人脸识别场景下的监管要求与合规要点分析
作者:
蔡荣伟 陈坤
日前,上海市徐汇区市场监督管理局(“市监部门”)对某公司做出行政处罚。处罚事由为,某公司在其门店装有人脸识别摄像头,收集人脸照片数十万余张,用于客流统计和客流分析(比如男女比例和年龄分析等)。但某公司收集人脸数据并未经消费者的同意,也没有告知消费者收集人脸数据的使用目的。
上述事件再次引发了公众对于“隐形”的人脸识别设备随意采集和使用人脸图像的担忧。究其根本在于,人脸图像不仅具有高度敏感的属性,又具有极易被采集的属性。一方面,人脸图像所包含的面部生物识别特征与个人密不可分。面部生物识别特征通常作为个人的生物通行证,用于身份验证。但是面部生物特征又不能被视为一般的用户密码,因为密码可以在泄露的时候进行更改,但面部生物特征却在一定程度上具有永久、不可变更和不可撤销的属性[1]。另一方面,如上述案件所述,现有的人脸识别设备能够以不易察觉甚至“无感”的方式采集人脸信息。这种非接触的、无感的采集方式,使得人脸信息相较于其他生物识别信息(如指纹、耳廓、虹膜、掌纹、DNA)更容易被采集[2]。
本篇文章将从人脸图像涉及的场景的分类出发,分析人脸图像涉及的数据信息类型,并借此厘清人脸识别场景下的监管要求和合规要点。
一
对人脸图像进行处理的场景分类
根据2021年4月发布的国家标准《信息安全技术 人脸识别数据安全要求(征求意见稿)》,涉及人脸图像处理的场景可以分为三类:
人脸验证:将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对(1:1比对),以确认特定自然人是否为其所声明的身份。典型的应用场景包括,机场、火车站的人证比对。在此场景下,人脸识别设备会将实时抓取的人脸信息与身份证所关联的人脸信息进行比对,以识别身份证所关联的身份是否与进站人一致。
人脸辨识:将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行比对(1:N比对),以识别特定自然人。如公司的考勤打卡软件会将实时获取的人脸图片与库中存储的所有员工人脸图片进行比对后,识别“刷脸”人员的身份。
人脸分析:不开展人脸验证或人脸辨识,仅对采集的人脸图像进行统计、检测或特征分析。例如统计数量,分析年龄、性别、皮肤状态、微表情等。在上述某公司被处罚案件中,该公司使用算法对面部数据分析进店人员的年龄、性别构成等。也有智能汽车安装摄像头用于判断车主的驾驶行为是否适当,比如判断是否疲劳驾驶。
此外需要注意的是,我们在生活中经常看到的监控摄像头,虽然可能不具备上述三类对人脸图像进行特殊处理的功能,但也可能会收集人脸图像。
二
人脸图像涉及的数据信息类型
相较于普通的个人信息,《个人信息保护法》(“《个保法》”)对敏感个人信息的处理与保护提出了更为严格的要求。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(“《最高院人脸识别案件规定》”)对于面部生物识别信息的使用亦提出了特殊的要求。此外,人脸图像还可能涉及到自然人的隐私和肖像,因此也是人格权的一部分,受到《民法典》的保护。根据《民法典》的规定,私密信息属于隐私,自然人的隐私权受到法律的保护。此外,在一定载体上所反映的特定自然人可以被识别的外部形象属于肖像,自然人的肖像权受到法律的保护。
因此,收集使用人脸图像的个人或组织首先需要判断所收集的人脸图像涉及的数据信息类型是什么,其次则需要根据判断结果遵守相应的监管要求。
1. 个人信息
人脸图像属于个人信息。根据《个保法》第四条,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。上文的场景举例中,用于人脸验证、人脸辨识、人脸分析和监控摄像头摄取的人脸图像均是与已识别或可识别的自然人有关的各种信息。收集人脸图像需要遵守《个保法》、《消费者权益保护法》及《电子商务法》等法律法规中关于处理和保护个人信息的规定。
2. 敏感个人信息
(1)从人脸图像中提取的面部生物识别信息属于敏感个人信息
