的正常生活產(chǎn)生他訴訟請求。朱莎麗與中國人民銀行衢州市中心海微眾銀行股份有限公司名譽權(quán)糾紛案30原告朱某因被案外人郭某欺騙完成了借款刷臉認證，導(dǎo)致存在逾期未還款記錄，產(chǎn)生不良征信記錄。一審法院認為被告前海微眾銀行報送涉案逾期信息是正常違法行為該行為不存在侵犯原告民事權(quán)利然刑事判決書認定該筆貸款不是由原告操作，但被告對郭某使用28參見北京互聯(lián)網(wǎng)法院（2019）京0491民初10989號孫長寶與北京搜狐互聯(lián)網(wǎng)信息服務(wù)有限公司等人格權(quán)糾紛一審民事判決書。29參見北京市第二中級人民法院（2020）京02民終1641號劉嘉龍與沈榕隱私權(quán)糾紛二審民事判決書。30參見衢州市柯城區(qū)人民法院（2019）浙0802民初5880號朱莎麗與中國人民銀行衢州市中心支行、深圳前海微眾銀行股份有限公司名譽權(quán)糾紛一審民事判決書。原告手機申請貸款的告本人配合完成了動原告的訴訟請求江蘇省無錫江蘇省無錫市新吳區(qū)某健身房使用損害了眾多消費者合法權(quán)益。新吳區(qū)院于2022812日向新吳區(qū)市場監(jiān)督管理局制發(fā)行政公益訴訟訴切實履行保護消費者發(fā)生。市新吳區(qū)人民檢察院督促保護服務(wù)場所消費者檢個人信息行察政公益訴訟公案益訴訟案例31湖南省長沙市望城區(qū)衛(wèi)生健康局（以17家醫(yī)療衛(wèi)生機構(gòu)違反個人信息處未按要求解決電子簽?zāi)芊阑嘉唇?jīng)授權(quán)的訪湖南省長沙市望城區(qū)人民檢察院督下簡稱區(qū)衛(wèi)健局）為推進數(shù)字化門診建201971217家醫(yī)療衛(wèi)生機構(gòu)陸續(xù)使用電子簽核系統(tǒng)推送疫苗接種知情告知促保護個人書，疫苗受種者或監(jiān)護人點擊“同意”時生物識別信系統(tǒng)自動采集指紋和人臉識別信息，收集息行政公益訴訟案電子數(shù)據(jù)的存儲及主機均由各社區(qū)衛(wèi)生服務(wù)中心管理。截至2022年3月11日，上述機構(gòu)共收集83萬余條涉及指紋、人臉識別等個人生物識別信息。31參見《最高人民檢察院發(fā)布8件個人信息保護檢察公益訴訟典型案例》，2023年3月30日發(fā)布。處理敏感個人信息活動未盡到監(jiān)管職責(zé)。浙江省湖州市檢察機關(guān)G游發(fā)展有限公司侵害公民個人信息民事公益訴訟案A景區(qū)由浙江G旅游發(fā)展有限公司（G20207景H（以H公司）建設(shè)完成人臉識別系統(tǒng)，景區(qū)在采集游客人臉信息時未依法履行告知義務(wù)，存在強制要求購票游客錄入人臉信息、G同時邀請了浙江省消費者權(quán)益保護委員會相關(guān)工作人員和法律G公司刪除景區(qū)前期采集儲存的G公司提出整1118G公依法運營。法案例小鵬汽車違法采集人臉信息小鵬汽車購買具有人臉識別功能的22齡分析等。上海市徐匯區(qū)市場監(jiān)督管理局責(zé)令當(dāng)事人改正上述違法行100000元。“ZAO”換臉軟件過度2019年，一款名為“ZAOAI換APP及其關(guān)聯(lián)公司有權(quán)對用戶上傳的內(nèi)容進行全部或部分的修改并享有修改后的內(nèi)法律風(fēng)險。收集個人信息32被告人李某，某網(wǎng)絡(luò)科技有限公司軟奉賢區(qū)人民法院罰，對其依法從寬處息罪判處李某有期徒處罰金。件開發(fā)人員。202069手機用戶下載安裝該軟件打開使用時，軟件就會自動獲取手機相冊的照片并且上20212930$。后李某裝成“顏值檢測”軟件，發(fā)布在某論壇供刑事案例33李某侵犯公民個人信息案網(wǎng)友免費下載安裝，以此方式竊取安裝者手機相冊照片1751張。其中，含有人臉信息、姓名、身份證號碼、聯(lián)系方式、家庭住址等100余條公民個人信息。