如何安全、合规地应用人脸识别技术|iLaw

admin 2024年8月5日10:59:04评论6 views字数 15038阅读50分7秒阅读模式

如何安全、合规地应用人脸识别技术|iLaw

点击  预约 ,进入视频号学习更多课程

iLaw

✨温馨提示: 

文末,附“人脸识别”法律探究》《人脸识别产业法律治理研究报告-202407》可扫描二维码自行获取

iLaw提醒:公众号平台更改了推送规则,如果不想错过内容,记得星标「iLaw合规」公众号。这样每次新文章推送,就会第一时间出现在你的订阅号列表里。
如何安全、合规地应用人脸识别技术|iLaw

作者:张成器

单位:上海邦景律师事务所

电话:15921645583

邮箱:[email protected]

近期,上海网信部门办理了沪上首起针对滥用人脸识别技术的行政执法首案1。松江区某游泳馆要求消费者通过小程序进行人脸认证,用于实现场馆内健身区、游泳区闸机的进出以及更衣柜的开启。据了解,该场馆取消了传统的手环认证模式,而系统支持的所谓手机微信扫码模式,也因为手机本身在游泳时需要被寄存而无法使用。进而,人脸识别成为了馆内设施使用的唯一身份比对方式。事件引发热议后,松江区委网信办协同市场监督等有关部门前往现场调查、监督官方整改,并最终对游泳馆投资方处以警告的行政处罚。

当前,越来越多的生活、工作场景中,企业、组织开始使用人脸识别技术替代传统的票务、门禁、访问、考勤管理方式,在便利化管理的同时,也产生了很多的争议。著名的“人脸识别第一案”---郭某诉杭州野生动物世界有限公司服务合同纠纷案[案号:(2019)浙0111民初6971号,以下简称“动物世界案”]就是典型一例。除此之外,更有商家通过“强制采集”“授权捆绑”的方式,或是所谓的“无感式”识别技术,违规采集消费者、甚至未成年人人脸信息,严重侵害个人信息主体的合法权益。

本文中,笔者将梳理当前法律环境下人脸识别技术应用的合规要求,以供企业或组织比对检视,缓释合规风险,亦期望帮助个人了解人脸信息处理的合理边界,在个人权利受到侵害之时能够有效维权。

目录索引

iLaw

一.人脸识别技术的现行规则

二.法律定义与实务概念的“碰撞”和“统一”

三.人脸信息保护,适用哪些场景、对象?

四.人脸信息处理,应当遵循的哪些合规要求?

五.当人脸信息遭受不法处理时,个人如何维权?

六.总结

 1网信上海:上海网信部门办理首起人脸识别滥用案件

https://mp.weixin.qq.com/s/SY7BUrIj6AqeQrXUy_krWw

一、人脸识别技术的现行规则

当前我国有关人脸识别技术的主要法律法规及规范性文件如下:

如何安全、合规地应用人脸识别技术|iLaw

在以上规范性文件的基础上,有关部门正在进一步制定规则,细化标准。例如,全国信息安全标准化技术委员会已经就《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》对外征求意见,该征求意见稿对包括人脸识别信息在内的敏感个人信息的处理提出了更高的合规要求与安全保护要求。

二、法律定义与实务概念的“碰撞”和“统一”

01

“留白”的法律定义

前述法律法规、司法解释对于人类面部图像有关数据的各类定义,如下表所示:

如何安全、合规地应用人脸识别技术|iLaw

法律概念具备规范性和普适性的特点,“人脸信息”和“生物识别信息”这两个具体的、带有一定技术色彩的概念,在当前的法律中只是作为“个人信息”或“敏感个人信息”这两个重要概念的示例存在,而没有更进一步明确的定义

02

“混乱”的业界概念

相比之下,业界的有关概念界定(主要体现在国家标准中)与法律定义并不完全一致,甚至标准之间亦不一致,笔者初步整理,如下表所示:

如何安全、合规地应用人脸识别技术|iLaw

03

如何体系理解这些概念?

