石文静
惟胜道数字安全研究小组成员
自2021年8月起,惟胜道数字安全研究小组将推出《数字安全合规月刊》电子版,电子月刊聚焦网络安全与数据保护,呈现前沿动态、新规速递、热点案例、专业解读等内容,帮助读者掌握最新前沿趋势。若您对此感兴趣,请在惟胜会公众号后台留下您的【邮箱+姓名】,并特别注明数字安全合规月刊。
随着进入移动互联、大数据分析时代,人体的面部特征、指纹、虹膜、声音、步态等个人生物识别信息得以广泛运用。人脸识别是基于人的脸部特征信息进行身份识别的一种,“人脸识别”作为人工智能的应用之一,大量应用于各行各业安全认证领域。本文将从个人信息保护的角度出发,分析企业人脸识别系统合法合规性问题。
一、个人信息、人脸信息的定义
虽然上述法律、草案征求意见稿、有关国家标准对于“个人信息”的具体定义不尽相同,但分析归纳可知,自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、健康信息、行踪信息等可识别自然人有关的各种信息,均属“个人信息”的范畴。本文讨论所主要涉及的人脸信息就属于其中的生物识别信息。
二、所涉及的相关法律规定
目前我国涉及人脸识别的相关法律规定具体如下:
就当前现有的生效法律规范来看,对于人脸识别应用的规制条款较少。随着一系列数据安全、信息保护等法律规定的出台,我国就信息保护方面的监管将不断趋严,人脸识别应用必将得到更为规范的合规管理。
三、企业应用人脸识别系统的合规建议
数据合规包括数据源合规、数据使用、数据共享、数据安全、数据销毁等。就当前市场上应用到人脸识别系统的相关企业而言,笔者建议可从以下几个角度进行合规审查:
【收集前合规】
合规事项一:遵循目的合理性+充分必要性,明确告知人脸识别信息收集的目的、方式等内容
根据《个保法》第二十九条规定“处理人脸识别信息,须有特定的目的和充分的必要性”。相应的,该法第三十一条规定“处理人脸识别信息的,除应告知处理者身份、联系方式、目的、方式和种类等通用的告知事项外,还应当告知处理人脸识别信息的必要性以及对个人的影响。” 同时,根据该法第四条第二款,个人信息的处理包括个人信息的收集、存储、使用、加工、 传输、提供、公开等。
合规事项二:采集人脸信息前获得单独+书面授权同意
《民法典》已明确采集人脸信息必须征得个人同意,需要特别注意的是,该同意即使是主动、自愿作出的同意,如果双方的关系存在一定的不平衡性,则可能影响到同意的有效性。
根据《个保法》第二十九条第二款则规定,个人生物特征属于敏感个人信息,进而根据《个保法》第三十条前半段的规定,收集人脸识别信息,需要征得个人的单独同意。同时,《规定》第四条第二款,特地从反面强调:将对人脸识别,与其他信息一并捆绑获得同意的,将被为是无效的同意。
另外,《个保法》第三十条第二款规定“法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定”。无疑,书面同意能引起个人更高的注意、更加理性的思考和判断。因此,我们建议企业以尽量简便的形式获取书面同意。
合规事项三:将信息提供给他人处理的,应取得单独同意,告知处理相关信息;个人信息接收方变更处理目的和方式的,应重新取得个人同意
根据《规定》第二条第(四)(六)款规定“处理者违反(或超出)处理者明示或双方约定的目的、方式和范围等处理人脸信息的,成立侵权;处理者违反法律、行政法规或双方的约定,向他人提供人脸信息的,亦系侵权。”即处理者要将任何个人信息提供给他人处理的,应征得单独同意,同时,可能需要获得重新同意。同时,《个保法》第二十四条规定“个人信息处理者向他人提供其处理的个人信息的,应当向个人告知接收方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”
需要特别注意的是,根据《规定》第十一条的规定“双方订立的合同中(如用户协议、隐私政策或单独同意的规则等),要求个人授予处理者无期限限制、不可撤销、可任意转授权等处理人脸信息处理的权利的,依法属于无效的格式条款。”该条款系《民法典》第四百九十七条规定的“提供格式条款一方排除对方主要权利”的条款的具体规定。
【合规小结】
1.建议企业在处理人脸信息前,除了应告知个人对包括人脸识别在内的个人信息的处理目的、方式和范围等通用事项外,还应告知处理人脸识别信息的必要性以及对个人的影响,在处理过程中不得违背(或超出)明示或双方已约定的处理目的、方式和范围,同时建议保留告知的相关协议。
2.企业可采取的告知方式有两种:一是“单独同意+单独告知”的方式,即在征得单独同意的同时,附加“人脸识别信息处理规则”一类的规定;另一种是“单独同意+合并告知”方式,即将“人脸识别的目的、方式、范围、必要性和对个人的影响”包含在隐私政策中,一并告知。从现行规定看,两类方式都属于合法范围内,企业可结合自身情况,选择“单独同意+单独告知”或“单独同意+合并告知”的告知方式。
