人脸识别技术应用的法律规制及合规要点
发布时间:2022-03-02
近几年,随着人脸识别技术的广泛使用,刷脸支付、刷脸开门、刷脸解锁等与人脸识别技术相关的应用早已融入到我们日常生活中,人脸识别技术的使用虽然给我们的生活带来了便利,但同时也引发了个人信息保护合规方面的问题。
一、我国对人脸识别技术的相关立法及标准规范
针对人脸识别技术的使用,我国虽没有单独的立法,但已陆续出台相关的法律法规及国家标准,而且专门的规则及标准也在进一步制定中。
(1)相关法律:《民法典》《网络安全法》《数据安全法》《个人信息保护法》
在2017年生效的《网络安全法》中,早已明确将个人生物识别信息纳入个人信息的范围,但对于个人信息的收集、存储、使用、共享、删除等处理环节中的相关行为需要遵循的原则和规则并未给出细化的规定,在2021年生效的《民法典》和《数据安全法》中对于个人信息的处理规则也并未给出详细的规定,直到2021年11月1日生效的《个人信息保护法》在此基础上进一步给出了细化规定,完善了个人信息处理规则,明确了个人在个人信息处理活动中的权利以及个人信息处理者的义务,同时《个人信息保护法》中第62条规定将由国家网信部门统筹协调有关部门推进人脸识别技术的个人信息保护工作,并制定专门的与人脸识别技术相关的个人信息保护规则、标准。
(2)相关司法解释:《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
2021年8月1日施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)为应对滥用人脸识别问题作出了司法统一规定。
《规定》第10条第1款专门规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”根据这一规定,小区物业在使用人脸识别门禁系统录入人脸信息时,应当征得业主或者物业使用人的同意,对于不同意的,小区物业应当提供替代性验证方式,不得侵害业主或物业使用人的人格权益和其他合法权益。[1]此外,《规定》还对人脸信息的处理规则进行了明确,引入单独同意和强迫同意无效等规则,进一步细化了对人脸识别技术使用时需要遵守的处理原则及规则。
(3)相关省级地方性法规:《上海市数据条例》《深圳经济特区数据条例》
2022年1月1日生效的《上海市数据条例》以及《深圳经济特区数据条例》中对于个人生物识别数据处理的规则也作出了相关规定。
其中《上海市数据条例》的第22条规定处理生物识别数据时需要遵循必要原则并取得个人单独同意;第24条规定在公共场所安装图像采集设备需要设置显著标识,以及不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式。
《深圳经济特区数据条例》第19条规定处理生物识别数据的,应当在征得该自然人明示同意时,提供处理其他非生物识别数据的替代方案,并规定生物识别数据具体管理办法由市人民政府另行制定。
(4)相关部门规范性文件:《互联网个人信息安全保护指南》
2019年4月10日公安部发布的《互联网个人信息安全保护指南》(以下简称《指南》)中对于个人生物识别信息的收集和公开规则也作了进一步细化。《指南》第6.1.e条规定个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息,第6.7.f条规定不得公开披露个人生物识别信息和基因、疾病等个人生理信息。《指南》适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用。
(5)相关国家标准:《GB/T 35273-2020信息安全技术 个人信息安全规范》《GB/T 38671-2020 信息安全技术 远程人脸识别系统技术要求》
2020年10月1日实施的国家推荐标准《GB/T 35273-2020信息安全技术 个人信息安全规范》(以下简称《安全规范》)对于个人生物识别信息的收集、传输和存储规则也作出了一些细化的规定。《安全规范》第5.4条规定收集个人生物识别信息前应征得明示同意且确保是在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。这一规定与欧盟GDPR第4条第11项的规定以及EDPB发布的《对第2016/679号条例(GDPR)下同意的解释指南》对于“有效同意”的4个要素是基本一致的。《安全规范》第6.3条规定传输和存储个人生物识别信息时应采取加密等安全措施,在存储个人生物识别信息时应与个人身份信息分开存储,而且原则上不应存储原始个人生物识别信息(如样本、图像等),可考虑仅存储摘要信息,待实现识别身份、认证功能后删除可提取个人生物识别信息的原始图像。相较于2017年发布的那份标准[2],更新后的《安全规范》的第6.3条新增了对“摘要信息”的解释,即摘要信息通常具有不可逆特点,无法回溯到原始信息。这一解释,对个人生物识别信息的存储规则进行进一步的细化,有利于个人信息处理者在实际操作中的合规落地。
2020年11月1日实施的国家推荐标准《GB/T 38671-2020 信息安全技术 远程人脸识别系统技术要求》(以下简称《技术要求》)规定了采用人脸识别技术在服务器端远程进行身份鉴别的信息系统的功能、性能和安全要求、安全保障要求。《技术要求》的第8.1.3条规定了远程人脸识别系统对于用户人脸模板等个人信息进行保护时需要具备的功能。
(6)相关行业标准与团体标准:《GA/T 1470-2018 安全防范人脸识别应用分类》《TTAF 077.7-2020 APP收集使用个人信息最小必要评估规范 人脸信息》
