文:上海君倫律師事務所
正如任何新技術的“誕生”一樣,人臉識別技術目前所呈現出的“雙刃劍”效應也尤為明顯。該技術在提高社會效率、增加便利性的同時,在隱私、安全、公平等方面目前亦引發了諸多爭議。其中根據《人臉識別應用公眾調研報告(2020)》中的資料可知:64.39%的受訪者認為人臉識別技術有被濫用的趨勢 ,而在今年央視“3·15”晚會上曝出一系列違規使用人臉識別技術的企業過後,更是將廣大民眾對這一技術的擔憂情緒推向了新的高度。隨著大資料技術的發展,會有越來越多的企業涉及使用人臉識別,例如:員工人臉識別考勤打卡、為精准計算客流量採集消費者人臉資訊等。
2021年7月28日,《最高人民法院關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》(以下簡稱“司法解釋”)正式發佈,對人臉識別案件的處理方式進行了明確,司法解釋也將對企業什麼情況下可以使用人臉識別技術、如何使用,起到了進一步的引導作用。2021年8月20日,《個人資訊保護法》公佈,進一步確立了敏感個人資訊的處理規則,該法將於2021年11月1日正式實施。本文結合司法解釋和《個人資訊保護法》中的部分重點條款,針對企業如何合法合規的處理人臉識別技術進行分析,以防患於未然。
一、處理“人臉資訊”需有必要性
在被稱為人臉識別第一案的郭兵與杭州野生動物世界有限公司服務合同糾紛一案中,法院認為:“當事人在辦卡時簽訂的是採用指紋識別方式入園的服務合同,野生動物世界收集郭兵及其妻子的人臉識別資訊,超出了必要原則的要求,不具有正當性。儘管野生動物世界在涉案指紋識別的“年卡辦理流程”中規定流程包含“至年卡中心拍照”,但其並未告知郭兵與其妻子拍照即已完成對人臉資訊的收集及其收集目的,郭兵與其妻子同意拍照的行為,不應視為對野生動物世界通過拍照方式收集兩人人臉識別資訊的同意。”最終,法院判令野生動物世界賠償郭兵合同利益損失及交通費共計1038元;刪除其辦理指紋年卡時提交的包括照片在內的面部特徵資訊。
【司法解釋第二條第(八)款】
違反合法、正當、必要原則處理人臉資訊的情形應當認定屬於侵害自然人人格權益的行為。
【《個人資訊保護法》第五條】
處理個人資訊應當遵循合法、正當、必要和誠信原則……
因此,企業如需要進行人臉資訊的收集工作,需對於自身的收集及使用場景作出相應的必要性分析,概而言之,如果通過其他形式或者技術手段可以輕易起到“人臉識別”相同功能的(即可被輕易替代),則這種情況下的“必要性”就必然會存疑。當然由於“必要性”這一概念本身具有一定的抽象性及模糊性,具體的裁判尺度仍需靜待司法機關在後續相關案件中給出進一步的答案。
二、使用“人臉資訊”需事先同意
上海市靜安區市場監督管理局於2021年7月26日對科勒(中國)投資有限公司(以下簡稱科勒公司)作出的滬市監靜處〔2021〕062021000787號處罰決定書指出:“當事人以攝像設備自動抓取到店人員的人臉資訊,據此來精准統計客流,方便制定銷售政策。但當事人在利用上述攝像設備收集消費者人臉資訊時,並未取得消費者的明示或授權同意。當事人在2020年2月至2021年3月期間未經消費者同意擅自在門店安裝攝像設備抓取人臉資訊的行為違反《中華人民共和國消費者權益保護法》,構成經營者未經消費者同意收集消費者個人資訊的違法行為。”最終,科勒公司被處以罰款人民幣伍拾萬元整。對此,《個人資訊保護法》第十三條也明確規定了,除為履行法定職責或法定義務所必需等特定情形外,需取得個人同意,個人資訊處理者方可處理個人資訊。
