9月23日,由北京知识产权司法保护研究会主办、北京知识产权司法保护研究会互联网平台专业委员会承办的“《个人信息保护法》热点探讨”活动通过线上方式成功举办,约300人参与了此次活动。
邬 杨 阿里巴巴本地生活法律政策研究中心高级研究员
邬杨老师以“敏感个人信息处理的合规方案——以人脸识别数据为例”为主题展开分享,分别对人脸识别数据的基本定义、法律规制以及应用场景进行了详细的解读,并结合产业视角,重点对人脸识别数据的合规要求中的数据收集、存储、使用、共享、转让以及公开等内容进行了详细的分享。
一、人脸识别数据的基本定义
目前我国相关法律体系中,人脸识别数据作为生物识别信息被纳入到《民法典》当中,基本奠定了生物识别信息受法律保护的前提和基调。但《民法典》作为私法没有介入到敏感个人信息规定,涉及到个人隐私才能被认定为私密信息。因此产生《民法典》和《个人信息保护法》在法律体系规范内容上的差别。
《个人信息安全规范》最早详细列举个人的敏感信息,在其个人的生物识别信息中列举了个人识别面部特征。之后《个人信息保护法》明确生物识别信息属于敏感个人信息。
为响应目前行业的需求,汽车数据方面出台的《汽车数据安全管理若干规定》,明确把个人人脸信息纳入到敏感个人信息的保护范畴里,此外对于汽车行业重要数据目录也做了一定的规范,包括人脸信息和车牌信息、车外视频、图像数据等列为汽车数据这一行业类型当中的重要数据类型目录。汽车从业者的合规义务,一方面要按照《个人信息保护法》的要求做合规方案,另外一方面对重要的数据包括《数据安全法》给出重要的法律要求,这两方面相衔接,对企业数据合规业务,给出了明确的指引方向,期待对于其他行业数据,能够出台进一步细化的规则。
《人脸识别数据安全要求(征求意见稿)》中人脸数据是指人脸图像及其处理得到的,可单独或与其他信息结合识别特定自然人或特定自然人身份的数据。既包括图片、视频中展示的人脸图像,也包括人脸参数。其中,人脸图像是指自然人脸部信息的模拟或数字表示。
二、人脸识别数据的法律规制
最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》司法解释(以下简称“司法解释”),对之后司法的实践及合规的方向起到明确指导性作用。使《民法典》和《个人信息保护法》在特殊类型个人信息保护间产生有效衔接,如《民法典》中生物识别信息以及《个人信息保护法》中保护敏感个人信息的路径、举证责任等都能介入司法实践过程。
传统的人脸信息和“司法解释”中的人脸识别数据差异,传统人脸信息指形象利益是对肖像权保护,人脸识别数据指识别利益是对个人信息权益的保护(个体社会性功能),两者最根本的差别在于识别性。“司法解释”第一条因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件,适用本规定。明确了人脸识别适用范围,基本涵盖当下与人脸识别相关的应用领域。
三、人脸识别数据的应用场景
人脸识别数据应用场景分为人脸验证、人脸识别、人脸分析三类,人脸验证和人脸识别为身份比对及辨识的过程,人脸分析为人脸数据上的二次加工分析过程。人脸验证指一对一比较,多用于交通出行、身份认证、用户注册、移动设备解锁、支付等判定识别是本人的场景。人脸识别指一对多比较,多用于门禁查验。人脸分析指在收集到的人脸数据基础上二次加工分析,多用于商场的客流数量统计、照片美化设计、面部情况测评等场景。
人脸识别数据在合规的思路下面临的风险,在于具体合规落地方案中需进行解决和事先预判,要符合基本合规的要求,做到前端采集方面合规合法、使用合法合规、保证采集到的人脸数据安全。人脸识别数据应用场景中的风险点,在于人脸数据采集后的识别分析再反过来识别到个人身份的目的,基于这种目的下使用,可能会面临侵犯个人信息、个人信息权益的风险。因此,从法律的规范和实务操作方面都应注意,不要通过采集面部数据特征再进一步识别个人身份。
四、人脸识别数据的合规义务
(一)人脸识别数据的一般合规要求
《个人信息保护法》中人脸识别数据的合规义务,包括收集、存储、使用、委托处理、共享、转让、公开。
1. 个人信息保护影响评估