2020920212明知“社工庫資料”含有戶籍信息、車主（150名成員8100余萬條。202139且存儲于境外網(wǎng)盤，未查到有人下載使用。中國人臉識別技術(shù)和應(yīng)用發(fā)展不斷成熟，需要技術(shù)提供者、產(chǎn)品/服務(wù)提供者、服務(wù)應(yīng)用者共建一個良性的生態(tài)治理32參見王四新：《“ZAO”背后的社會管理難題》，載《環(huán)球時報》,2019-09-02(015).33參見《最高人民法院關(guān)于發(fā)布第35批指導(dǎo)性案例的通知》，2022年12月26日公布。第三章人臉識別產(chǎn)業(yè)法律治理圖景一、人臉識別產(chǎn)業(yè)生態(tài)治理的基本原理人臉識別產(chǎn)業(yè)生態(tài)治理，旨在減少“人—技術(shù)—社會”縫之網(wǎng)”（Seamless。立基于此的人臉識別產(chǎn)業(yè)生態(tài)（試行征求意見稿（以下簡稱《人臉識別管理規(guī)定》恰恰建立在這一62條“針對人臉識別二、人臉識別技術(shù)生態(tài)治理（一）技術(shù)提供者的數(shù)據(jù)安全義務(wù)訓(xùn)練環(huán)節(jié)的數(shù)據(jù)安全義務(wù)；（c）（d）存儲環(huán)節(jié)的數(shù)據(jù)安全義務(wù)34參見中國信通院：《人臉信息處理合規(guī)操作指南》。2022年1月。傳輸環(huán)節(jié)的數(shù)據(jù)安全義務(wù)刪除環(huán)節(jié)的數(shù)據(jù)安全義務(wù)技術(shù)提供者應(yīng)確保做到及時刪除人臉信息處理。同時，Secure-Delete指令、Dod5220.22-M、Gutmann算法等方法。（二）技術(shù)提供者的算法可信義務(wù)算法準確性、魯棒性、安全性義務(wù)技術(shù)提供者可以通過備份或故障安全計劃等技術(shù)冗余解決方案來實現(xiàn)其魯棒性，并應(yīng)確保在投入使用后仍會持續(xù)算法安全評估、審計、備案的義務(wù)測試集上的指標表現(xiàn)和變化。35在必要時，可以通過算法備案，落實上述算法安全評估和審計義務(wù)。三、人臉識別產(chǎn)品/服務(wù)生態(tài)治理人臉識別產(chǎn)品/服務(wù)提供者是人臉識別產(chǎn)業(yè)的中堅力量，其上連接技術(shù)提供者，下啟人臉識別服務(wù)應(yīng)用者，發(fā)揮著承上啟下的樞紐作用，構(gòu)成了人臉識別產(chǎn)業(yè)治理的關(guān)鍵一環(huán)。據(jù)此，人臉識別產(chǎn)品/服務(wù)提供者應(yīng)承擔(dān)如下義務(wù)：（一）產(chǎn)品/服務(wù)提供者的質(zhì)量管理義務(wù)人臉識別產(chǎn)品/服務(wù)提供者作為供應(yīng)商應(yīng)建立質(zhì)量管理；（b）用于人臉識別產(chǎn)品/服務(wù)的質(zhì)量控制和質(zhì)量保證的組織和程序（cd）數(shù)據(jù)治理的組織、系統(tǒng)和程序，包括數(shù)據(jù)收集、數(shù)據(jù)分析、35中國信息通信研究院、京東探索研究院：《可信人工智能研究報告》。嚴重事故和故障的應(yīng)急程序；（h）支持監(jiān)管機構(gòu)監(jiān)督和執(zhí)法系統(tǒng)；（i）記錄所有相關(guān)文件和信息的系統(tǒng)和程序；（j）問責(zé)制框架，用于明確管理層和其他員工的責(zé)任。