隆安法言|《人脸识别规定》下企业合规要点与建议

隆安法言|《人脸识别规定》下企业合规要点与建议
近年来,在人脸识别技术的发展与应用给生活带来便利的同时,其所汇聚的海量人脸信息亦存在着大量规范监管的空白。从商家擅自采集人脸信息成为今年315晚会的重点曝光内容到2021年4月出现了原告胜诉的“人脸识别第一案”(原告郭兵诉被告杭州野生动物园服务合同纠纷一案),人脸信息这一个人信息的“新领域”基于采集更便利、更隐秘、更广泛的特点,对法律法规提出了新的挑战。
2021年7月28日,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称“《人脸识别规定》”)应运而生,自2021年8月1日起正式实施。其不仅从维权的角度,对人脸信息保护要求、保护边界和保护方式等具体问题进行了全面的规范;亦从合规的角度上,对人脸信息合规内容、合规体系以及合规管理实施提出新的要求。

本文将基于对《人脸识别规定》的解读,从人脸信息合规的视角出发,总结处理人脸识别实务合规若干要点,以推动企业对人脸信息利用合规的贯彻实施。

一、人脸信息的定义及法律属性之明确

关于人脸信息的定义,《人脸识别规定》第一条第三款明确“本规定所称人脸信息属于民法典第一千零三十四条规定的‘生物识别信息’”。虽然《民法典》没有对其定义进行进一步规定,但国家标准《信息安全技术 远程人脸识别系统技术要求》中对“人脸识别”的定义进行了阐述,即人脸识别技术中处理的“人脸信息”为能够识别个体身份的信息。同时在尚处于草案阶段的《个人信息保护法》(二审稿)中,其中第二十九条第二款亦明确将“个人生物特征”列为敏感个人信息。

由此,我国形成了较为完备的人脸信息法律体系,对于人脸信息的保护不仅可以适用民法典中对于“个人信息”的保护,还可以适用敏感个人信息保护的相关规定。
其中需要关注的是,《个人信息保护法》(二审稿)在第二十九条、三十、三十一、五十五条分别明确规定了处理敏感个人信息的前提、同意方式、必要性、影响告知、事先评估分析等处理者义务,在第六十一条第一款第二项还特别要求网信部门“针对敏感个人信息以及人脸识别、人工智能等新技术、新应用”制定保护规则、标准。与之关联的《个人信息安全规范》(“安全规范”)、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》、《常见类型移动互联网应用程序必要个人信息范围规定》(“必要范围规定”)等国家标准对此亦进行了具体的规定。

二、人脸信息处理规范之梳理

(一)处理的定义

第一条第二款规定“处理”的定义,即“人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等”,《人脸识别规定》作为《民法典》配套司法解释,与其第一千零三十五条第二款的定义一脉相承,基本一致。

(二)必要性规则

从《人脸识别规定》第二条第一款第五项的必要安全措施、第八项的必要原则,以及第三条规定的信息处理的必要程度,我们可归纳出处理人脸信息的“必要性规则”。

其中关于“处理”细分定义“收集”的必要性判断,《安全规范》规定:

1. 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;

2. 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;

3. 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。(需要注意的是,第一点的直接关联,《必要范围规定》并未将人脸信息列为三十九类常见应用中任何一项的必要搜集个人信息)。

关于“处理”细分定义“存储、使用、加工、传输、提供、公开”过程的必要性评价,《安全规范》规定:

1.去标识化是存储和展示的前提;

2.对于存储环节,包括人脸信息在内的个人生物信息应当和一般个人信息分开存储,此外原则上不存储原始的个人生物信息,而仅仅存储摘要;

3.存储有最长期限限制,超过期限后应当删除或者进行彻底的匿名化处理;

4.传输敏感个人信息(包含个人生物信息)必须采取加密措施,境外传输需遵守相关法律(主要是国家安全法、网络安全法、数据安全法等法律)的规定;

5.对敏感个人信息(包含个人生物信息)的访问和修改,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息;

6.个人生物信息不应当公开披露。

(三)目的明确、公开透明规则

《人脸识别规定》第二条第(二)项要求信息处理者应当公开处理人脸信息的规则,并且明示处理的目的、方式、范围。该规定要求信息处理者应当具有明确、清晰、具体的个人信息处理目的,并且应当以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,接受外部监督。实务中,该规则通常以《个人信息保护政策》(《隐私政策》)等形式呈现,根据《个人信息保护法(二审稿)》第十八条、三十一条,所应明示的内容应当包括:

1.个人信息处理者的身份和联系方式;

2.个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

3.个人行使权利的方式和程序。同时,人脸信息作为敏感个人信息,信息处理者还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。

(四)单独获得同意规则

个人同意是个人信息处理首要合法性基础,对个人信息的收集需要遵循“告知-同意”原则,“单独”则是其中“告知”环节的特定要求。在《民法典》第一千零三十五条的基础上,《人脸识别规定》第二条第一款第三项规定“基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意。”与之相呼应,《个人信息保护法》(二审稿)第三十条中同样规定“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。”

该规则旨在增强对人脸信息的保护,让主体深度参与到人脸信息处理的决策,从而有效解决人脸信息“更易采集、采集更隐蔽”等问题。其中需要注意的是,在收集人脸信息时,必然避免不了对个人生物信息和其他个人信息,甚至包括其他敏感个人信息一并收集,该规则要求,对包括人脸信息在内的个人生物信息的收集均必须履行单独告知的义务。

