一、人脸识别技术应用的现状
实践之中,人脸识别技术的应用场景相当广泛,我们可将常见的人脸识别技术应用场景归纳如下表:
表1 人脸识别技术典型应用场景表
2. 人脸识别技术滥用与监管
人脸识别技术因其强大与便捷而被滥用,这种滥用现象已经引起了社会的广泛关注。
2019年10月,因杭州野生动物园强制游客刷脸入园,浙江理工大学特聘副教授郭兵因此提起诉讼,自此“人脸识别第一案”拉开帷幕,该案引发了全社会对人脸识别技术合规应用的深入思考与广泛探讨。
2021年3·15晚会中,央视在“直击人脸识别,谁在‘偷’我的脸?”中的报道再次将人脸识别技术推至风口浪尖。该报道披露某些知名企业的线下门店通过安装识客摄像头等抓取人脸数据,用以分析消费者的性别、年龄、心情等,进而对不同消费者进行差异化营销。后,该摄像头供应商因此被属地市监局调查,最终被要求删除云端人脸识别照片,下架人脸识别功能,并被处以50万罚款。
同年,全国各地区多家房地产公司因涉及在售楼处安装人脸识别摄像头以识别访客途径,用以支付佣金,这种人脸识别的应用方式引发了轩然大波,各地监管机构纷纷介入调查,并对违规行为处以罚款。例如,杭州临安某置业有限公司为了区分客户第一次到访是自己前来还是中介带来,于2020年7月在售楼处安装人脸识别系统,该公司因违法利用人脸识别系统收集、使用消费者个人信息数据,被处以罚款10万元等。
上述系列事件推动了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》的制定,并促进了后续一系列相关规范性文件的陆续颁布。
二、与人脸识别数据保护相关的法律文件
当前,我国已经发布的,正在制定的直接与人脸识别数据合规直接相关的法律文件可整理如下表:
表2:人脸识别相关法律文件表
下文我们将综合上述文件,提炼现行法律要求下的人脸识别合规思路与落地要求。
三、人脸识别数据的合规思路
1. 什么是人脸识别数据?
(1)人脸识别数据的定义
在阐述人脸识别数据合规思路之前,首先厘清何为人脸识别数据。根据《人脸识别数据安全要求》第3.1-3.3条,人脸识别数据为人脸识别图像与人脸特征的统称,其具体定义与关系如下图所示:
图1:人脸识别数据定义图
(2)人脸识别数据的属性
人脸识别数据属于生物识别信息,落入敏感个人信息范畴,所以在处理人脸识别数据时,首先应遵循敏感个人信息的保护规则。
同时,实践之中,关于人脸识别数据有一个常见的疑问:是否所有的人脸照片均属于人脸识别图像,从而构成敏感个人信息?
关于该问题,根据我们的理解,判断人脸照片是否构成人脸识别图像,主要取决于人脸照片的使用场景,如该人脸照片用于人脸识别场景,例如办公楼宇的刷脸门禁等,则构成人脸识别图像,属于敏感个人信息;如该等人脸照片仅用于个人介绍栏的照片展示,而非用于人脸识别目的,则不落入敏感个人信息范畴。
2. 人脸识别数据的合规思路
实践之中,我们可将企业的合规思路总结为五个步骤,具体如图2所示:
图2:企业关于人脸识别技术的合规思路
下文我们将逐一分析每一步骤下企业应具体实施的合规措施。
四、企业使用人脸识别技术应采取的合规措施
1. 判断特定场景下是否应使用人脸识别功能
综合《个人信息保护法》第二十六条、《人脸识别数据安全要求》第5条a、b款,我们将判断特定场景下是否应该使用人脸识别功能的思路总结如下表:
图3:判断特定场景下是否应使用人脸识别功能的思路图
下文我们将结合几个具体场景进一步阐述上述分析思路。
(1)在火车站采取刷脸进站
场景分析:在火车站进展场景下,综合《中华人民共和国反恐怖主义法》、《铁路安全管理条例》《铁路旅客车票实名制管理办法》等有关规定,铁路运输企业需基于维护公共安全的法定义务,对乘客进行“票、人、证”一致核对查验。该等情形落入《个人信息保护法》第二十六条为维护公共安全所必需之情形,故,铁路运输企业可采用人脸识别方式,且可免除铁路运输企业的单独同意义务。
典型案例:2021年11月,汪某某与中国铁路成都局集团有限公司(以下简称“成都铁路局”)个人信息保护纠纷案对该铁路运输企业如何合规使用刷脸进站功能进行探讨。法院认为《个人信息保护法》第二十六条虽然免除了铁路运输企业的单独同意义务,但未免除其告知义务,从而认为成都铁路局存在告知缺陷。不过,法院综合考量成都铁路局为乘客提供人工通道选择权、多方广告告示、未过度使用人脸信息以及告知义务缺陷对汪某某的影响和损害小等因素,认为上述告知缺陷亦不足以单独构成侵权。最终,法院判令驳回汪某某诉讼请求。
不过,案件宣判后,成都铁路运输中级法院向成都铁路局发送司法建议,建议成都铁路局在互联网以及车站进站口以多种方式对个人信息处理进行明确告知。后,成都铁路局于2023年8月就司法建议的整改情况正式复函,立即推动全国铁路运输企业及时采取更新网站、优化设备等措施,履行人脸信息采集告知义务。