（二）產(chǎn)品/服務(wù)提供者的人工監(jiān)督義務(wù)/服務(wù)提供者應(yīng)使用適當(dāng)?shù)娜藱C（三）產(chǎn)品/服務(wù)提供者的算法日志記錄義務(wù)產(chǎn)品/服務(wù)提供者應(yīng)當(dāng)確保人臉識別系統(tǒng)具有系統(tǒng)運行時自動記錄事件（日志（每次使用的開始日期和時間以及結(jié)束日期和時間）；（b）系統(tǒng)已針對其檢查輸入數(shù)據(jù)的參考數(shù)據(jù)庫；（c）搜索導(dǎo)致匹配的輸入數(shù)據(jù)；（d）確定參與結(jié)果驗證的自然人的身份。（四）產(chǎn)品/服務(wù)提供者的起草技術(shù)文件的義務(wù)產(chǎn)品/服務(wù)提供者應(yīng)確保其系統(tǒng)在投入使用之前符合法四、人臉識別服務(wù)使用生態(tài)治理（一）服務(wù)使用者的個人信息保護義務(wù)服務(wù)使用者需要保證在與用戶交互時用戶個人信息權(quán)針對意外收集的非注冊用戶人臉信息進行及時刪除或匿名5556條的規(guī)定，（二）服務(wù)使用者的算法解釋義務(wù)（Loomis辯訴交易承認了沒有得到主人同意的情況下駕駛摩托車和6年徒刑和5年延期監(jiān)督（ExtendedSupervision）。這是因為在量刑階動議，認為被告人有權(quán)知道被控告的理由，法院依據(jù)3636Loomisv.Wisconsin,PetitionforcertiorarideniedonJune26,2017,/case-files/cases/loomis-v-wisconsin/.法服務(wù)應(yīng)用者”和“算法技術(shù)提供者”二分架構(gòu)下，開發(fā)系統(tǒng)的Nortpointe公司并不負有解釋算法的義務(wù)，而威斯康星懲教署作為決定盧卡斯個人信息使用方式和用服務(wù)使用者的解釋義務(wù)包括如下方面：人臉識別數(shù)據(jù)的解釋義務(wù)（人臉信息這可視為個人信息保護中已有規(guī)定的延伸——解釋主體需算法邏輯的解釋義務(wù)個人有權(quán)要求人臉識別使用者在合理的范圍內(nèi)，說明相應(yīng)算法變量（人臉信息）對自動化決策結(jié)果產(chǎn)生何種影響的（1）實際分析推斷的信息；（2）決策結(jié)果需要在具體場景中界定，包括但不限于診療結(jié)果、信用分數(shù)、信貸決定，等等；（3）“影響”有必要進一步細化。在輸入（個人信息）與輸出（決策結(jié)果）均可排序的場合，37應(yīng)用者可以展示數(shù)字（在一定范圍內(nèi)上升/即可。（4）使用者應(yīng)選擇用戶友好形式解釋說明。針對個算法評估的解釋義務(wù)37（以及，其它具備自然排序的變量（例如信用評級的分等）。否將會導(dǎo)致歧視性或其他不當(dāng)后果。38與之前兩個層次的權(quán)（三）服務(wù)使用者的算法備案義務(wù)《人臉識別管理規(guī)定》第十六條明確規(guī)定了備案義務(wù)。其規(guī)定：“在公共場所使用人臉識別技術(shù)，或者存儲超過130個工作日內(nèi)向所屬地市級以上網(wǎng)信部門備案。申請備案應(yīng)當(dāng)提交下列一人臉識別技術(shù)使用者及其個人信息保護負責(zé)人38沈偉偉：《算法透明性的迷思》，《環(huán)球法律評論》2019年第6期。二處理人臉信息的必要性說明；（三人四人臉五個人信息保護影響評估報告；（六）網(wǎng)信部門認為需要提供的其他材料。”（四）服務(wù)使用者的守門人義務(wù)APP（APP運營提供技術(shù)資源和信息收APP（1）APP使用（2）APPAPP的調(diào)查處理。五、人臉生成合成生態(tài)治理（一）技術(shù)提供者的訓(xùn)練數(shù)據(jù)來源合法義務(wù)訓(xùn)練數(shù)據(jù)是指用于訓(xùn)練AI模型，使其做出正確判斷的已標注數(shù)據(jù)用應(yīng)當(dāng)在合理限度內(nèi)。第二，從第三方購買。