正 策 动 态

NEWS

业务研究

正策关注|数据合规系列解读文章(五):人脸识别技术应用安全管理规定(试行)(征求意见稿)解读(上)

日期:2023-08-17 作者:王江涛律师团队





01


前言 Introduction

作为一项新兴技术,人脸识别技术在2014年商业投入使用后,经过十余年的发展,已广泛运用于生活中的多个领域(如移动支付、公司考勤等),在提升安全程度的同时,为公众的日常生产生活带来了便利。

然而,在人脸识别技术飞速发展的同时,越来越多公众对人脸信息收集及使用的安全性、合规性提出了疑问:在技术运用过程中,需采集并处理及其数量庞大且敏感的人脸数据,一旦人脸数据被盗取、泄漏或滥用的,或将对个人隐私及公共安全造成不可逆的侵害。

在《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称“管理规定”)颁布前,我国对人脸识别技术的管理条款散落在法律法规、司法解释、国家标准等文件中:2018年生效的《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)将人脸信息作为敏感个人信息中的一类,给予其高于个人信息的特别保护(包括而不限于限制信息收集的充分性必要性,要求获得个人的单独同意等);2021年《最高人民法院关于审理使用人脸识别处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“人脸识别处理规定”)明确了侵害自然人人格权益的七项典型行为,并限制信息处理者以强迫或变相强迫的方式获得的自然人处理人脸信息的同意作为抗辩的理由;《信息安全技术 人脸识别数据安全要求》(以下简称“人脸识别数据安全要求”)、《信息安全技术 生物特征识别信息保护基本要求》等国家标准文件也对人脸信息的收集、存储、使用、删除等作出规定,为数据处理者安全开展人脸识别数据处理活动提供指引。

作为《个人信息保护法》第六十二条的延伸,《管理规定》从宏观层面出发,对人脸识别技术的使用、设备的采购及备案作出规定。在本篇中,我们将对《管理规定》的适用范围、人脸信息处理原则进行讲解,并针对典型场景下的特别约定进行分析。



适用范围


《管理规定》第二条规定:


“在中华人民共和国境内利用人脸识别技术处理人脸信息,提供人脸识别技术产品或者服务,应当遵守本规定。


因此,除人脸识技术使用者外,提供人脸识别技术产品或服务的企业也在《管理规定》的适用范围内。上述企业应由其应注意《管理规定》中对特殊场所的禁止安装设备、在公共场所的设置显著提示标识及配合网信部门督查等义务,避免为人脸识别技术使用者在使用技术过程中的违法行为承担责任。

人脸信息处理原则

《管理规定》在遵守《个人信息保护法》的个人信息处理规则的基础上,对各项原则进行细化解释,具体如下:

(一)必要及充分原则


《管理规定》第四条规定:


“只有在具体特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。实现相同目的或达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。


使用人脸识别技术验证个人身份、辨识特定自然人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。


该条款前半段内容与《个人信息保护法》第二十八条后半段内容相同,后半段参照了《人脸识别数据安全要求》第五章(a)条的规定。本团队认为,对于使用生物识别技术方案(包括而不限于人脸、指纹、声纹、虹膜、掌纹等识别技术)对个人进行识别的企业,为继续使用现行识别方案,应确保生物识别技术方案在“实现相同目的或达到同等业务要求”层面,存在取代非生物特征识别技术方案(例如识别身份卡、地理位置)之必要性:


比如,对于铁路交通枢纽及民航机场而言,检票闸机在使用过程中存在客流量大、时间紧迫、对安全性要求高等特点,生物识别技术方案的使用具备能有效减少旅客的等候时间、避免检票口拥挤不堪的情况、确保乘坐交通工具的旅客是其本人等优势。在此情况下,本团队认为生物识别技术方案的使用能够达到“实现相同目的或达到同等业务要求”的要求。


再比如,对于企业内部员工考勤系统而言,“确保员工按时到岗”是考勤系统的主要目的。本团队认为,识别身份卡或地理位置打卡等非生物特征识别技术方案在达成考勤系统主要目的层面不逊色于生物识别技术方案。鉴于生物特征识别技术方案的使用需满足更严格的敏感个人信息合规义务,本团队建议公司根据其实际情况,在符合法律法规的情况下,选择最合适的考勤系统。


除此之外,国家互联网信息办公室(以下简称“国家网信办”)推荐人脸识别技术使用者使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道,以提升人脸信息识别的公信力,建议人脸识别技术使用者根据使用情形灵活选择数据渠道。


(二)目的明确和最小化处理原则


《管理规定》第十条规定:


“人脸识别技术使用者应个人或者利害关系人请求使用人脸识别技术远距离、无感式辨识特定个人或者利害关系人的,应当将相关服务限定在最小必要的时间、地点或者人群范围内,不得关联与个人请求事项无直接必然相关的个人信息。”