笔者研究了有关国标中的定义和数据类型示例,初步分层如下

如何安全、合规地应用人脸识别技术|iLaw

进一步,形成概念关系图如下所示:

如何安全、合规地应用人脸识别技术|iLaw

图 一 人脸识别技术主要概念辨析(其中虚线矩形框表示意思相近的两个或多个概念)

结合以上的概念梳理,不难发现,我们讨论人脸、面部的各种数据类型,根本上可以划分为两类:

图像类:可以简单理解为静态(照片)或者动态(视频)的脸部外形记录——或者说,常人能够在有效地观察后,直接解读为“这是一个人脸”。当然,其存在形式可能是模拟信号或数字信号,可见或非可见(红外),平面(二维)或立体(三维)。

特征类:通过图像处理的算法,从图像中提取面部的轮廓、眼睛、鼻子、嘴巴、下巴等部分的位置、形状和大小等一组数据。商业实践中,一般分为视觉特征、像素统计特征、人脸图像变换系数特征、人脸图像代数特征、直方图特征、颜色特征、结构特征、Gabor特征、POEM特征等2类型。

回归法律,对于没有给出具体定义的“生物识别信息”和“人脸信息”,笔者认为:

生物特征识别信息”是《民法典》《个人信息保护法》《规定》中提到的“生物识别信息”的近似概念

人脸信息”与“人脸识别数据”两者为近似概念,分别为“生物识别信息”和“生物特征识别信息”的子集,且均应包含“人脸图像/人脸样本”与“人脸特征两种类型的数据

因此,在本文中,如不特定强调图像特征的区别,笔者统一以法律概念“人脸信息”来指代面部识别领域的“生物特征识别信息”(即“人脸识别数据”这一表达)。

三、人脸信息保护,适用哪些场景、对象?

01

适用场景

《个人信息保护法》有两处对“人脸信息”的处理作出规定:第二章第二节从“敏感个人信息”的处理角度,规制了包括人脸信息在内的生物识别信息的合规处理要求3;而针对公共场所的个人图像采集,则在第二十六条予以单独的规定4

因此,人脸信息保护规则的适用范围与整个《个人信息保护法》的适用范围是基本一致的,即该法第三条“在中华人民共和国境内处理自然人个人信息的活动”以及特定条件下在境外处理境内自然人个人信息的活动5

就具体场景而言,除了我们日常使用的移动应用程序(以下简称“App”)中处理人脸信息的功能与场景之外,日常的生活、工作中,个人作为消费者、员工、服务使用者等角色,面对的线上、线下的人脸信息索取场景,都能够适用《个人信息保护法》进行保护。

从司法视角来看,最高人民法院《规定》第二条第(一)项细化了人脸信息保护规则适用的线下场景,如“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所”等经营场所。

就具体场景而言,除了我们日常使用的移动应用程序(以下简称“App”)中处理人脸信息的功能与场景之外,日常的生活、工作中,个人作为消费者、员工、服务使用者等角色,面对的线上、线下的人脸信息索取场景,都能够适用《个人信息保护法》进行保护。

从司法视角来看,最高人民法院《规定》第二条第(一)项细化了人脸信息保护规则适用的线下场景,如“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所”等经营场所6

注释

 2.Andata人脸图像特征提取浅析 二

https://mp.weixin.qq.com/s/N2Lm9WxbdKKgJA9NZGIl5A

 3.《中华人民共和国个人信息保护法》

第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

  只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

 4.《中华人民共和国个人信息保护法》

第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

 5.《中华人民共和国个人信息保护法》

第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。

  在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

  (一)以向境内自然人提供产品或者服务为目的;

  (二)分析、评估境内自然人的行为;

     (三)法律、行政法规规定的其他情形。

 6.《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》

第二条  信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:

(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;

02

适用对象

人脸信息保护规则适用于中国大陆境内所有自然人,这一点毋庸置疑。需要强调的是,随着人脸识别应用场景日趋多样,未成年人的人脸信息被违法采集、使用或以其他方式非法处理的情形也越来越多。由于人脸信息具有不同于其他个人信息的、难以更改的特性,未成年人的人脸信息一旦泄露,侵权影响甚至可能伴随其一生。因此,我国法律重点关注未成年人个人信息的保护。