（1）技術(shù)提供者在購買第三方數(shù)據(jù)集前可查看開源數(shù)據(jù)集提供方的公法；（3）涉及個人信息的相關(guān)數(shù)據(jù)，技術(shù)提供者要求第三方在傳輸前進行匿名化處理；（4）技術(shù)提供者應(yīng)對第三方提供的數(shù)據(jù)權(quán)屬文件進行抽查，核查數(shù)據(jù)的原始權(quán)利主體、授權(quán)鏈條、授權(quán)范圍、是否留存違法違規(guī)和可能侵權(quán)內(nèi)容；（5）技術(shù)提供者需遵循與第三方協(xié)議中目的限制的規(guī)定。第三，自行收集。不得竊取或者以其他非法方式收集數(shù)據(jù)，技術(shù)提供者使用爬蟲、OpenAPI等技術(shù)手段爬取數(shù)據(jù)的：（1）應(yīng)當(dāng)遵守合理、正當(dāng)?shù)臄?shù)據(jù)爬取協(xié)議；（2）在爬取對象上，避免從已聲明禁止第三方爬取數(shù)據(jù)的網(wǎng)站爬取數(shù)據(jù)；（3）在爬取方式上，不得強行繞過或破壞技術(shù)措施來爬取數(shù)據(jù)、應(yīng)控制訪問規(guī)模、訪問頻次，不得干擾網(wǎng)絡(luò)服務(wù)的正常功能；（4）在爬取內(nèi)容上，避免未經(jīng)權(quán)利人授權(quán)，秘密爬取他人技術(shù)提供者使用合（1）信息主體同意或者符合法律法規(guī)規(guī)定的其他情形。（2）訓(xùn)供者應(yīng)主動刪除標識符、采取匿名化措施。（3）保障個人正、刪除個人數(shù)據(jù)的選項。（4）用以訓(xùn)練的數(shù)據(jù)不含有侵犯商業(yè)秘密的內(nèi)容。（5）用以訓(xùn)練的數(shù)據(jù)不含有侵犯知識產(chǎn)權(quán)、肖像權(quán)、隱私權(quán)等他人合法權(quán)益的內(nèi)容。（二）技術(shù)提供者的訓(xùn)練數(shù)據(jù)質(zhì)量保障義務(wù)（1）使用高質(zhì)量訓(xùn)練、驗證和測試的數(shù)據(jù)集，技術(shù)提度等指標進行測試。（2）技術(shù)提供者應(yīng)保證訓(xùn)練數(shù)據(jù)的真（3）標注規(guī)則。為保證內(nèi)容的正確性。（4）防止歧視。在訓(xùn)練數(shù)據(jù)選擇過程中，技術(shù)提供者應(yīng)采取措施防止出現(xiàn)種族、民族、信仰、國別、地域、性別、年齡、職業(yè)等歧視。（三）技術(shù)提供者的數(shù)據(jù)安全義務(wù)技術(shù)提供者應(yīng)加強訓(xùn)練數(shù)據(jù)管理，采取必要措施保障訓(xùn)練數(shù)據(jù)安全，防止訓(xùn)練數(shù)據(jù)污染、訓(xùn)練數(shù)據(jù)泄漏等安全問題。（1）技術(shù)提供者應(yīng)具有數(shù)據(jù)安全保護機制，保障數(shù)據(jù)的保算法、完整性校驗。（2）技術(shù)提供者應(yīng)對所使用的數(shù)據(jù)進（四）技術(shù)提供者的算法義務(wù)（1）算法倫理與算法公平。在算法設(shè)計、模型生成和（2）模型優(yōu)化訓(xùn)練義務(wù)。訓(xùn)練等方式防止再次生成。（3）信息安全管理義務(wù)。技術(shù)提供者應(yīng)通過加強技術(shù)管理等方式，定期審核、評估、驗證生成合成類算法機制的正當(dāng)機理。（4）算法備案義務(wù)。技術(shù)提供者應(yīng)對算法進行備案，并在其對外提供服務(wù)的網(wǎng)站、應(yīng)用程序等的顯著位置標明其備案編號、提供公示信息鏈接。（5）算法安全評估義務(wù)。技術(shù)提供者應(yīng)依法自行或委托專全評估。（6）算法透明度義務(wù)。技術(shù)提供者應(yīng)提供可以影（五）產(chǎn)