《个人信息保护法》第55条强调,凡是处理敏感个人信息,在事前均应履行合规步骤—进行个人信息保护的影响评估,因影响评估在《个人信息保护法》中没有具体落地细节的相关规定,目前多采用企业内部自检自评的方式,需要评估的第三方工具对于个人信息及后续一系列的风险进行评估和预判。这个步骤在处理敏感信息过程当中是非常重要的且必须要使用的。
2. 收集
人脸识别数据的收集,具体分成四类,第一类告知义务:(1)告知信息处理者的身份、联系方式、信息处理规则、目的、方式、范围、保存期限。(2)收集人脸识别数据的必要性及对个人信息权益的影响。(3)个人的相关权利。(4)其他可替代性方案(如个人的身份证号码、姓名或者指纹验证等方式)。第二类单独同意,指对于刷脸的同意必须是单独的:(1)不得采取概括授权、捆绑授权(不同业务间、不同产品间)、兜底条款授权等方式。(2)自愿,不得以胁迫等方式获得授权。(3)单独勾选、点击同意。第三类最小必要,指不得超目的、超限度、超频次。第四类撤回同意,指便捷的撤回同意途径。
单独同意的例外:(1)为应对突发公共卫生事件,或者紧急情况下为保护用户的生命健康和财产安全所必需而处理人脸信息的。(2)为维护公共安全,依据国家有关规定在公共场所安装图像采集设备、人脸识别设备。(3)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息。(4)已事前取得单独同意的。(5)单位内人力资源管理需要收集使用人脸信息的。(6)符合法律、行政法规规定的其他情形。
3. 存储
个人信息保护影响评估和收集的场景下不需要存储,因存储需要履行相应的安全、责任和义务,在实务中一般不进行存储的动作,存储场景的合规要求:(1)人脸识别数据加密存储、区分存储(物理隔离或逻辑隔离)。(2)原则上不存储原始人脸图像,在完成身份验证或辨识之后,应当立即删除。(3)如果法律规定或者相关业务需要保存原始人脸图像,应当设置保存期间,到期后主动删除。(4)本地化存储 + 必要需求出境评估。
4. 使用
人脸数据使用场景多用于验证和识别辨识的环节,其场景合规要求:(1)在本地识别和远程识别方式均可适用时,应当使用本地人脸识别(收集和比对均在终端实现)。(2)生成可更新、不可逆、不可链接的人脸特征,同一人脸图像生成不同人脸特征、无法从人脸特征到人脸图像、同一人脸图像生成不同人脸特征之间不具备关联性。
5. 共享、转让
关于敏感个人信息,原则上不得向第三方进行共享、转让。但确有需要,需事前进行个人信息保护影响评估(告知用户共享、转让的目的、接收方身份、联系方式、接收方数据安全能力、可能产生的影响等相关信息)。如果涉及到第三方,要对第三方数据保护能力进行审核,并签订数据共享协议。此外,还要取得个人单独同意。
6. 委托处理
委托处理指平台不具备处理的技术或选取委托给第三方进行个人信息处理合作模式的场景。其合规要求:(1)事前进行个人信息保护影响评估,(2)告知委托处理的目的,(3)对第三方数据保护能力进行审核,并签订数据委托处理协议。
7. 公开:单独同意
人脸识别数据需要使用单独同意模式,每一个环节的单独同意,都要在具体的环节中落实。
(二) 三类场景下的特人脸验证
人脸验证环节,一般采取验证比对数据库的来源要合法,采用比对的数据库,可采购政府部门或者授权的相关机构运营合法的数据源,再进行验证和比对过程。
人脸辨识环节,辨识需要建立一个比对的数据库,数据来源需要用户主动的登记和上传人脸图像,之后进行单独的告知和单独的同意。对于人脸识别进行辨识门禁查验的过程,一般不建议把刷脸作为唯一的验证方式,需要提供可替代的方案。
人脸分析环节,风险点在于不能够避免把所收集到的人脸数据,重新关联识别到个人本身;在使用的过程当中不能较好的保护用户的隐私权。
最后结合移动应用APP支付和授权页面,讲解了收集时的单独同意和人脸信息的撤回同意的实例。人脸识别数据在验证场景下,需要个人自主开启并单独同意;用户可以撤回对人脸信息收集使用的授权。
(根据嘉宾发言内容整理,不代表嘉宾所在单位立场。)
责任编辑:研究会秘书处
公众号二维码