《人脸识别技术应用安全管理办法》今年6月正式施行,确立了“目的明确、最小必要、严格保护”的人脸信息处理核心准则,并严禁将人脸识别作为唯一验证方式。
与我们生活息息相关的各类民生场景,人脸识别管理方面合规吗?南方都市报、南都大数据研究院即日起推出“民生场景刷脸合规系列调查”,接市民意见后,分场景体验测评,提示漏洞或违规点,助力人脸信息安全保护。
新施行的《人脸识别技术应用安全管理规定》明确禁止将人脸识别作为唯一验证方式,南方都市报、南都大数据研究院接市民意见后对广州市内30家三甲医院实测,发现部分医院存在强制要求患者线上建档“刷脸”现象,也有部分医院未充分告知人脸信息处理去向(这脸非要刷吗?实测:广州15家医院线上建档强制刷脸)。
“刷脸”建档就医是否确有必要?个人敏感信息安全保障措施是否到位?不少市民对医院是否妥善处理个人敏感信息表达疑虑。专家强调,人脸识别等隐私技术的确可以带来便利性和效率提升,但其潜在风险也必须得到充分考虑。南都记者查阅相关规定,发现国家卫生健康委等部委于2022年已明确要求各医疗卫生机构不得因数据主体不同意收集人脸识别数据而拒绝对方使用基本业务功能。
医院强制“刷脸”是为落实就医实名制?
部分医院为什么把“刷脸”作为患者建档“必选项”?多家医院在其线上建档页面表示,人脸识别是为了落实患者实名就医的有关要求,同时保障患者的个人隐私。
中山大学孙逸仙纪念医院在其线上建档页面表示:“本院执行实名制挂号政策,请填写患者本人真实身份信息。本次在线建档将采用微信‘人脸识别’技术采集您的人脸特征,所采集的信息仅用于我院建档。”
广东省人民医院则在其小程序提出,为保障患者的隐私安全,线上绑定就诊人须通过人脸识别进行身份验证。实测结果显示,如子女希望绑定父母信息,也需通过父母本人的人脸验证后,方可代家人使用医疗服务。
中山大学孙逸仙纪念医院线上建档页面,添加就诊人时要求人脸识别。
政策溯源:实名就医并非指向“强制刷脸”
那么,实名就医是否必然指向“刷脸”?南都大数据研究院对政府部门公开信息进行检索。
在实名就医方面,2022年6月,国家卫生健康委印发《医疗机构门诊质量管理暂行规定》,其中要求“医疗机构应当实施患者实名就医。在注册、挂号、诊疗等各环节实行患者唯一身份标识管理。”
在地方层面,2024年11月,广东省医疗保障事业管理中心印发《广东省医疗保障就医指南》,提出“参保人在中国境内就医时需出示身份凭证:医保电子凭证或社会保障卡,省内可使用身份证”。
广州市医疗保险服务中心《关于规范医保就医业务操作有关事项的通知》也提出,参保人员办理医保普通门诊选点、医保普通门诊和门诊特定病种就医登记业务时,须通过使用“扫码器/读卡器”扫码(医保电子凭证)或读卡(社会保障卡或居民身份证)的方式,调取国家医疗保障信息平台中参保人员的个人资料确认无误后方可予以办理。
不难看出,上述规定和指南均只提出将个人身份证件、社会保障卡、医保电子凭证作为识别患者身份的凭证,未提及人脸识别技术应用。进一步检索更可发现,国家层面早已明确,医疗卫生机构不可将人脸识别作为唯一的身份识别方式。
2022年8月,国家卫生健康委、国家中医药局、国家疾控局联合印发的《医疗卫生机构网络安全管理办法》指出:“各医疗卫生机构开展人脸识别或人脸辨识时,应同时提供非人脸识别的身份识别方式,不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能”。
公众疑虑:为何有的医院要,有的不要
对于部分医院的强制“刷脸”要求,公众态度复杂。
南都记者采访发现,不少市民认可“刷脸”能在一定程度上防范“黄牛”,防止个人诊疗记录被他人轻易套取。在越秀区某医院,甚至有市民表示,医院本身已经掌握包括病历、检查报告等大量敏感个人信息,不在乎再多一项人脸信息。
但同时不少市民也对医院是否妥善处理个人敏感信息、数据安全措施是否到位等表达疑虑。有市民表示,近年有关部门大力推广医保电子凭证,公众激活此凭证时已经进行过人脸识别,完成实名实人认证,且与个人微信绑定。医院只需调取医保电子凭证信息就可以确定就诊人的身份,再次进行人脸识别似乎是多此一举。在天河区某医院,有来院复诊的患者则提出,同样是线上绑定就诊人,为何有的医院需要人脸识别,有的不需要?甚至同一高校的不同附属医院,也采用不同的身份验证方式,需要分别进行身份验证,是否说明医院内部数据互联互通仍存在隔阂?