2020年10月修订的《中华人民共和国未成年人保护法》(以下简称《未成年人保护法》)第七十二条规定:“信息处理者处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意;未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除。

同样的,《个人信息保护法》第二十八条、第三十一条,以及《个人信息安全规范》3.2条均将14周岁以下(含)儿童的个人信息列入“敏感个人信息”,并赋予了极高的保护标准,例如要求监护人的事先授权同意等。

从司法视角,秉承《未成年人保护法》《个人信息保护法》的精神,在事前规制的层面,《规定》第二条第(三)项明确,信息处理者处理未成年人人脸信息的,必须征得其监护人的单独同意9。从事后的责任认定层面,《规定》第三条明确将“受害人是否未成年人”作为责任认定的考量因素,对于违法处理未成年人人脸信息的,在责任分配时依法作出调整10

注释

 7.《中华人民共和国个人信息保护法》

第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。

  个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

 8.《信息安全技术 个人信息安全规范》

3.2 个人敏感信息 personal sensitive information

一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。

 9.《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》

第二条  信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:

……

(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;

……

 10.《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》

第三条  人民法院认定信息处理者承担侵害自然人人格权益的民事责任,应当适用民法典第九百九十八条的规定,并结合案件具体情况综合考量受害人是否为未成年人、告知同意情况以及信息处理的必要程度等因素。

四、人脸信息处理,应当遵循的哪些合规要求?

01

普通的个人信息处理规则(目的合法、正当,最小必要,明示告知,依法配合个人有关个人信息主体权益的主张等)

《个人信息保护法》中有关一般个人信息的处理规则,均适用于人脸信息的处理,包括该法第五条确立的个人信息处理“合法、正当原则”,第六条“最小必要”原则,第七条“明示告知规则”,第八条个人信息处理“准确性”要求,第十三条个人信息处理“合法性基础”,以及《个人信息保护法》第二章“个人信息处理规则”中大量更为具体的要求。

另外,如《个人信息保护法》第四章“个人在个人信息处理活动中的权利”所述,个人具备包括对其个人信息处理的知情权、决定权、限制/拒绝权、撤回同意权、查阅权、复制权、可携带权、更正权、补充权、删除权等权利,亦均适用于人脸信息。

02

单独同意

《民法典》第一千零三十四条把包括人脸信息在内的“生物识别信息”归于个人信息之列。《个人信息保护法》第二十八条则进一步把“生物识别特征”列入敏感个人信息的范畴,并在该法第二十九条明确“单独同意”的处理规则:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”

司法层面,《规定》第二条第(三)项同样确立了人脸信息处理的“单独同意”规则:“基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意。

虽然法律有所规定,但实践中仍然引发新的问题:何为合规的“单独同意”?笔者认为,合规的“单独同意”满足两个条件:

其一,“单独同意”前需明确告知

《个人信息保护法》第三十条规定:“处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。”对于特殊场景下(如公共场所用于公共安全的目的)的人脸信息收集,该法第二十六条同样提出了告知的方式——设置显著的提示标志”。实践层面,《个人信息安全规范》5.4条规定,在收集人脸数据之前,个人信息处理者“应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则”,进而获得明示的授权同意。毫无疑问,人脸信息处理前的告知义务是必要的且需要满足一定标准的。

笔者坚信,没有知情就没有真正的同意。如果用户的知情权是不充分的,抑或其获得真实信息的成本(比如阅读成本)是过高的,那即使完成了一个形式上单独同意的交互(比如点击一个勾选框),也不能代表用户的同意是在知情的基础上,形成的清晰意愿,反而极有可能是其迫于对功能、服务的急需而放弃对知情权的要求。

另外,如前文所述,对年满14周岁未成年人人脸信息的收集需要征得监护人的明示同意,也能从侧面佐证“明确告知”是必要的——未成年人对于条款的理解和判断能力受智力、阅历的限制,不能达到充分理解的程度。监护人得到充分的告知,并且能够理解未成年人人脸信息处理的目的必要性以及对未成年人的影响,有助于其作出清晰的、没有歧义的、有利于未成年人利益保障的选择。