(i) 根据《个保法》第二十八条,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息;(ii) 敏感个人信息包含生物识别信息。(iii)另根据《信息安全技术 个人信息安全规范》,生物识别信息包括面部识别特征。
(2)此外,一些人脸图像也可能被认定为敏感个人信息
例如,包含人脸图像的私密照片,一旦被泄露或者非法使用将会导致自身的人格尊严受到侵害,因此具有了敏感属性。
需要注意的是,对于人脸图像是否属于敏感个人信息需要结合具体图像类型和特定的使用场景来判断。例如,很多人都会使用自己的面部照片作为社交媒体(如微信、微博、脉脉等)的“头像”。由于这些人脸图像照片已经在一定范围内被公开,并不具备敏感性。因此,在一般的使用情形下,对这些“头像”的使用和处理行为遵守处理公开个人信息的要求即可。但如果处理者使用一些先进的技术手段从原本较为模糊、像素比较低的“头像”照片中提取面部识别特征,则有可能涉及到对于敏感个人信息的处理,需要遵守《个保法》对于敏感个人信息的处理要求。
3. 个人隐私
根据《民法典》,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。如同上文中的举例,包含人脸图像的私密照片也会被认定为私密信息,被列入隐私权的保护范畴。与处理个人信息相同,除法律另有规定外,处理私密信息需要取得个人的明确同意。
4. 肖像
根据《民法典》,肖像是通过影像、雕塑、绘画等方式在一定载体上所反映的特定自然人可以被识别的外部形象,因此,人脸图像可能会被认定为肖像,被列入肖像权的保护范畴。根据《民法典》的规定,除法律另有规定外,制作、使用或公开肖像,需要取得个人的同意。
三
使用人脸识别的监管要求与合规要点
在对于上述数据类型使用的监管中,目前对使用人脸识别设备收集、处理面部生物识别信息的监管规定最为严格,也相对完备。人脸识别设备需要收集的面部生物识别信息属于敏感个人信息,除遵守一般的个人信息处理和保护规定外,还需要遵守《个保法》关于敏感个人信息方面的特殊规定。此外,也有部分文件对使用人脸识别设备本身提出了要求。我们梳理了相关法律法规文件,对使用人脸识别设备的监管要求和合规要点总结如下:
1. 监管要求
敏感个人信息、面部生物识别信息处理要求 | 前提 | 1)必须具有特定的目的和充分的必要性,并采取严格的保护措施[3]。 2)进行个人信息保护影响评估。个人信息保护影响评估应当包括下列内容[4]: a. 个人信息的处理目的、处理方式等是否合法、正当、必要; b. 对个人权益的影响及安全风险; c. 所采取的保护措施是否合法、有效并与风险程度相适应。 |
告知的 事项 | 需告知个人如下事项: 1)个人信息处理者的名称和联系方式; 2)处理目的、处理方式,处理的个人信息种类、保存期限; 3)个人权利(如查阅、复制、更正、补充其个人信息,请求删除个人信息,撤回授权同意)的方式和程序; 4)处理的必要性; 5)对个人权益的影响。以及 6)法律、行政法规规定应当告知的其他事项。[5] | |
取得同意 | 1)取得个人的单独同意,或者根据法律或行政法规的要求取得书面同意[6]。 2)不得以如下形式取得同意: a. 信息处理者要求个人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外; b. 信息处理者以与其他授权捆绑等方式要求个人同意处理其人脸信息的;以及 c. 强迫或者变相强迫自然人同意处理其人脸信息的其他情形[7]。 | |
使用人脸识别设技术的要求 | 1)人脸识别不能作为唯一的身份验证方式: a. 根据2021年8月1日生效的《最高院人脸识别案件规定》,物业服务企业或者其他建筑物管理人,不得以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式。 b. 于2022年1月1日生效的《上海市数据条例》明确要求,在公共场所、居住小区、商务楼宇等区域不得将图像采集、个人身份识别技术作为出入该场所或区域的唯一验证方式。 c. 2021年11月公布的《网络数据安全管理条例(征求意见稿)》进一步要求,不得将人脸等生物特征作为唯一的身份认证方式。 需要注意,当前生效的规定主要限制线下场景将图像采集、个人身份识别作为唯一的验证身份的方式。如《网络数据安全管理条例(征求意见稿)》相关条款生效的,还将进一步限制线上场景中将生物识别验证作为唯一的身份认证方式。 2)公共场所安装人脸识别设备的特殊要求: a. 应当为维护公共安全所必需,并设置显著的提示标识[8]。 b. 所收集的个人图像、身份识别信息只能用于维护公共安全的目的,除取得个人单独同意外,不得用于其他目的[9]。 |