还有市民指出,一些医院的线上挂号页面相对较简陋,未能充分告知个人信息的采集和处理规则,难免令人担心其个人信息保护措施的有效性。
还有受访市民向南都记者表示,随着个人信息保护相关法规逐渐完善,希望各家医疗卫生机构就挂号环节的信息收集形成共识,卫健、医保等相关部门对挂号环节收集个人信息的范围和方式进行统一规范,避免不同医院在是否“刷脸”上各行其是,引来公众质疑。
专家观点:敏感个人信息必须得到严格保护
针对公众疑虑和医院做法,多位专家接受南都大数据研究院采访,普遍认为人脸识别技术的应用能有效帮助医疗卫生机构识别患者真实身份,可以有效防止身份冒用、盗窃病人资料等风险,提升医保结算的安全性。但与此同时,生物识别信息、医疗健康信息均属《个人信息保护法》明文规定的敏感个人信息,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
有数据安全从业人士表示,医疗系统个人信息保护相关争议并不少见,比如采集并上报孕产妇和新生儿信息,利于提升母婴保健水平,但部分地方曾出现孕产妇和新生儿信息泄露问题。
奇安信威胁情报中心监测数据显示,仅2023年,国内医疗卫生行业泄露数据就超过9.02亿条,约合344.7GB,内容涉及姓名、电话、身份证号、地址、账号密码、诊疗信息、缴费信息、内部文件等敏感个人信息和商业机密。
广东环球经纬律师事务所方梓楠律师表示,人脸识别技术在打击“号贩子”及冒名就医、套取医保资金等各方面确实有一定效果,但技术的有效性和合法性应被同时审视。“必要”不能仅以管理便利为由主张,而必须是合法、正当、最小化的选择。
北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括提出,从技术发展的角度来看,人脸识别等隐私技术的确可以带来便利性和效率提升,但其潜在风险也必须得到充分考虑。
合规建议:充分尊重知情选择权是关键
南都大数据研究院留意到,2021年7月,国家医疗保障局等有关部门曾出台《关于优化医保领域便民服务的意见》等文件,鼓励有条件的地方推广运用人脸识别技术,以打击欺诈骗保行为。
对此,方梓楠指出,相关意见推出时,《个人信息保护法》及具体配套规范尚未出台,医疗卫生机构推出人脸识别等治理措施是合理的,但相关条款属于倡导性政策意见,本身不具备强制性。随着个人信息保护理念逐步得到重视,包括《医疗卫生机构网络安全管理办法》《人脸识别技术应用安全管理规定》等各项配套规范出台,有关部门、医疗卫生机构在合规工作中融入多种取向考量,与此前的工作并不冲突,也属制度治理发展的应有之义。
《人脸识别技术应用安全管理办法》已于今年6月1日起施行,对个人信息处理者处理人脸信息提出取得个人自愿、明确作出的单独同意,事前进行个人信息保护影响评估等要求。
吴沈括强调,患者作为知情主体,有权利了解并同意其身份信息被采集和使用的相关事宜。医疗机构在推广刷脸技术时,应充分尊重患者的知情选择权,确保患者在自愿和理解的基础上接受相关服务。他同时提醒,从患者的角度出发,患者在使用刷脸服务时,应提高警惕,避免泄露个人信息给他人,以保护自身隐私安全。
中国电子技术标准化研究院华南分院网络安全中心副主任毕思文表示,如今不少场景的人脸识别机制不断完善,有些场景下对人脸只验证不留存,安全性相对而言能得到保障。但如果医院留存了人脸信息,则必须实施个人信息保护影响评估;人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施,保护人脸信息安全。
毕思文强调,一旦要使用到人脸,需要强化安全保护意识:“给用户把规则讲清楚、说明白,到底是‘只验不留存’,还是‘既验又留存’,用户有没有查询、更正、删除的权利,说得清清楚楚,人脸的合理利用也能得到大家的理解。”
优配网-股票杠杆下载-国内股票配资-查配资炒股提示:文章来自网络,不代表本站观点。