其二,“单独同意”的作出需充分自愿

针对“充分自愿”的同意,《规定》第四条列举了几类典型的“反例”:“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”对于“强迫或变相强迫”,《数据安全要求》第5条之c)、d)款分别指出几类具体情形,如“设置障碍使自然人难以选择使用非人脸识别方式”、在自然人拒绝使用人脸识别方式后“频繁提示以获取自然人对人脸识别方式的同意(如48h内提示次数超过1次)”等

自愿原则是《民法典》的基本原则之一,个人对于自身个人信息处理的同意必须是基于自愿而作出。如果人脸信息处理者采取“与其他授权捆绑”或“不点击同意就不提供服务”等做法,会导致自然人无法单独对人脸信息的处理作出自愿同意,或无法限制、拒绝其不同意的其他个人信息处理活动,亦或是由于其对一些功能或服务的急迫需求而被迫同意处理其本不愿提供且非必要的人脸信息等情况——这些皆有悖于自愿原则。《规则》从司法审查的角度确认,此类“强迫同意”无法作为民事争议中有效的抗辩理由,具有非常现实的意义。

综上,人脸信息的处理活动对个人权益影响重大,《个人信息保护法》《规定》《个人信息标准规范》等在一般告知同意的基础上,对人脸信息的处理设定了更高的同意获得标准,以确保个人信息主体在对自身人脸信息将被处理这一情况充分知情的前提下,能够审慎考虑该等处理可能对自己权益产生的影响从而作出是否同意的意思表示。

03

安全的处理方式

《个人信息保护法》第五十一条指出,应当采取包括对个人信息实行分类管理” 以及“相应的加密、去标识化等安全技术措施”在内的措施确保“个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失”。该条款隐含的观点是:对包括人脸信息在内的敏感个人信息应当采用不同于一般个人信息所采用的安全措施。

法律不会规定技术细节,因此我们需要在国标中寻找有关的实践。除了“加密”的基础要求之外,《个人信息安全规范》6.3条提出两类策略:“生物识别信息应与个人身份信息分开存储”,以及更为釜底抽薪的策略——个人信息控制者11不存储原始个人生物识别信息(如样本、图像)”的特定要求。为实现不存储原始信息的目标,《个人信息安全规范》提出了三类替代措施:

仅存储摘要信息(从原始的识别信息中提炼,不可回溯为原始信息);

采集终端本地实现身份识别/认证功能(即原始的识别信息不上传云端或服务器,仅在接触个人的前端终端处理);

使用后删除原始图像。

上述替代措施在《基本要求》第6条,《数据安全要求》第7条、第8条中亦得到类似的体现。

在存储安全的技术方面,《基本要求》提出了一些提升人脸信息安全性的技术逻辑,例如:

应用多样化过程支持生成可更新、可撤销的“生物特征识别比对信息”;

在“个人令牌或卡”上存储生物特征识别比对信息,通过逻辑、物理方式进行安全保护;

使用“不可直接关联到生物特征识别信息主体的标识符”,通过“在应用程序之间使用不同的密钥或机制对生物特征比对信息进行加密”,以防止生物特征识别比对信息被用于“链接同一数据库中不同应用程序或不同数据库中的同一信息主体”,进而阻止对生物特征识别信息主体的链接(通俗的说,通过不同的加密机制,防止针对生物特征识别信息的“撞库”攻击);

在应用程序之间使用不同的生物特征识别模式、采用不兼容的特征提取算法、采用不兼容的生物特征识别数据交换格式(同样为了防止“撞库”攻击),等等。

当然,上述技术措施目前并非法律的强制要求,在提升人脸信息安全系数的同时也会相应提升安全成本,笔者建议企业根据自身需要,采取必要的、有效的措施即可。

 11.即《个人信息保护法》中的“个人信息处理者”角色。

04

替代功能的必要性

如前所述,个人信息的处理需遵循最小必要的原则。人脸信息作为一旦泄露后对个人权益影响极大的敏感个人信息,更应遵循这一原则。但是,由于法律缺乏明文规定,导致生活中的各类场景下,人脸识别被许多商家视为一种管理上的“捷径”,最小必要原则被完全抛诸脑后。开头提到的松江区某游泳馆的案例以及浙江的动物世界案都是此类现状引发的矛盾纠纷。

目前,在立法和司法层面,对于人脸识别技术应用中“应当提供替代功能”的要求,仅最高院就物业服务领域的相关场景有明确的规则——《规定》第十条第一款规定了物业服务领域提供人脸识别替代功能的“必要性”:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”

部分住宅小区使用人脸识别门禁系统作为居民出入的唯一验证方式,曾经引发争议12。尽管人脸识别门禁系统在一定程度上能够防止陌生人随意进出,确保业主安全,但人脸信息属于敏感个人信息,物业对人脸信息的采集、使用是否依法征得业主或者物业使用人的同意,实践中是高度存疑的。《规定》要求物业服务企业在使用人脸识别门禁系统管理人员出入时,应当征得业主或者物业使用人的同意。不得以确保物业安全为由侵害业主或物业使用人的知情权、选择权。

而在不具备强制性的国标层面,《数据安全要求》第5条“安全通用要求”进一步明确了替代功能的“必要性”,具体表现为:

能实现同样目的或达到同等安全要求,可采用非人脸识别方式的,优先选择非人脸识别

只有在人脸识别方式能够提供更高的安全性或便捷性的情况下,采用人脸识别方式进行身份识别;

同时提供人脸识别或非人脸识别方式,供自然人选择使用;

不得诱导使用人脸识别(如将人脸识别设置为首选方式或默认方式);

不得强迫个人同意人脸识别方式。

对于人脸识别技术的替代功能必要性,各地在制定地方规则中进行了部分探索。以上海市为例,2023年4月,上海市曾制定地方标准《公共场所人脸识别分级分类应用规范》并公开征求意见。该规范就人脸识别的应用场景提出了“分类分级”的管理理念,根据应用目的、底库规模、覆盖密度、管理水平和网络环境五个方面分别设置指标与算法,定量分析公共场所人脸识别风险;将风险

等级则设为五级,分别对应人脸识别的可用性以及关于替代功能的不同要求,例如:

A级(低风险):认可使用。适用于低风险的场景,或法律、法规、强制标准中已有规定的允许使用人脸识别的应用场景;

B级(中低风险):允许使用,提供至少一种可选择的替代方案或组合应用方案,包括但不限于证件识别、锁具、密码等非生物特征识别方案;

C级(中风险):适度使用,不宜将人脸识别作为唯一的方案,应提供至少一种可选择的替代方案或组合应用方案,包括但不限于证件识别、锁具、密码等非生物特征识别方案;

D级(中高风险):审慎使用,非必要不应使用,若必须使用则应通过优化要素风险降低风险等级后使用,且不宜将人脸识别作为出入的唯一验证方式,应提供至少一种可选择的替代方案或组合应用方案,包括但不限于证件识别、锁具、密码等非生物特征识别方案;

E级(高风险):不应使用。

12.上观新闻:上海一长租公寓要求进门必须“刷脸”,人脸识别可以随便用吗https://mp.weixin.qq.com/s/_ovdbP0nIdLLCo3mP_LmYA

05

使用场景的限制

除了提供替代功能的要求之外,在法律和司法解释层面,对于人脸信息使用的目的、范围和方式,目前并无直接、具体的规定。理论上,经过《个人信息保护法》要求的事先个人信息保护影响评估,且确认遵循个人信息处理的合法正当、最小必要原则,并实践《个人信息保护法》第二章有关规则,即可向个人收集、使用其人脸信息。

然而,法律终究落后于技术和商业。当人工智能成为当前国家科技发展的战略,当数字化、智能化营销成为拉动当前孱弱的国内消费的有利工具,我们很难判断,将海量的人脸数据用于视觉类大模型或者“自动化决策”类模型的训练,是否因为其潜在的经济效益而应当被鼓励,还是出于数据安全与个人信息保护合规的考量而应当被进一步限制(不仅是基于现有的法律规则的限制)。

目前,学界、产业界通过有关国家标准的制订,对包括人脸信息在内的“生物特征识别信息”的商业使用的限制提出了一些探索性的意见。例如,《基本要求》第7条提出:

将包括人脸信息在内的生物特征识别信息(以下以“人脸信息”指代)用于算法精度优化的,应当彻底去除与信息主体的身份关联,并在使用目标完成后及时删除有关信息;

进行身份识别,应采用“可更新、可撤销、具有不可逆性的生物特征识别比对信息”

不得基于人脸信息生成用户画像统计分析,例如对民族、种族、宗教、残疾、性取向、暴力取向的描述;

不得基于人脸信息进行个性化推荐(如不得基于个人的面部识别特征进行有关美容、医疗的商业化信息推送);

不得使用人脸信息作为汇聚融合(将企业内部/外部各类的数据汇聚到一起,在实现共享的基础上加工、分析、复用,如联合建模等)的直接关联点;

对人脸信息的复制、下载等操纵进行严格控制,如明确特定人员、确保操作安全、实现权限管控,等等。

值得期待的是,对于个人人脸信息在当前诸多新技术、新业态下的合规使用的边界,《个人信息保护法》第六十二条已明确,国家网信部门将统筹有关部门“针对……处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准”,以填补有关领域的法律空白。

06

一些其他的要求

人脸信息作为一类敏感个人信息,其处理亦受《个人信息保护法》第五十五条、第五十六条的要求13,即处理者在处理人脸信息前,应当进行个人信息保护影响评估,评估内容包括人脸信息的处理目的、处理方式等是否合法、正当、必要,人脸信息处理对个人权益的影响及安全风险,以及处理者所采取的保护措施是否合法、有效并与风险程度相适应等。有关评估记录需保存至少3年。

同时,人脸信息的处理数量也影响处理者涉及个人信息跨境传输时应当履行的合规义务。根据《促进和规范数据跨境流动规定》第七条、第八条14,跨境传输敏感个人信息是否达到1万条,将会影响处理者应当履行的合规义务类型,即申报数据出境安全评估或订立个人信息出境标准合同、通过个人信息保护认证。

除此之外,《数据安全要求》第5条之l)款要求,处理超过10万人的人脸信息的处理者,应设置专门的个人信息保护机构和个人信息保护负责人,并对相应负责人和关键岗位人员进行安全背景审查,且需公开该等负责人的联系方式。

显然,上述法律、规章与国家标准具备同样的价值导向,即,包括人脸信息在内的敏感个人信息的处理会产生更大的风险,故而处理者需要负担更重的合规义务和数据安全义务,以对冲这类风险。

注释

 13《中华人民共和国个人信息保护法》

第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

  (一)处理敏感个人信息;

  (二)利用个人信息进行自动化决策;

  (三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

  (四)向境外提供个人信息;

  (五)其他对个人权益有重大影响的个人信息处理活动。

第五十六条 个人信息保护影响评估应当包括下列内容:

  (一)个人信息的处理目的、处理方式等是否合法、正当、必要;

  (二)对个人权益的影响及安全风险;

  (三)所采取的保护措施是否合法、有效并与风险程度相适应。

  个人信息保护影响评估报告和处理情况记录应当至少保存三年。

 14《促进和规范数据跨境流动规定》

第七条 数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;

(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。

属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。

第八条 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。

属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。

五、当人脸信息遭受不法处理时,个人如何维权?