(2)小区居住场景下的刷脸门禁
场景分析:关于小区居住场景下,使用刷脸门禁是为了增强小区居住环境的安全性,但并非是维护公共安全所必需,即并非基于法定义务而必须采取人脸识别方式进行门禁设置。基于该等场景,小区可以使用刷脸门禁,但应取得小区住户的单独同意,且为不愿意使用小区门禁的住户提供刷脸门禁以外的通行方式。
典型案例:2021年8月,顾某与某物业公司个人信息保护纠纷案就小区刷脸门禁的合规使用边界问题进行探讨。顾某入住某小区,录入人脸信息以用于小区门禁,后顾某要求物业公司删除其人脸识别信息,并提供其他出入小区的方式,物业公司拒绝,顾某遂向法院提起诉讼。
该诉讼正值《人脸识别司法解释》生效施行之后。根据《人脸识别司法解释》第十条,“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持”,最终,天津市第一中级人民法院作出二审判决,要求物业公司删除顾某的人脸信息并为其提供其他通行验证方式。
(3)在门店内通过AI摄像头进行新老客识别及营销
场景分析:将人脸面部识别数据用于新老客识别及营销活动需取得个人信息主体单独同意,《人脸识别数据安全要求》第五条j款对此情形进行声明性说明,“除非经数据主体单独同意或书面同意,不应将人脸识别数据用于数据主体的评估或预测,包括但不限于评估或预测数据主体的工作表现、经济状况、健康状况、偏好、兴趣、消费行为和活动轨迹等。”
不过,考虑到在门店场景下,很难在当下场景下及时取得入店消费者的单独同意后,再行处理其人脸面部识别数据。故,此等场景下,在无法解决“单独同意”前提下,不应使用人脸识别功能。
2. 明确不同参与主体在人脸对比场景下数据角色
在人脸识别功能的实现过程之中,不同参与主体所涉及的数据处理活动各不相同,属于《个人信息保护法》下不同的数据角色,应承担不同的数据处理义务。
以办公楼门禁系统为例,其中各主体参与情况如下图所示:
图4:办公楼门禁系统各参与方关系图
表3:办公楼门禁系统各参与方数据角色表
以上述情形为例,在开展人脸识别功能时,各参与方应结合自己的数据角色,采取相应的合规措施,并与合作方签署相关数据处理协议,以明确各自的权利与义务边界。
3. 实施人脸识别功能前应进行个人信息安全评估
综合《个人信息保护法》第56条及《人脸识别数据安全要求》第5条f款,企业应在处理人脸识别数据个人信息保护影响评估,评估内容包括但不限于:
(1)是否符合法律、行政法规和国家标准的强制性要求,是否符合公序良俗;
(2)是否具有特定的目的和充分的必要性;
(3)是否具备满足实现目的所需的准度、精度要求;
(4)是否采取了与面临的安全风险相适应的安全防护措施,以防范人脸识别数据泄漏、篡改丢失、损毁或被非法获取、非法利用等安全风险;
(5)是否采取了措施以有效降低可能对数据主体权益带来的损害和不利影响。
此外,企业应将上述个人信息保护影响评估记录存储三年。
4. 人脸数据处理的全生命周期应采取的措施
(1)收集
综合《个人信息保护法》《人脸识别数据安全要求》等,在收集阶段,企业应采取的合规措施包括:
(2)存储
综合《个人信息保护法》《生物特征识别信息保护基本要求》《人脸识别数据安全要求》等,在存储阶段,企业应采取的合规措施包括:
(3)使用
综合《个人信息保护法》《生物特征识别信息保护基本要求》《人脸识别数据安全要求》等,在使用阶段,企业应采取的合规措施包括:
(4)提供
综合《个人信息保护法》《生物特征识别信息保护基本要求》《人脸识别数据安全要求》等,在对外提供阶段,企业应采取的合规措施包括:
(5)删除
综合《个人信息保护法》《生物特征识别信息保护基本要求》《人脸识别数据安全要求》等,在删除阶段,企业应采取的合规措施包括:
5. 完善相应数据安全管理与技术能力
综合《个人信息保护法》《生物特征识别信息保护基本要求》《人脸识别数据安全要求》等,对于涉及处理人脸识别数据的企业,其应具备的数据安全管理与技术能力包括:
五、总结
综上,人脸识别数据合规落地步骤可分为如下五步:
第一,判断特定场景下是否应使用人脸识别功能,如该场景下不应使用人脸识别功能,则避免采取人脸识别方式,可采取其他替代方案。
第二,识别企业在该环节的数据角色,以划分其可能承担的数据处理义务,并在合作落地后,与相关合作方签署数据处理协议,以明确数据权利与义务。
第三,针对拟开展的人脸识别功能进行个人信息保护影响评估,并识别主要风险,总结降低风险的处置措施,并据此优化产品设计。
第四,在功能设计、研发与后续上市环节之中,密切关注人脸识别数据处理全生命周期的合规要求,以终为始,贯彻privacy by design的思路。