2. 合规要点
根据上述监管要求,在线上或线下场景中使用人脸识别技术时,我们建议人脸信息的收集者和使用者对以下合规要点加以关注。
1)根据《个保法》及《最高院人脸识别案件规定》对“取得同意”的要求,我们建议:
a. 应避免与其他授权绑定取得个人对人脸识别的授权,也即关于人脸识别功能的授权需要提供单独的同意选项。
b. 建议提供多种身份验证的方式,当个人拒绝使用人脸识别验证时,允许个人通过其他方式进行身份验证,以降低被认定为强迫或变相强迫获取面部生物识别信息的风险。
c. 如果获得长期允许(如“始终允许”、“使用APP时允许”)人脸识别的同意的,还需要向个人提供可以改变此种授权的途径。
2)根据《个保法》对于“告知事项”的要求,在进行人脸识别前告知个人处理者对面部生物识别信息的处理目的、处理方式、保存期限等信息,并向个人提供是否同意的选项。
此外,在线下场景中使用人脸识别技术时,一方面需要特别注意“不得将人脸识别作为唯一的验证方式”的监管要求。另一方面,不同于线上场景中处理者与个人之间有天然的交互介质(如APP的交互界面),线下场景中使用人脸识别,还需要注意获取同意的方法。我们结合实务操作经验,提供了一些线下人脸识别场景的合规建议:
1)优先选用非自动采集人脸图像的人脸识别设备。比如使用人脸识别屏幕,仅在个人主动点击同意或站在指定区域后,开启人脸识别。
2)对于使用自动采集人脸图的人脸识别设备(“自动识别设备”)的,为遵守《个保法》及《最高院人脸识别案件规定》关于“告知事项”和“取得同意”的规定,我们建议:
a. 设置警示标志(如语音提示、警示线等),确保个人充分感知到特定区域使用了人脸识别设备,防止个人在不知情的情况下步入自动识别设备覆盖区域;
b. 通过书面告知等形式,确保使用个人在步入自动识别设备覆盖区域前,获知处理者对面部生物识别信息的处理目的、处理方式、保存期限等信息;
c. 通过书面等形式,确保取得个人的同意;
d. 在行人必经的区域和通道上,应控制自动识别设备的覆盖区域,避免全覆盖;以及
e. 应向个人提供除人脸识别外其他身份验证的方式,且保证当个人选择其他身份验证方式时不被自动识别设备采集人脸图像。
[注]
[1] 参考《法国CNIL关于人脸识别报告》。
[2] 参考《法国CNIL关于人脸识别报告》。
[3]《个人信息保护法》第二十八条
[4]《个人信息保护法》第五十六条
[5]《个人信息保护法》第十七条、第三十条
[6]《个人信息保护法》第二十九条
[7]《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第四条
[8]《个人信息保护法》第二十六条
[9]《个人信息保护法》第二十六条
The End
作者简介
蔡荣伟 律师
上海办公室 高级顾问
业务领域:投资并购和公司治理, 网络安全和数据保护, 诉讼仲裁
特色行业类别:能源与自然资源, 通讯与技术
陈坤 律师
上海办公室 公司业务部
作者往期文章推荐
《地方综合性数据立法的先行者——解读<上海市数据条例>与<深圳经济特区数据条例>(上)》
《数据出境路径几何?——数据处理者关注要点解答》
《<重要数据识别指南(征求意见稿)>概览》
《处理员工个人信息的合法性基础和重要原则》
《人工智能技术出口管制问题》
《算法合规——解读<互联网信息服务算法推荐管理规定(征求意见稿)>》
《医疗领域网络安全相关问题简析》
《医疗数据出境法律风险解读》
《<健康医疗数据安全指南>亮点解读》
《开发区投资应注意的若干法律问题》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。