【司法解釋第二條第(一)款】
基於處理人臉識別的場景與技術,將人臉資訊處理方式區分為了:人臉驗證、人臉辨識,以及人臉分析,並強調在經營場所、公共場所違法違規處理人臉資訊涉及上述任意方式的均應當認定屬於侵害自然人人格權益的行為。
另外,《資訊安全技術人臉識別資料安全要求(徵求意見稿)》中將“人臉分析”的概念定義為:“不開展人臉驗證或人臉辨識,僅對採集的人臉圖像進行統計、檢測或特徵分析。典型應用包括公共場所人流量統計、體溫檢測、圖片美化等。此類場景應遵循GB/T 35273-2020、GB/T AAAAA-AAAA《網路資料活動安全要求》的要求處理人臉圖像。”
據此,門店經營者僅為精准計算客流量所採集人臉資訊的行為屬於司法解釋中所規制的“人臉分析”場景,其未經消費者同意的收集行為當然屬於違規行為。
三、處理人臉資訊必須
向當事人公示、告知人臉資訊的處理規則
寧波市市場監督管理局於2021年4月19日對寧波保利實業投資有限公司(以下簡稱保利公司)作出的甬市監處〔2021〕20號處罰決定書指出:“當事人通過人臉認證機採集消費者個人身份證資訊和人臉生物識別資訊,雖經消費者同意,卻未向消費者明示收集、使用資訊的目的、方式和範圍。當事人的行為,違反了《中華人民共和國消費者權益保護法》之規定,屬於未明示收集、使用資訊的目的、方式和範圍,並未經消費者同意而收集、使用消費者個人資訊的行為。”最終對保利公司處以了25萬元的罰款。
上述行政處罰作出的依據與司法解釋第二條第(二)款的規定也基本相同,即只要涉及人臉資訊的收集不但需經過當事人授權同意,還需進一步採取明示的手段將人臉資訊的處理規則(包括收集、使用人臉資訊的目的、方式和範圍)向當事人公示或者告知。
四、應對合法收集得來的人臉資訊採取必要的管理和技術保護措施確保其安全
淮安市公安局淮安分局於2021年3月16日對淮安市群富鞋業有限公司作出的淮安公(順)行罰決字〔2021〕520號處罰決定書中指出:“安裝的上班打卡系統為人臉識別系統,系統採集的人臉資訊、住戶姓名、手機號碼等個人資訊僅保存在該公司連接互聯網的臺式電腦內,未採取必要的管理和技術保護措施確保其安全,導致公司員工資訊存在洩漏、丟失的安全隱患。”並對該公司作出了相應的行政處罰。
【司法解釋第二條第(五)款】
未採取應有的技術措施或者其他必要措施確保其收集、存儲的人臉資訊安全,致使人臉資訊洩露、篡改、丟失的應當認定屬於侵害自然人人格權益的行為。
具體而言如何做到安全合規存儲這類生物識別資訊可以參考《網路安全法》、《資訊安全技術個人資訊安全規範》中的相關規定,即存儲個人敏感資訊時應作到:
1.
應採用加密等安全措施,密碼技術需要遵循密碼管理的相關國家標準;
2.
個人生物識別資訊與個人身份資訊分開存儲。避免人臉資訊和個人身份資訊組合、彙集而形成資訊組合體,降低資訊洩露導致的個人風險;
3.
原則上,企業不應當存儲原始個人生物識別資訊(如樣本、圖形等)。
同時,《個人資訊安全規範》還要求個人資訊控制者通過僅存儲生物識別資訊的摘要資訊、終端直接識別或使用後及時刪除原始圖像的方式來避免存儲。
人臉識別這一新型技術從剛出現到逐步推廣至商業應用,其“爭議”就一直不斷。事實上,縱觀人類科技史的發展,這種情形也幾乎是每一次重大技術革新時所必須面臨的挑戰。因此,我們也大可不必談“人臉資訊”而色變,恰恰當務之急是需要建立科學的管控規則,擴大其“人臉識別”技術優勢的同時抑制其使用風險。讓技術“帶著鐐銬跳舞”,引導新型技術發揮其更大的作用。