《安全规范》对该规则也有其他详细的要求:

1.《安全规范》5.4(c)规定“收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;”

2.《安全规范》9.2(i)规定“个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。”

(五)应当采取技术措施及其他必要措施

《人脸识别规定》第二条:信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失。该规定要求信息处理者应当采取技术措施或者其他必要措施确保人脸信息安全。具体要求体现在《信息安全技术 个人信息安全规范》[7]关于个人敏感信息的传输和存储要求予以执行。具体包括:

1.传输和存储人脸信息应采用加密等安全措施;

2.人脸信息应与个人身份信息分开存储;

3.原则上不应存储原始人脸信息(如样本、图像等),可采取的措施包括但不限于:

1)仅存储人脸信息的摘要信息;

2)在采集终端中直接使用人脸信息实现身份识别、认证等功能;

3)在使用人脸识别特征实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

(六)应依法向他人提供人脸信息

《人脸识别规定》第二条第(六)项将违反法律、行政法规和违约向他人提供人脸信息作为侵害自然人人格权益的法定情形。《个人信息保护法(二审稿)》第二十四条规定应当向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。同时,《信息安全技术 个人信息安全规范》还要求提供个人敏感信息前,应告知数据接收方的身份和数据安全能力,企业在向关联方或第三方提供相应人脸信息前应予以遵循。

(七)遵循公序良俗原则

《人脸识别规定》第二条第(七)项要求处理人脸信息时应当遵循公序良俗。该规定主要指向社会上部分不法分子将公开的人脸信息采用嫁接等技术手段进行处理,并用于制作淫秽视频等典型场景。

(八)强调对未成年人人脸信息的保护

《人脸识别规定》第三条在明确信息处理者因处理人脸信息而承担侵权责任时对于责任确定的考量因素时强调应考量权利人是否为未成年人。随着科技电子产品受众的年轻化,未成年人的人脸信息亦更多地暴露在信息处理者面前。鉴于许多安放在公共场所或经营场所的设备亦不可避免地会采集到未成年人的人脸信息,考虑到未成年人的认知能力和维权能力较弱,由此在规定中适当予以倾斜保护,以更好保障未成年人的人格权益。

(九)责任豁免条款
《人脸识别规定》第五条明确规定了使用人脸识别技术的责任豁免条款,包括:1.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需(如疫情防控过程中采集人脸信息用于流行病学调查等);2.为维护公共安全,依据国家有关规定使用人脸识别技术(如在公共场所安装摄像头用于犯罪侦查等);3.为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息(如在新闻报道中使用被报道对象的个人照片等);4.在自然人或者其监护人同意的范围内合理处理人脸信息。

三、合规建议

1.在关注《个人识别规定》的同时,《网络安全法》、《个人信息保护法》(二审稿)、《安全规范》、《评估指南》和《必要范围规定》等规范性文件也应当纳入合规的法规参考范围。

2.注意区分不同场景下,使用人脸识别技术的合法性依据。使用人脸识别应当取得当事人的同意,或者属于法律、行政法规规定可行的情形。就法律、法规规定的情形而言,《安全规范》、《评估指南》和《必要范围规定》主要适用于网络环境,《人脸识别规定》还调整“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等”等线下场所。

3.应当注意人脸信息处理获准要求从已获得许可同意上升至甄别人脸信息是否为所提供服务必须搜集的信息,即应当判断是否无人脸信息的参与,则产品或服务的功能无法实现。由此建议在人脸信息是否列入必要搜集范围的问题上,应当更为审慎。

4.对于非必要收集的人脸信息应当严格遵循单独告知同意要求,可以采取跳转独立页面等方式进行告知、提示和收集等“可感知”模式,应当避免采取混合在格式用户协议或者隐私政策一并告知等“捆绑授权”模式。

5.就未成年人人脸信息识别应当给予更高的关注。未成年人被采集人脸信息的场景日益增加,泄露风险日益提高,《人脸识别规定》亦明确受害人为未成年人属于考量民事责任的情形之一。企业处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意;未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,企业作为信息处理者应当及时采取措施予以更正、删除。

6.基于《人脸识别规定》第六条第二款、第三款“信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任。信息处理者主张其不承担民事责任的,应当就其行为符合本规定第五条规定的情形承担举证责任。”之规定,信息处理者存在较重的举证责任。因此企业在进行人脸识别的同时应当注意收集、固定可以证明人脸识别具有必要性、合法性证据,避免诉讼时证据灭失。

四、结语

《人脸识别规定》是对现今滥用人脸识别技术处理人脸信息问题及时、有效的回应,确立了审理使用人脸识别技术处理个人信息相关民事案件的统一规则。同时,也为企业进行合规管理提供了明确的行动指引。今后,企业应当在进行人脸识别时保持审慎的态度,建立系统完备的合规体系并落地实施,以最大化控制相关法律风险。
仇少明
北京市隆安律师事务所上海分所 高级合伙人
vincent@longanlaw.com
沈佳赟
北京市隆安律师事务所上海分所 法律实习生
地址:上海市徐汇区虹桥路1号港汇恒隆广场办公楼1座11层
隆安法言|《人脸识别规定》下企业合规要点与建议
隆安法言|《人脸识别规定》下企业合规要点与建议

原文始发于微信公众号(隆安律师事务所):隆安法言|《人脸识别规定》下企业合规要点与建议