本文将基于对《人脸识别规定》的解读,从人脸信息合规的视角出发,总结处理人脸识别实务合规若干要点,以推动企业对人脸信息利用合规的贯彻实施。
一、人脸信息的定义及法律属性之明确
二、人脸信息处理规范之梳理
(一)处理的定义
第一条第二款规定“处理”的定义,即“人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等”,《人脸识别规定》作为《民法典》配套司法解释,与其第一千零三十五条第二款的定义一脉相承,基本一致。
(二)必要性规则
从《人脸识别规定》第二条第一款第五项的必要安全措施、第八项的必要原则,以及第三条规定的信息处理的必要程度,我们可归纳出处理人脸信息的“必要性规则”。
其中关于“处理”细分定义“收集”的必要性判断,《安全规范》规定:
1. 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;
2. 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
3. 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。(需要注意的是,第一点的直接关联,《必要范围规定》并未将人脸信息列为三十九类常见应用中任何一项的必要搜集个人信息)。
关于“处理”细分定义“存储、使用、加工、传输、提供、公开”过程的必要性评价,《安全规范》规定:
1.去标识化是存储和展示的前提;
2.对于存储环节,包括人脸信息在内的个人生物信息应当和一般个人信息分开存储,此外原则上不存储原始的个人生物信息,而仅仅存储摘要;
3.存储有最长期限限制,超过期限后应当删除或者进行彻底的匿名化处理;
4.传输敏感个人信息(包含个人生物信息)必须采取加密措施,境外传输需遵守相关法律(主要是国家安全法、网络安全法、数据安全法等法律)的规定;
5.对敏感个人信息(包含个人生物信息)的访问和修改,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息;
6.个人生物信息不应当公开披露。
(三)目的明确、公开透明规则
《人脸识别规定》第二条第(二)项要求信息处理者应当公开处理人脸信息的规则,并且明示处理的目的、方式、范围。该规定要求信息处理者应当具有明确、清晰、具体的个人信息处理目的,并且应当以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,接受外部监督。实务中,该规则通常以《个人信息保护政策》(《隐私政策》)等形式呈现,根据《个人信息保护法(二审稿)》第十八条、三十一条,所应明示的内容应当包括:
1.个人信息处理者的身份和联系方式;
2.个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
3.个人行使权利的方式和程序。同时,人脸信息作为敏感个人信息,信息处理者还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。
(四)单独获得同意规则
个人同意是个人信息处理首要合法性基础,对个人信息的收集需要遵循“告知-同意”原则,“单独”则是其中“告知”环节的特定要求。在《民法典》第一千零三十五条的基础上,《人脸识别规定》第二条第一款第三项规定“基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意。”与之相呼应,《个人信息保护法》(二审稿)第三十条中同样规定“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。”
该规则旨在增强对人脸信息的保护,让主体深度参与到人脸信息处理的决策,从而有效解决人脸信息“更易采集、采集更隐蔽”等问题。其中需要注意的是,在收集人脸信息时,必然避免不了对个人生物信息和其他个人信息,甚至包括其他敏感个人信息一并收集,该规则要求,对包括人脸信息在内的个人生物信息的收集均必须履行单独告知的义务。
《安全规范》对该规则也有其他详细的要求:
1.《安全规范》5.4(c)规定“收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;”
2.《安全规范》9.2(i)规定“个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。”
(五)应当采取技术措施及其他必要措施
《人脸识别规定》第二条:信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失。该规定要求信息处理者应当采取技术措施或者其他必要措施确保人脸信息安全。具体要求体现在《信息安全技术 个人信息安全规范》[7]关于个人敏感信息的传输和存储要求予以执行。具体包括:
1.传输和存储人脸信息应采用加密等安全措施;
2.人脸信息应与个人身份信息分开存储;
3.原则上不应存储原始人脸信息(如样本、图像等),可采取的措施包括但不限于:
1)仅存储人脸信息的摘要信息;
2)在采集终端中直接使用人脸信息实现身份识别、认证等功能;
3)在使用人脸识别特征实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
(六)应依法向他人提供人脸信息
《人脸识别规定》第二条第(六)项将违反法律、行政法规和违约向他人提供人脸信息作为侵害自然人人格权益的法定情形。《个人信息保护法(二审稿)》第二十四条规定应当向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。同时,《信息安全技术 个人信息安全规范》还要求提供个人敏感信息前,应告知数据接收方的身份和数据安全能力,企业在向关联方或第三方提供相应人脸信息前应予以遵循。
(七)遵循公序良俗原则
《人脸识别规定》第二条第(七)项要求处理人脸信息时应当遵循公序良俗。该规定主要指向社会上部分不法分子将公开的人脸信息采用嫁接等技术手段进行处理,并用于制作淫秽视频等典型场景。
(八)强调对未成年人人脸信息的保护
《人脸识别规定》第三条在明确信息处理者因处理人脸信息而承担侵权责任时对于责任确定的考量因素时强调应考量权利人是否为未成年人。随着科技电子产品受众的年轻化,未成年人的人脸信息亦更多地暴露在信息处理者面前。鉴于许多安放在公共场所或经营场所的设备亦不可避免地会采集到未成年人的人脸信息,考虑到未成年人的认知能力和维权能力较弱,由此在规定中适当予以倾斜保护,以更好保障未成年人的人格权益。
三、合规建议
1.在关注《个人识别规定》的同时,《网络安全法》、《个人信息保护法》(二审稿)、《安全规范》、《评估指南》和《必要范围规定》等规范性文件也应当纳入合规的法规参考范围。
2.注意区分不同场景下,使用人脸识别技术的合法性依据。使用人脸识别应当取得当事人的同意,或者属于法律、行政法规规定可行的情形。就法律、法规规定的情形而言,《安全规范》、《评估指南》和《必要范围规定》主要适用于网络环境,《人脸识别规定》还调整“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等”等线下场所。
3.应当注意人脸信息处理获准要求从已获得许可同意上升至甄别人脸信息是否为所提供服务必须搜集的信息,即应当判断是否无人脸信息的参与,则产品或服务的功能无法实现。由此建议在人脸信息是否列入必要搜集范围的问题上,应当更为审慎。
4.对于非必要收集的人脸信息应当严格遵循单独告知同意要求,可以采取跳转独立页面等方式进行告知、提示和收集等“可感知”模式,应当避免采取混合在格式用户协议或者隐私政策一并告知等“捆绑授权”模式。
5.就未成年人人脸信息识别应当给予更高的关注。未成年人被采集人脸信息的场景日益增加,泄露风险日益提高,《人脸识别规定》亦明确受害人为未成年人属于考量民事责任的情形之一。企业处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意;未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,企业作为信息处理者应当及时采取措施予以更正、删除。
四、结语
原文始发于微信公众号(隆安律师事务所):隆安法言|《人脸识别规定》下企业合规要点与建议