3.注意关注后续业务环节中,将人脸识别在内的个人信息提供给第三方的,有无将第三方的身份、联系方式、处理目的、方式和种类告知个人并征得单独同意;处理目的、方式和种类变更时,有无征得重新同意;
4.注意隐私政策等协议中,是否有要求个人授予处理者无期限限制、不可撤销、可任意转授权等排除个人主要权利的条款;如有,应将无期限改为与业务功能相适应的合理期限,否则无期限条款被认定为无效后,因无其他关于期限的约定作支撑,企业会更加被动。同时删除不可撤销条款,并将任意转授权细化为转授权某些特定第三方处理信息,并征得单独同意。
【处理活动合规】
当数据泄露造成的经济损失严重,波及范围甚广,泄露的数据被用于非法用途的可能性更高,对公司声誉影响很大,事后补救艰难。因此从数据生命周期的角度出发,企业应建立个人生物信息安全合规技术框架,充分识别数据全生命周期中的安全风险,按实际情况的需要采取加密保护、隔离存储、脱敏使用等技术措施,制定全面有效的增强型防护措施。具体合规建议如下:
合规事项四:在技术层面采用多方式、高标准从各角度保障人脸数据存储安全
企业在存储个人生物特征识别信息时,应当采取适当保护措施,以保障信息安全,具体建议如下:
1.标准化数据存储条件,加密存储人脸个人信息,对人脸数据保密性保护,抵抗外界攻击,防止数据遗失或被窃;
2.限制人脸数据访问人员数量,防止无关人员访问用户人脸数据。
3.具备对人脸数据进行备份的能力以及相应的恢复控制措施。
4.生物信息要尽可能最小化存储和使用,原则上应在人脸特征信息完成身份核验后及时删除原始样本临时文件、过程文件等,保证数据使用的合规合法性。
5.人脸信息与个人身份信息分开存储,且不存储原始个人生物识别信息(如人脸识别底图、签到人脸照片等),或是仅存储人脸的摘要信息,或是在人脸信息采集终端中直接使用人脸识别信息实现身份识别、认证等功能,或在使用面部识别特征实现识别身份、认证等功能后删除可提取人脸识别信息的原始图像。
合规事项五:企业在分析处理人脸数据的过程中,提供适当的安全措施,从而防止在处理过程中人脸识别系统本身的保密性、完整性和可用性造成威胁
具体安全保障措施建议如下:
1.采用满足数据传输安全策略相应的安全控制措施,增加多重防御,如安全通道、可信通道、数据加密等,防止将生物特征数据用于除最初预期以外的任何目的。
2.为了避免对生物特征参考进行未经授权的实体访问,进而导致个人信息安全风险,在构建传输通道前对两端主体身份进行鉴别。
3.提高数据处理手段,去除非必需数据的处理,减轻隐私数据长期大量保存的压力。
4.所存储的人脸信息在应用程序或数据库间应保持不可链接性,严格限制人脸原始数据(照片)的展示与披露场景,限制数据转移方式,必要时采取去标识化方式,降低原始数据泄露的可能。
合规事项六:当符合法定或者约定的情形发生时,企业应从人脸识别系统中删除相应的人脸数据信息
在人脸信息处理过程中,当人脸识别信息的收集目的已经实现或确定为不必要、人脸识别信息的保留期限已过期、主体撤回对人脸识别信息收集的同意权,或者人脸识别信息的使用改变,但是人脸识别信息的主体不同意使用新的信息等情况出现时,企业应当及时删除相应的人脸数据信息,信息应包括归档和备份数据。
需要特别注意的是,当主体要求注销公司收集的其人脸数据时,公司应在注销前对主体进行身份验证。
存储器中的人脸数据信息销毁后,不可重复使用,下次使用应当重新采集。
【合规小结】
人脸识别信息生命周期处理包括收集、存储、使用、 传输、销毁等过程,从技术层面保障数据生命周期管理的角度出发,建议企业应建立人脸识别信息安全合规技术框架,充分识别数据生命周期中的风险,保障信息数据安全。
【合规体系建设】
所谓“无规矩不成方圆”,从企业自身管理角度考虑,应建立健全的治理与管控机制。具体合规建议如下:
1.建立数据安全影响评估机制
企业在收集、处理个人面部识别信息前,我们建议企业依据最小必要原则,应谨慎且全面地评估目的是否充分、必要,即在业务中是否必须应用人脸识别技术,除了人脸识别技术之外是否有其他干预方式的实现目的。只有在评估结果为必要时才加以采集,否则将面临较高的合规风险。应建立个人信息处理活动清单,提前开展数据安全影响评估。涉及到面部识别信息、声纹等信息时,由于该类数据的泄露对个人权力和自由造成高风险,应当特别注意。应开展DPIA评估(数据保护影响评估),全面识别安全合规风险,制定有效的安全管控与技术措施。
