作为规范人脸信息应用的专门性规章,《办法》明确了处理人脸信息的基本要求、处理规则、安全规范等具体细则,标志着我国关于人脸信息应用监管相关的立法体系基本成型。在此之前,我国相继发布的人脸信息相关的法规、司法解释包括但不限于《民法典》《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》《公共安全视频图像信息系统管理条例》《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,以及国标《个人信息安全规范》《生物特征识别信息保护基本要求》《人脸识别数据安全要求》《人脸识别系统技术要求》《人脸识别系统应用要求》等等。
结合最新立法与监管实践,并参考类似项目经验,就《办法》的主要内容及合规影响,汇业黄春林律师团队简要解读如下,仅供参考。
(一)Look in my eyes,
tell me why?
Q:兄弟,look in my eyes!
A:抱一丝,不敢look。
Q:tell me why?
A:look你,就处理了你“人脸信息”,但我不具有“特定的目的和充分的必要性”。
(二)所有处理人脸的活动
都适用《办法》吗?
Q:所有处理人脸的活动都适用《办法》吗?
A:必须是应用了以人脸信息作为识别个体身份的个体生物特征识别技术(1:1/1:N)的处理活动,不以识别为目的处理活动不适用《办法》,但仍应遵守《民法典》等规定。
Q:基于人脸的人流量统计技术呢?
A:根据GB/T44248—2024,“人脸识别系统”将该场景排除了。
(三)技术研发、算法训练中可以
随便处理人脸信息吗?
Q:技术研发、算法训练中处理人脸信息不适用《办法》,意思是可以随便搞吗?
A:不适用《办法》,不代表就可以“放飞自我”随便搞。
Q:那还有什么限制?
A:《办法》只是个“技术应用安全”规范。技术研发、算法训练还是要遵守我国网络安全、个人信息保护等有关的法律法规。
(四)人脸信息、人脸图像、
人脸特征、人脸识别数据
分别指什么?
Q:人脸信息、人脸图像、人脸特征、人脸识别数据分别指什么?
A:根据《办法》,人脸信息是指与已识别或者可识别的自然人有关的面部特征生物识别信息;根据GB/T44248-2024和GB/T 41819-2022, 人脸图像是指原始的电子或光学图像(即征求意见稿中的人脸原始图像),人脸特征是指从人脸图像提取的反映个人脸部信息特征的参数。
Q:所以,他们的关系是?
A:考虑到征求意见稿中分别使用了人脸信息和人脸原始图像两个概念的历史逻辑,并参考《办法》定义的文义解释,因此人脸信息对应的应该是人脸特征的概念;人脸识别数据包括人脸图像和人脸特征。
(五)有没有处理人脸信息的
极简合规公式?
Q:兄弟,我挺忙的,能不能用一个简单公式告诉我处理人脸信息的主要合规要求?
A:忙就不要管这么宽。
Q:都是牛马,毛坯人生不易,理解下。
A:“充分必要+充分知情(增强告知)+自主决定(单独同意/选择权)+安全措施”。
(六)什么叫
“具有特定的目的和充分的必要性”?
Q:什么叫“具有特定的目的”?用作用户画像可以吗?
A:参考GB/T44248—2024等,目的应该明确、清晰、具体且合法。用户画像本身不违法,但应明示画像的具体用途和主要规则。
Q:什么叫“充分的必要性”?是要论证刷脸是“最优解”吗?
A:《办法》立足鼓励技术创新,不再“歧视”刷脸技术,因此只要具有安全性或便捷性等现实价值即可。
(七)门店、办公楼、厂区等场所
还可以安装人脸识别设备吗?
Q:公司的门店、办公楼、厂区等场所属于公共场所吗?还可以安装人脸识别设备吗?
A:参照《公共安全视频图像信息系统管理条例》等规定属于公共场所;可以安装,但应当为维护公共安全所必需。
Q:“防小偷”,属于维护公共安全吗?
A:我们从不说“防小偷”,是为“保护访客的财产及生命安全”。
(八)人脸识别技术收集的人脸信息
用于员工考勤可以吗?
Q:人脸识别技术收集的人脸信息用于员工考勤可以吗?
A:根据《个人信息保护法》第二十六条等规定,用于公共安全目的之外的,需要取得个人单独同意。
Q:员工不同意怎么办?
A:应当为其提供其他合理、便捷的考勤方式,例如打卡、签到等。
(九)处理人脸信息的告知/同意,
有什么特殊要求吗?
Q:处理人脸信息的告知/同意,有什么特殊要求吗?
A:与处理其他敏感个人信息的要求基本相同。实践中,一般是制定单独的人脸信息处理规则,并要求个人自愿、明确做出同意。
Q:个人进入图像采集区域可以视为同意吗?
A:不可以。除非是通过显著标识了人脸识别的专用通道,或者通过主动配合的措施(例如点头、勾选等)。
(十)人脸信息存储有什么特殊要求吗?
Q:人脸信息存储有什么特殊要求吗?
A:人脸信息应当存储于人脸识别终端设备内(例如用户终端,或者识别系统的本地采集终端、存储终端等),不得通过互联网对外传输(包括向云端传输),经个人单独同意或法律另有规定除外。
Q:存储了自动化采集技术采集到的未经同意的人脸信息,怎么处理?
A:根据《网络数据安全管理条例》等规定,应当删除个人信息或者进行匿名化处理。
(十一)人脸识别系统都要办理
三级等保吗?
Q:人脸识别系统要办理三级等保吗?
A:征求意见稿中有三级等保的要求,《办法》正式稿删除了。但是,GB/T44248—2024还是要求“应符合网络安全等级保护第三级及以上保护要求”,具体可以跟等保机构沟通协商。此外,《办法》明确,“应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施”。
Q:啊,这些都没预算啊?
A:《办法》就是搞预算的“尚方宝剑”啊。
(十二)处理人脸信息的PIA
有什么特殊要求吗?
Q:处理人脸信息的PIA有什么特殊要求吗?
A:与《个人信息保护法》相比,《办法》在评估内容上略有文字差别,但没有根本性变化。
Q:那用常见的简式评估表格(或系统)就可以吗?
A:如果要办理备案,需要向官方递交PIA报告,还是建议结构完整点,或者参考后续官方发布的报告模板。
(十三)处理人脸信息都需要去办理
网信办备案吗?
Q:处理人脸信息都需要去办理网信办备案吗?
A:不是所有都要,只有人脸信息存储(不是处理)数量达到10万人的才需要。
Q:在用户终端存储的算吗?已经删除的算吗?
A:可以不算。
(十四)公司需要制定专门的
人脸信息管理制度吗?
Q:公司需要制定专门的人脸信息管理制度吗?
A:应用人脸识别技术的公司,建议参照GB/T44248—2024的要求,“应制定相关操作规程和管理制度”。
Q:监管有强制要求吗?
A:去办理备案时,需要递交“人脸信息的处理规则和操作规程”。
(十五)可以使用境外的人脸识别技术吗?
Q:可以使用境外的人脸识别技术吗?人脸识别数据出境可以获批吗?
A:法律不禁止境外技术使用。但数据出境嘛,我让你放肆了吗?!这届人民就不要影响CAC的通过率了。
Q:已老实求放过。眼部遮挡的脸部图片、人脸器官模糊数据,这些可以向境外传输吗?
A:自己回去复习什么是法律意义上的个人信息吧,别什么都是“我们法务说的”。
下附《网信办部门规章一览表》:
原文始发于微信公众号(数据何规):《人脸识别安全管理办法》主要内容及合规影响
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论