01

违法举报

针对线上平台(如App、小程序)的人脸识别违法行为,用户可通过App专项治理工作组设立的、有关违法违规收集使用个人信息的举报渠道 “App个人信息举报平台”(公众号ID:app_grxxjb)进行举报。

而对于线下生活中商家滥用人脸识别技术,违规处理人脸信息的情形,消费者可依据《中华人民共和国消费者权益保护法》(以下简称《消费者权益保护法》)的有关规定15,向商家所在地市场监督管理部门举报。

注释

15.《中华人民共和国消费者权益保护法》

第二十九条 经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。

经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。

经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。

第四十六条 消费者向有关行政部门投诉的,该部门应当自收到投诉之日起七个工作日内,予以处理并告知消费者。

第五十六条 经营者有下列情形之一,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:

……

(九)侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的;

……

经营者有前款规定情形的,除依照法律、法规规定予以处罚外,处罚机关应当记入信用档案,向社会公布。

02

民事诉讼

针对信息处理者违法处理人脸信息,致使个人人格权或其他权益受到侵害的,我国法律支持个人通过民事诉讼的方式维护自身权益,具体体现有二。

其一是《规定》第六条所明确的“举证责任倒置”规则:“信息处理者主张其行为符合民法典第一千零三十五条16第一款规定情形的,应当就此所依据的事实承担举证责任。信息处理者主张其不承担民事责任的,应当就其行为符合本规定第五条规定的情形承担举证责任。”

最高院充分考虑了双方当事人的经济实力、专业信息、取证能力不对等的情况,在信息处理者主张已经按照法律、行政法规之规定获取信息主体关于人脸信息处理的单独同意,抑或主张存在《规定》第五条的各类免责情形(如应对突发事件、维护公共安全、为公众利益实施新闻报道、舆论监督等)时,对信息处理者附加了更重的举证责任。笔者认为,《规定》第六条将倒逼信息处理者完善其业务流程,提高存证意识与存证能力,以应对未来可能发生的民事争议,同时也有助于降低个人信息主体的维权难度,兼顾了事前的“预防”与事后的责任分配。

其二在于维权成本的分配。《规定》第八条第二款将合理的维权费用和律师费纳入到“财产损害赔偿”的范围,即“自然人为制止侵权行为所支付的合理开支,可以认定为《民法典》第一千一百八十二条17规定的财产损失。合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将合理的律师费用计算在赔偿范围内。”该款创设了一个新的、我国民事纠纷解决规则中相对少有的败诉方承担律师费的场景,在一定程度上缓解了信息处理者与个人信息主体间力量的不平等,以及信息主体维权成本过高、侵权人违法成本较小的失衡,对于商业活动中的人脸信息侵权行为不失为一种震慑。

注释

16.《中华人民共和国民法典》

第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:

(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;

(二)公开处理信息的规则;

(三)明示处理信息的目的、方式和范围;

(四)不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

17.《中华人民共和国民法典》

第一千一百八十二条 侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿;被侵权人因此受到的损失以及侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。

03

公益诉讼

《中华人民共和国民事诉讼法》(以下简称《民事诉讼法》)第五十五条18确立了“公益诉讼”这一特殊制度,而《消费者权益保护法》19、《规定》20以及后来的《个人信息保护法》21,进一步明确了公益诉讼制度对于众多个人信息遭受侵害情形的适用性。

2023年底,广东互联网法院审结全国首例涉“人脸识别”民事公益诉讼起诉案22。据了解,涉案人员在未取得信息主体授权同意的情况下,通过所谓查头“过脸”的手段对不特定社会公众的人脸信息进行非法收集、买卖、使用,侵害了不特定公众的信息自决权。“查头”业务是指,通过买家提供的姓名、身份证号码等个人信息,查找含有人脸信息的身份证高清照片、手机号码、家庭住址等敏感个人信息。而“过脸”业务是指,将人脸信息通过软件合成来生成模拟真人动态的动态视频,可实现点头、眨眼等动作,可用于“欺骗”一些App的人脸实名认证。涉案人员在另案受到刑事处罚的基础上,在公益诉讼案件中被判令注销用于侵权的互联网账号解散或退出用于传授犯罪方法的通讯群组支付公益损害赔偿金共计10万余元公开赔礼道歉,并通过与个人信息保护相关的警示教育、公益宣传、志愿服务等方式进行行为补偿,视行为的修复效果对公益损害赔偿金进行折抵。

注释

 18.《中华人民共和国民事诉讼法》

第五十五条   对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。

人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为,在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下,可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的,人民检察院可以支持起诉。

 19.《中华人民共和国消费者权益保护法》

第四十七条   对侵害众多消费者合法权益的行为,中国消费者协会以及在省、自治区、直辖市设立的消费者协会,可以向人民法院提起诉讼。

 20.《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》

第十四条 信息处理者处理人脸信息的行为符合民事诉讼法第五十五条、消费者权益保护法第四十七条或者其他法律关于民事公益诉讼的相关规定,法律规定的机关和有关组织提起民事公益诉讼的,人民法院应予受理。

 21.《中华人民共和国个人信息保护法》

第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

22.越秀检察:《南方日报》专题报道|全国首例“人脸识别”民事公益诉讼背后:检察机关主动出击 切实维护公共利益

https://mp.weixin.qq.com/s/T2zQN8TElKsUDQ6EBRaboA

六、总结

现有法律法规、司法解释、国家标准等规范性文件对于人脸识别技术的应用和人脸信息的合规处理提出了较为系统的、完整的要求,对人脸识别、人脸信息处理相关的民事纠纷提供了较为全面的审判规则。开发、使用人脸识别技术、处理人脸信息的企业或组织,应当全面梳理有关的合规义务,对照自身实际情况,检视在收集、使用、存储、传输、提供人脸信息的过程中存在的数据安全漏洞与合规瑕疵,采取必要的措施优化对客交互、提升技术水平、落实安全要求,降低侵犯公民人脸信息有关权益的风险。

当然,当前的法律仍存在一定的滞后性,人脸识别与人脸信息处理的一些关键环节的规则仍有待细化和完善。这有赖于立法者、执法者与行业从业者的共同智慧,聚合技术探索、数据利用、隐私合规、消费者权益保护等多方的诉求,优化和填补现有法律空白,从而更好地规范行业应用和技术发展。

如何安全、合规地应用人脸识别技术|iLaw

END.

免责. 本文及其内容并不代表iLaw对有关问题的法律意见,同时我们并不保证将会在载明日期之后继续对有关内容进行更新,我们不建议读者仅仅依赖于本文中的全部或部分内容而进行任何决策,因此造成的后果将由行为人自行负责。如果您需要法律意见或其他专家意见,我们建议您向具有相关资格的专业人士寻求专业帮助。

如何安全、合规地应用人脸识别技术|iLaw

如何安全、合规地应用人脸识别技术|iLaw

文末福利

iLaw团队精心准备《“人脸识别”法律探究》《人脸识别产业法律治理研究报告-202407》内容详实充分,如有需要,欢迎扫描下方二维码添加iLaw小助理,发送本文链接进行领取~👇👇

如何安全、合规地应用人脸识别技术|iLaw如何安全、合规地应用人脸识别技术|iLaw

一键预约

■ 关于iLaw

如何安全、合规地应用人脸识别技术|iLaw
如何安全、合规地应用人脸识别技术|iLaw
如何安全、合规地应用人脸识别技术|iLaw
如何安全、合规地应用人脸识别技术|iLaw
如何安全、合规地应用人脸识别技术|iLaw

👓 你一定还想看

1年度文章合集:共同踏上2024新征程

2. 年度文章第二弹——以行业视角,助力合规进程

3. 来自iLaw合规的2023年度学习报告,请查收>>

4. 一文通览:数据合规工作2023总结与2024展望

5. AIGC行业必看,了解行业发展实践中的法律合规问题!

6. 【最新解读】从典型案例了解上市公司跨境并购最新趋势与模式

7. 一文通览数据合规审计工作要点(附依据、模板、评估表格)

8. 数据合规法律洞察第十九期(2024年7月刊)

THE END.

Copyright©2024iLaw.All rights reserved. 

本文正文内容由作者享有版权,除此之外的内容及配图设计为iLaw原创版权所有,任何个人或公司未经授权严禁转载使用。

如需转载请微信联络 @ilawhegui2

点亮在看👇

原文始发于微信公众号(iLaw合规):如何安全、合规地应用人脸识别技术|iLaw

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月5日10:59:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何安全、合规地应用人脸识别技术|iLawhttp://cn-sec.com/archives/3036112.html

发表评论

匿名网友 填写信息