正如任何新技术的“诞生”一样,人脸识别技术目前所呈现出的“双刃剑”效应也尤为明显。该技术在提高社会效率、增加便利性的同时,在隐私、安全、公平等方面目前亦引发了诸多争议。其中根据《人脸识别应用公众调研报告(2020)》中的数据可知:64.39%的受访者认为人脸识别技术有被滥用的趋势 ,而在今年央视“3·15”晚会上曝出一系列违规使用人脸识别技术的企业过后,更是将广大民众对这一技术的担忧情绪推向了新的高度。随着大数据技术的发展,会有越来越多的企业涉及使用人脸识别,例如:员工人脸识别考勤打卡、为精准计算客流量采集消费者人脸信息等。
2021年7月28日,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“司法解释”)正式发布,对人脸识别案件的处理方式进行了明确,司法解释也将对企业什么情况下可以使用人脸识别技术、如何使用,起到了进一步的引导作用。2021年8月20日,《个人信息保护法》公布,进一步确立了敏感个人信息的处理规则,该法将于2021年11月1日正式实施。本文结合司法解释和《个人信息保护法》中的部分重点条款,针对企业如何合法合规的处理人脸识别技术进行分析,以防患于未然。
一、处理“人脸信息”需有必要性
在被称为人脸识别第一案的郭兵与杭州野生动物世界有限公司服务合同纠纷一案中,法院认为:“当事人在办卡时签订的是采用指纹识别方式入园的服务合同,野生动物世界收集郭兵及其妻子的人脸识别信息,超出了必要原则的要求,不具有正当性。尽管野生动物世界在涉案指纹识别的“年卡办理流程”中规定流程包含“至年卡中心拍照”,但其并未告知郭兵与其妻子拍照即已完成对人脸信息的收集及其收集目的,郭兵与其妻子同意拍照的行为,不应视为对野生动物世界通过拍照方式收集两人人脸识别信息的同意。”最终,法院判令野生动物世界赔偿郭兵合同利益损失及交通费共计1038元;删除其办理指纹年卡时提交的包括照片在内的面部特征信息。
司法解释第二条第(八)款
违反合法、正当、必要原则处理人脸信息的情形应当认定属于侵害自然人人格权益的行为。
《个人信息保护法》第五条
处理个人信息应当遵循合法、正当、必要和诚信原则……
因此,企业如需要进行人脸信息的收集工作,需对于自身的收集及使用场景作出相应的必要性分析,概而言之,如果通过其他形式或者技术手段可以轻易起到“人脸识别”相同功能的(即可被轻易替代),则这种情况下的“必要性”就必然会存疑。当然由于“必要性”这一概念本身具有一定的抽象性及模糊性,具体的裁判尺度仍需静待司法机关在后续相关案件中给出进一步的答案。
二、使用“人脸信息”需事先同意
上海市静安区市场监督管理局于2021年7月26日对科勒(中国)投资有限公司(以下简称科勒公司)作出的沪市监静处〔2021〕062021000787号处罚决定书指出:“当事人以摄像设备自动抓取到店人员的人脸信息,据此来精准统计客流,方便制定销售政策。但当事人在利用上述摄像设备收集消费者人脸信息时,并未取得消费者的明示或授权同意。当事人 在2020年2月至2021年3月期间未经消费者同意擅自在门店安装摄像设备抓取人脸信息的行为违反《中华人民共和国消费者权益保护法》,构成经营者未经消费者同意收集消费者个人信息的违法行为。”最终,科勒公司被处以罚款人民币伍拾万元整。对此,《个人信息保护法》第十三条也明确规定了,除为履行法定职责或法定义务所必需等特定情形外,需取得个人同意,个人信息处理者方可处理个人信息。
司法解释第二条第(一)款
基于处理人脸识别的场景与技术,将人脸信息处理方式区分为了:人脸验证、人脸辨识,以及人脸分析,并强调在经营场所、公共场所违法违规处理人脸信息涉及上述任意方式的均应当认定属于侵害自然人人格权益的行为。
另外,《信息安全技术人脸识别数据安全要求(征求意见稿)》中将“人脸分析”的概念定义为:“不开展人脸验证或人脸辨识,仅对采集的人脸图像进行统计、检测或特征分析。典型应用包括公共场所人流量统计、体温检测、图片美化等。此类场景应遵循GB/T 35273-2020、GB/T AAAAA-AAAA《网络数据活动安全要求》的要求处理人脸图像。”
据此,门店经营者仅为精准计算客流量所采集人脸信息的行为属于司法解释中所规制的“人脸分析”场景,其未经消费者同意的收集行为当然属于违规行为。
三、处理人脸信息必须向当事人公示、告知人脸信息的处理规则
宁波市市场监督管理局于2021年4月19日对宁波保利实业投资有限公司(以下简称保利公司)作出的甬市监处〔2021〕20号处罚决定书指出:“当事人通过人脸认证机采集消费者个人身份证信息和人脸生物识别信息,虽经消费者同意,却未向消费者明示收集、使用信息的目的、方式和范围。当事人的行为,违反了《中华人民共和国消费者权益保护法》之规定,属于未明示收集、使用信息的目的、方式和范围,并未经消费者同意而收集、使用消费者个人信息的行为。”最终对保利公司处以了25万元的罚款。
上述行政处罚作出的依据与司法解释第二条第(二)款的规定也基本相同,即只要涉及人脸信息的收集不但需经过当事人授权同意,还需进一步采取明示的手段将人脸信息的处理规则(包括收集、使用人脸信息的目的、方式和范围)向当事人公示或者告知。
四、应对合法收集得来的人脸信息采取必要的管理和技术保护措施确保其安全
淮安市公安局淮安分局于2021年3月16日对淮安市群富鞋业有限公司作出的淮安公(顺)行罚决字〔2021〕520号处罚决定书中指出:“安装的上班打卡系统为人脸识别系统,系统采集的人脸信息、住户姓名、手机号码等个人信息仅保存在该公司连接互联网的台式电脑内,未采取必要的管理和技术保护措施确保其安全,导致公司员工信息存在泄漏、丢失的安全隐患。”并对该公司作出了相应的行政处罚。
司法解释第二条第(五)款:
未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失的应当认定属于侵害自然人人格权益的行为。
具体而言如何做到安全合规存储这类生物识别信息可以参考《网络安全法》、《信息安全技术个人信息安全规范》中的相关规定,即存储个人敏感信息时应作到:
1、应采用加密等安全措施,密码技术需要遵循密码管理的相关国家标准;
2、个人生物识别信息与个人身份信息分开存储。避免人脸信息和个人身份信息组合、汇集而形成信息组合体,降低信息泄露导致的个人风险;
3、原则上,企业不应当存储原始个人生物识别信息(如样本、图形等)。
同时,《个人信息安全规范》还要求个人信息控制者通过仅存储生物识别信息的摘要信息、终端直接识别或使用后及时删除原始图像的方式来避免存储。
人脸识别这一新型技术从刚出现到逐步推广至商业应用,其“争议”就一直不断。事实上,纵观人类科技史的发展,这种情形也几乎是每一次重大技术革新时所必须面临的挑战。因此,我们也大可不必谈“人脸信息”而色变,恰恰当务之急是需要建立科学的管控规则,扩大其“人脸识别”技术优势的同时抑制其使用风险。让技术“带着镣铐跳舞”,引导新型技术发挥其更大的作用。