2018年3月12日公安部发布的行业标准《GA/T 1470-2018 安全防范人脸识别应用分类》(以下简称《应用分类》)为人脸识别应用系统的开发、应用和管理提供分类依据和方法。《应用分类》的附录A.2和A.3对于身份查证确认是否需要有人脸防伪要求给出了相关说明,对于身份查证现场确认的场景(如去银行现场办理业务),根据安全等级需要,可无人脸防伪要求,对于身份核验远程确认的场景(如通过网络远程开户),由于图像采集现场无人监管,应有人脸防伪要求,确保系统不受假体人脸攻击。
2020年11月26日电信终端产业协会发布的团体标准《TTAF 077.7-2020 APP收集使用个人信息最小必要评估规范 人脸信息》(以下简称《评估规范》)基于人脸信息收集使用的4大典型场景展开说明,并规定了在收集、存储、使用、删除等数据处理活动时需要遵循的最小必要规范。以“智能体验类[3]”在存储和使用时的场景为例:人脸信息使用时,处理应仅在本地完成,不应传输至远程服务器,且人脸信息不应用于身份认证;人脸信息存储时,应仅限于本地进行,且不应直接存储人脸样本。《评估规范》对App收集使用人脸信息必要性的最小化评估规范提供统一的标准,可供App企业参考使用。
(7) 正在进一步制定中的相关规范性文件:《网络数据安全管理条例(征求意见稿)》《GB/TXXXXX—XXXX信息安全技术 人脸识别数据安全要求(征求意见稿)》
2021年11月14日国家互联网信息办公室发布关于《网络数据安全管理条例(征求意见稿)》(以下简称“《条例》”)公开征求意见的通知,《条例》制定的目的是为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。[4]《条例》第25条规定数据处理者不得将人脸等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。若《条例》正式出台,这对于人脸识别技术的使用将提供进一步的细化规定。网信办对《条例》的意见反馈截止时间为2021年12月13日,因此,《条例》有可能会在2022年或2023年正式出台。
2021年4月22日全国信息安全标准化技术委员会(以下简称“信安标委会”)发布《GB/TXXXXX—XXXX信息安全技术 人脸识别数据安全要求(征求意见稿)》(以下简称《安全要求》)规定了人脸识别数据的基本安全要求、安全处理要求和安全管理要求。《安全要求》总结了人脸图像处理的三类场景,分别为人脸验证、人脸辨识以及人脸分析,针对不同的场景需要遵循的处理人脸图像的标准要求也有所不同。而总结的这三类场景也符合目前人脸识别技术的实际典型应用。
针对人脸识别技术处理个人数据时也作了更进一步的细化和新的要求,如原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别,人脸识别数据不应用于除身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。信安标委会对《安全要求》的意见反馈截止时间为2021年6月22日,因此,《安全要求》有可能会在2022年或2023年正式发布。
二、使用人脸识别技术时,企业需要注意哪些合规要点?
基于我国目前与人脸识别技术相关的立法及标准,企业在使用人脸识别技术处理个人信息时,应当重点考虑以下几个方面:
1. 合法性评估
基于场景考虑是否满足合法处理的要件,评估使用人脸识别技术的必要性,考虑是否有替代方案,如果需要使用不能将其作为唯一方案,需要提供可供选择的方案供用户使用(特别是物业公司需要更加注意这一点);
2. 安全性评估
在进行人脸识别数据处理前,要积极进行数据保护影响评估,充分考虑使用人脸识别技术可能带来的影响及对个人信息主体可能带来的风险,需要注意加强技术措施和组织措施,加强风险防范措施,采取一定的加密措施,确保数据安全;
3. 处理规则评估
在进行处理时,需要注意收集、传输、存储、公开等处理规则是否满足法律法规的要求。如收集时需要在明确告知的情况下,获取个人信息主体的明示同意,并且收集最小必要的信息,如果是在公众场所安装图像识别采集设备需要设置显著标识;传输时应进行加密存储;存储时需要加密,而且原始信息与身份信息分开存储,如无必要建议只存摘要信息,删除原始信息;人脸识别信息属于个人生物识别信息不能进行公开等。
此外,除了以上需要考虑的三个方面的评估,对于人脸识别技术的使用还需要根据实际应用场景来考虑,不同的场景下需要注意的合规义务也会有所不同,考虑到篇幅以及内容的关系,汇业律师事务所王小敏律师团队将会在后续输出基于典型场景下使用人脸识别技术需要注意的合规要点,敬请期待。
参考资料
[1]信息来源:最高人民法院网 http://www.court.gov.cn/zixun-xiangqing-315911.html
最高法相关负责人就审理使用人脸识别技术处理个人信息相关民事案件的司法解释回答记者提问
[2]《GB/T 35273-2017信息安全技术 个人信息安全规范》
[3]智能体验类场景主要指使用人脸图像进行图像美化、图像合成、图像聚类、皮肤检测、情感分析等应用场景,该类场景中人脸图像的使用不与身份信息相关联。
[4]信息来源:中国网信网 http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm
[5]国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知,http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm