两会期间,全国政协委员、中国旅游研究院院长戴斌建议取消酒店入住时的“人脸识别”。
近日相关媒体报道,公安部已就此发文,上海、杭州等地已取消入住酒店强制刷脸。
上海市旅馆业治安管理信息系统内发布的温馨提示,其中严禁“强制刷脸”
其实,在日常生活中过度收集人脸识别信息的远不止在酒店入住的场景。某银行每次登录必须人脸识别且识别通过率很低都让我非常无语。
本文旨在解决以下三个问题:
1、人脸识别是什么,有何分类;
2、什么场景可以/不可以使用人脸识别,附相关案例;
3、确需使用人脸识别时,如何确保合规。
01
人脸识别是什么
根据相关标准,人脸识别技术通常有以下两种分类方式:
(一)验证/辨别
来源:《远程人脸识别系统技术要求(GB/T 38671-2020)》
1、人脸验证(1:1比对)
将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对(1:1比对),以确认特定自然人是否为其所声明的身份。
典型场景:机场、火车站的人证比对,移动智能终端的人脸解锁功能等。
2、人脸辨别(1:N对比)
将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行比对(1:N比对),以识别特定自然人。
典型场景:公园入园、居民小区门禁等。
(二)本地/远程
来源:《人脸识别数据安全要求(GB/T 41819-2022)》
1、本地人脸识别
2、远程人脸识别
远程人脸识别是在终端设备收集人脸识别数据,在服务器端使用人脸识别数据的过程,该方式中人脸识别数据的处理在终端设备和服务器端分别进行。
02
什么场景可以/不可以使用人脸识别
(一)规范性要求
仅在具备特定目的及充分必要性并采取严格保护措施后,方可使用人脸识别。
同等效果,应优先使用非人脸识别方式。
即使人脸识别确实更安全、便捷(车站、机场安检),也应提供非人脸识别方式供选择。
1、《个人信息保护法》
2、《人脸识别技术应用安全管理规定(试行)(征求意见稿)》
(二)禁止性要求
不得在物业、证券行业身份认证等场景将人脸识别作为唯一验证方式。
不得强制、欺诈、诱导、胁迫使用人脸识别,如:列为首选、默认、给选择其他方式制造障碍。
拒绝后,不得频繁获取人脸识别同意(48h内提示超过1次)。
拒绝后,仅停止访问人脸识别必要的相关功能,除非法律法规另有规定。
4、《证券期货业网络和信息安全管理办法》-客户身份认证
5、《APP收集使用个人信息最小必要评估规范 人脸信息(T/TAF 077.7-2020)》-强制、欺骗、误导
(三)相关案例
1、铁路公司处理乘客人脸信息属履行法定义务,无需取得乘客同意但应充分告知
原告认为铁路局在未经其授权或同意的情况下收集了其人脸信息,侵犯了其合法权益。成都铁路运输中级法院审理后认为,铁路局基于维护公共安全的法定义务处理乘客信息,符合个人信息保护法不需取得乘客个人同意的情形,但同时指出铁路局未充分履行告知义务。
在2021年4月9日的“人脸识别第一案”二审中,杭州市中级人民法院判决杭州野生动物世界有限公司删除郭兵的生物识别信息,并赔偿其合同损失及交通费。
郭兵因野生动物世界单方面将年卡入园方式从指纹识别改为人脸识别而提起诉讼。一审法院判决野生动物世界赔偿损失并删除面部特征信息。二审法院认为,野生动物世界未经郭兵同意擅自变更入园方式构成违约,应删除其生物识别信息,强调生物识别信息的敏感性和重要性,应严格保护,以防止个人受到歧视或安全威胁。
樊某投诉称,其在更换手机设备后,欲登录某银行手机App,但被告之只能通过人脸识别登录。投诉人认为银行App登录时通过人脸识别获取生物信息的做法是非必要的,故致电该银行客服热线反映问题。后收到银行答复称可单独对其手机取消生物识别,但银行后续对于投诉人账户的所有安全问题概不负责。投诉人对此答复不满,遂通过热线电话投诉。
在充分了解樊某的投诉事项后,人民银行某市中心支行立即就此事项进行转办,要求该银行开展调查核实工作。经核实,该银行在其App上采用人脸识别的技术手段辅助验证消费者的身份信息。如果消费者不满人脸识别的登录方式,该银行将在做好充分的风险提示后将投诉人加入“免刷脸名单”。接到转办投诉后,该银行已与技术部门充分沟通,并告知投诉人可采用旧设备扫码授权登录,投诉人表示接受。
笔者注:现在,某股份制银行的APP登录依然要求强制人脸识别,当然形式上还有一个“高级认证工具认证”(需要线下申领)或者前往线下办理业务。感觉构成“设置障碍使自然人难以选择使用非人脸识别方式”。
03
如何合规使用人脸识别
其实大部分使用场景都应该止步于第二部分,如果确有需求,接下来分收集、使用、存储、删除等流程梳理人脸识别技术的合规使用要点。
囿于篇幅,本部分主要参考:
①《个人信息保护法》(个保法),这是底线性要求;
②《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(安全规定),暂未出台仅供参考,出台后就要遵守;
③《信息安全技术 人脸识别数据安全要求》(安全要求),生效国标效力还是比较高,好落实的要落实;
④《APP收集使用个人信息最小必要评估规范 人脸信息》(最小必要规范),适用范围限于APP,是吵架的好依据。
此外还有一些规则中也包含对人脸识别信息、敏感个人信息、生物识别信息的处理要求,均在文末列举。
(一)收集
1、告知-同意
(1)增强告知,额外增加必要性及对个人权益的影响;
(2)单独同意,如无其他合法性基础,则需取得单独同意;
(3)持续告知,通过文字、图标持续提示;
(4)人脸识别方式告知:本地识别或远程识别。
2、个人信息保护影响评估
除了个保法第56条,要求的合法、正当、必要性,权益影响及安全风险,保护措施是否合法、有效并与风险程度相适应。除此之外,还应该考虑:
(1)是否符合伦理道德、公序良俗;
(2)是否限于实现目的所必需的准度、精度及距离要求;
(3)人脸识别信息泄露的风险。
(二)使用
1、未经书面同意,不得利用人脸识别技术用于数据数据的评估或预测,包括但不限于工作表现、经济状况、健康状况、偏好、兴趣、消费行为和活动轨迹等;
2、人脸识别数据应确保,可更新、不可逆、不可识别;
3、在本地识别和远程识别均适用时,优先本地识别;
4、委托处理需告知并取得单独同意(好难落实);
5、及时清除人脸识别过程数据。
(三)存储、删除
1、除非单独同意或书面同意,否则不得存储人脸识别信息;
2、确需存储人脸识别数据的,应当:
(1)物理/逻辑隔离,分别存储人脸识别信息与身份信息;
(2)使用加密存储、密码技术、假名标识符;
(3)本地识别的,数据不出设备,可被用户删除;
(4)储存能实现目的,最小必要的人脸识别信息;
(5)不存储人脸样本(原图)。
除了前述规则外,实践中还可参考《信息安全技术 个人信息安全规范》《信息安全 移动互联网应用程序(App)收集用户个人信息基本要求》《信息安全技术 生物特征识别信息保护基本要求》《个人金融信息保护技术规范》(金融行业参考)中关于敏感个人信息、生物识别信息处理的相关要求。
原文始发于微信公众号(数据何规):人脸识别合规要点全梳理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论