使用人脸识别技术、开展DPIA评估时,企业应当将收集使用个人信息的合法性、正当性、必要性,以及对个人信息主体权力的影响进行综合评估。个人信息主体有知情权、访问权、了解人脸识别使用目的及其原因的权力、反对权和更正权、删除权等。
2.建立用户权益保障制度及隐私保护制度
由于人脸识别信息是基于对个人信息的处理,用户享有充分的个人信息的选择同意权、知情权、访问权、反对权、更正权、删除权等。由于个人生物识别信息技术特性,其数据采集与匹配可能会存在数据识别率错误、数据匹配错误等情况,如在错误匹配下,数据主体可以请求更正以防止进一步或重复性的错误匹配。因此,企业应当建立健全的用户权益保障机制,包括管理规程以及用户权利管理工具平台,以支持管理机制的有效落地运行。
在内部完善建立完善的隐私保护制度,对日常工作中能接触到人脸或其他生物识别信息的人员进行背景调查,在隐私政策中充分说明生物识别信息的收集、使用、存储、共享等实践,并进行完整、充分的告知。
3.构建个人信息保护部门
企业应构建个人信息保护部门,清晰定义部门职责,定期对员工进行个人信息安全、数据合规培训,增强数据安全意识,与此同时,密切关注恒业立法与监管态势,积极跟进主管部门对人脸识别技术有关的规范出台情况,确保与自身实践想符合。
4.建立非人脸识别身份识别方式,供主体选择使用
根据《规定》第十条规定,人脸识别可以作为进出物业的方式,但不能是唯一方式,也就是物业服务企业须提供其他替代选项,另外,《数据安全要求》要求,应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用。
因此,人脸识别作为互联网大数据时代的一项身份识别技术,应我国法律法规要求,就企业而言,如信息主体明确拒绝接受人脸识别系统服务,应当为相关用户提供其他可验证个人身份的方式。
四、个人信息争议涉诉风险防范
《个保法》第六十八条规定“个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”、《规定》第六条规定“当事人请求信息处理者承担事责任的,人民法院应当依据民事诉讼法第六十四条及《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十条、第九十一条,《最高人民法院关于民事诉讼证据的若干规定》的相关规定确定双方当事人的举证责任。信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任。信息处理者主张其不承担民事责任的,应当就其行为符合本规定第五条规定的情形承担举证责任”。上述《规定》的第一款引用的三个条文,都在强调“谁主张、谁举证”,第二款和第三款则规定了举证责任倒置:即信息处理者应就其处理有合法依据,或符合免责事由,承担举证责任,否则,应被认定为构成侵权(违约),应承担侵权(违约)责任。信息处理有合法依据和符合免责事由(没有过错)这一事实,应由信息处理者进行主张,进而由其举证,(这就是“谁主张谁举证”),而非个人。为此,要证明处理者自身无过错,决定了企业应对获取合法依据和属于免责事由有意识地留痕,以便在诉讼过程举证。具体建议如下:
1.企业应对处理人脸信息前的以下告知和同意的进行留痕:
1.1已征得该自然人或者其监护人同意,含同意的时间、同意的方式、是否单独同意、是否自愿同意、是否明示同意、对外提供是否单独同意(和重新同意)、是否取得监护人同意(含监护人与使用人的关系)等;
1.2 处理前,企业已公开处理信息的规则,已明示处理信息的目的、方式、范围、及处理的必要性和对个人的影响;
1.3 企业符合免责的事由的依据。
2.要证明自身无过错,除上述证据外,可能还需要以下证据:
2.1 采取了应有的技术措施或其他必要措施(如物理措施),以确保包括人脸信息在内的个人信息的安全(《规定》第五条、《个保法》第九条、第五十一条);
2.2 对外委托处理时,是否与委托人约定必备事项,并进行监督(《个保法》第二十二条)。也即举证责任倒置是个人信息保护诉讼案件的通用原则,原则上,信息处理者对于其履行法律规定的义务都应当留痕、保存。
3.企业应对采取个人信息安全保护措施、委托他人处理中的合同和监督义务等履行《个保法》规定的保护义务的全部措施和过程予以留痕、保存。
五、总结
目前,企业对人脸识别技术的使用乱象横生,不同的企业对用户个人信息的使用、保护力度不一,若因企业未尽到安全保护义务,导致用户人脸信息泄露,将会导致非常严重的后果。《数据安全要求》明确,收集人脸识别数据时应征得数据主体明示同意,不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。
最后,笔者建议企业引进第三方(包括人脸技术的开发商、服务商等)风险管理机制,从法律、管理、技术等多维度,提高合规管理能力。