《管理规定》第十一条规定:

“除维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,或者取得个人单独同意外,任何组织或者个人不得利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感信息。


上述条款是对《个人信息保护法》第六条、十八及三十条的补充和延伸。本团队建议人脸识别技术使用者在应个人或利害关系人请求,在上述条件下提供个人信息的过程中,应对拟提供信息与个人是否存在必然关联性进行研判;在利用人脸识别技术分析上述敏感信息前,应确认是否已根据《个人信息保护法》要求获得个人单独同意,避免不必要的法律责任。


对典型场景的特别规定

《管理规定》第六至第第十四条对公众广泛关心的典型人脸识别技术应用场景规定了不同的合规义务,具体如下:

(一)侵害他人隐私的场所

《管理规定》第六条规定:

“旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备。”

根据《民法典》第一千零三十二条的规定,隐私是指“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”结合司法裁判案例分析,本团队认为,在实践中,对“可能侵害他人隐私的场所”的判断不仅仅限缩于上述场景下(如部分休闲会所的区域),人脸识别技术应用者在设备投入使用前应着重对使用场景的合规性进行分析,避免不必要的法律责任。

(二)公共场所及经营场所

《管理规定》第七条规定:

“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,设置显著提示标识

在公共场所安装图像采集、个人身份识别设备的建设、使用、运行维护单位,对获取的个人图像、身份识别信息负有保密义务,不得非法泄露或者对外提供。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”

《管理规定》第九条规定:

“宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。

个人自愿选择使用人脸识别技术验证个人身份的,应当确保个人充分知情并在个人主动参与的情况下进行,验证过程中应当以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的。”

上述条款是对《人脸识别数据安全要求》第二条及《个人信息保护法》第三十条的补充和延伸。本团队建议,人脸识别技术应用者应根据技术应用位置及目的遵守合规义务,在保障个人的充分知情,并获得个人的明确同意后,再对信息进行处理:例如,在个人使用人脸识别设备前,通过清晰易懂的方式(如设备屏幕、二维码等)告知其收集范围、收集用途等处理规则,并为个人提供便捷的撤回同意及请求履行删除权的通道。人脸识别技术应用者应对信息采集全流程进行评估,避免出现任何强制、误导、欺诈、协迫个人使用技术的情况。

(三)组织机构

《管理规定》第八条规定:

“组织机构为实施内部管理安装图像采集、个人身份识别设备的,应当根据实际需求合理确定图像信息采集区域,采取严格保护措施,防止违规查阅、复制、公开、对外提供、传播个人图像等行为,防止个人信息泄露、篡改、丢失或者被非法获取、非法利用。”

本团队建议,组织机构在安装图像采集、个人身份识别设备前,对为“实施内部管理”所需的合理“图像信息采集区域”进行确认。例如,为达到组织机构管理目的,在组织机构出入口及考勤设备区域设置为“图像信息采集区域”在本团队认为,是符合条文中之“实际合理”需求条件的;如需在组织机构全范围内无死角安装图像采集及个人身份识别设备的,本团队建议组织机构从自身业务敏感性及重要性出发,对图像信息采集区域进行合理调整,避免不必要的法律风险。

(四)个人重大利益维护

《管理规定》第十二条规定:

“涉及社会救助、不动产处分个人重大利益的,不得使用人脸识别技术替代人工审核个人身份,人脸识别技术可以作为验证个人身份的辅助手段。”

本团队认为,鉴于在法律层面对“个人重大利益”尚未,且在未来也难以对该概念作出明确的解释,故人脸识别技术使用者在决定是否使用人脸识别技术完全代替人工审核个人身份前,应谨慎思考处理事项是否属于“个人重大利益”的情况,在不能确定处理事项的性质的情况下,建议设置便捷的人工审核个人身份程序以避免业务过程中产生重大漏洞。

(五)建筑物管理人

《管理规定》第十四条规定:

“物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人不同意通过人脸信息进行身份验证的,物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。”

上述条款是对《人脸识别数据安全要求》第十条的补充和延伸。在实践中,建筑物管理人如需使用人脸识别技术对个人身份进行验证的,应确保其已获得业主的明确单独授权,并为拒绝该项身份验证的业主提供合理、便捷的身份验证方式(如门禁卡、指纹等)。

在明天的文章中,本团队将对人脸识别技术使用者及提供人脸识别技术产品或者服务者提供了强制性合规义务进行分析,敬请期待。

文章内容仅为作者独立观点,不代表本所立场
如需转载请联系作者获取授权



▪ 正策招募 | 在不确定的世界,收获确定的成长

▪ 正策关注|数据出境合规系列解读文章(一):数据出境安全评估浅析

 正策关注|数据出境合规系列解读文章(二):《个人信息出境标准合同办法》浅析


返回列表