导航
程贞 / 关秋蕾
如今,人脸识别技术飞速发展,已经成为大数据、虚拟网络、云计算和实体感应等多项技术的核心,并且被广泛应用于各个领域,包括手机、电脑解锁、出入境身份验证、支付应用程序、医疗诊断、零售营销以及公共安全等等。它在为个人及公权力机关带来不同程度的帮助和便利时,也因其自身技术缺陷(误检和漏检所导致的评估错误)以及对自然人基本权利可能带来的不利影响,而导致公众对人脸识别技术的担忧与日俱增。如何保证合法使用人脸识别的生物特征信息,避免对这些信息的盗用或滥用给数据主体带来巨大风险,已经成为国际社会共同关注的话题。随着各国对个人信息保护立法不断加强以及公众对个人信息保护意识的不断提高,越来越多的人开始审视并对滥用人脸识别信息说“不”。在《个人信息保护法(草案)》(2020年10月21日发布,以下简称“《个保法(草案)》”)已于两会期间提请全国人大常委会审议的背景下,我们拟通过对中国和瑞典关于“人脸识别第一案”的简单比较,就企业应用人脸识别技术及处理人脸识别信息的合规要点进行思考和梳理,以期对企业形成些许有益参考。
一、中国与欧盟“人脸识别第一案”基本案情
(一)中国“人脸识别第一案”基本案情(郭兵案)
郭兵于 2019 年 4 月购买了野生动物世界的双人年卡,双方确定以指纹识别的方式入园。后野生动物世界将入园方式从指纹识别调整为人脸识别,并两次短信通知郭兵激活人脸识别信息,否则将无法正常入园。对此,郭兵表示拒绝。他认为面部识别特征属于敏感个人信息,一旦泄露、非法提供或者滥用将极易危害包括原告在内的消费者的人身和财产安全;并且动物园在没有征求消费者同意的前提下以短信通知单方面改变入园方式,不能构成对合同的有效变更。双方就此协商未果,郭兵遂提起诉讼,要求确认野生动物世界入园规则的变更无效,并在第三方机构的见证下删除郭兵及其妻子的个人信息。法院经审理认为,根据《中华人民共和国消费者权益保护法》第二十九条的规定,我国法律对于个人信息在消费领域的收集、使用并未采取禁止的态度,而是强调对个人信息处理过程的监督管理,并在个人信息被侵害时,经营者需承担相应的侵权责任。本案中,野生动物世界拟通过使用人脸识别功能,来达到甄别年卡用户身份,提高年卡用户入园效率的目的,该行为本身满足法律规定的必要性。但是,野生动物世界在履行合同过程中单方变更前述入园方式,属于单方变更合同的违约行为,郭兵对此明确表示不同意,故对郭兵不具有法律效力。另外,野生动物世界在郭兵办理年卡时收集了其与妻子的姓名、身份证号码、指纹并进行了拍照,除人脸识别信息之外的其他信息收集行为,均符合前述法律规定的“合法、正当、必要”的原则,且无证据证明野生动物世界存在违法违约处理个人信息的情形。关于人脸识别信息,法院认为超出了当时与郭兵约定的合同的范围,不具有正当性。尽管野生动物世界在涉指纹识别的“年卡办理流程”中规定流程包含“至年卡中心拍照”,但其并未告知郭兵与其妻子拍照即已完成对人脸信息的收集以及收集后的使用目的,郭兵与妻子同意拍照的行为,不应视为对野生动物世界通过拍照方式收集两人人脸识别信息的同意。故野生动物世界应删除原告郭兵办理指纹年卡时提交的包括照片在内的面部特征信息。
(二)瑞典“GDPR第一案”(瑞典中学案)
2019年8月,瑞典数据监管局对瑞典一家中学因违反《通用数据保护条例》(即General Data Protection Regulation, 简称“GDPR”)第5条规定的数据处理的最小必要原则和第6条规定的处理的合法性基础而判处20万克朗的罚款。这是瑞典数据监管局针对违反GDPR规定的行为做出的第一笔处罚。这所位于Skellefteå市的学校的工作人员在学生教室里安装了一部人脸识别摄像头,并以此作为试验,测试采用这种方式登记学生出勤是否更为快捷。该实验持续了三周,共影响了22名学生。瑞典数据监管局经过对该学校的人脸识别试点的调查后,认定该校使用人脸识别技术收集和处理生物识别数据的行为不符合GDPR的要求和规定,主要体现在以下两个方面:一、该校取得的同意并不是学生“自由做出”的。在本案中,学校辩称,实验是在学生和家长的同意下进行的。但是瑞典数据监管局认为,由于学生必须在学校接受教育,故学校在本案中的实际地位显然与学生及其监护人的附属地位不平等,学校在本案中取得的同意不符合GDPR第7条第(4)款 “当评估同意是否是自由作出时,应尽最大可能考虑,还应考虑合同的履行,包括服务的提供是否是基于对履行合同不必要的个人数据的同意”,继而不具备符合第6条要求的处理个人信息的“数据主体的同意”的合法性基础。二、学校收集的数据类别不符合最小必要原则。该校采用人脸识别技术、收集生物识别数据的目的是为了监控学生的出勤情况,瑞典数据监管局认为,学校在日常环境中对学生进行摄像监控,是对学生个人隐私的严重侵犯。而且监控出勤情况这一目的完全可以通过更好地保护学生个人信息的其他方式来实现。故该校采取的人脸识别技术和收集学生的生物识别数据不符合GDPR第5条第(1)(c)项的“数据最小化(data minimisation)”的要求。基于本案的严重性以及涉及生物识别数据的敏感性,但考虑到实验时间短并且涉及学生人数少,瑞典数据监管局最终对该学校处以20万瑞典克朗的处罚。
二、对以上典型案例的比较与思考
以上两个案例,同样是在类似门禁系统的环境中收集人脸识别信息,但在我国和在GDPR规制下的瑞典的审判结果却大有迥异。这其中与两国援引和适用的法律不同息息相关。就当下而言,中国并没有已生效的、可单独适用的个人信息保护法,法院仅能依据《消费者权益保护法》以及《合同法》作出判决。这就导致两个案例中,对个人信息收集的“必要性”及“知情同意”的认定标准相差甚远。
(一)对“必要性”及“知情同意”的认定标准的比较
1. 两起案例中收集人脸识别信息“必要性”的认定标准不同
在瑞典中学案中,瑞典数据监管局仅以该收集目的可以通过一个更好地保护学生个人信息的方式来实现为由,便直接否认了该项收集的必要性;而在郭兵案中,法院仅根据野生动物世界“使游客快速入园,提高入园效率”的目的认定收集人脸识别信息是“必要的”,但我们认为这一认定标准与个人信息保护的“必要性”原则并不相符。个人信息保护语境下的“必要性”体现为“最小够用原则”。《信息安全技术 个人信息安全规范》(以下简称“《规范》”)提出,收集的个人信息类型应与实现产品或服务的业务功能有直接关联,且符合最低频率和最少数量的要求,即数据处理者应以达成其数据处理目标的实际需要为限,对个人信息进行相关处理时,不能为未来可能发生的用途而在当下进行收集,数据处理者更不能仅考虑到商业便利而随意收集敏感个人信息。EDPB《关于通过视频设备处理个人数据的指南》(以下称“EDPB指南”)的规定更为严谨,它指出:个人数据处理的目的应当是充分的、相关的,且仅限于处理这些数据的必要目的(数据最小化)。控制者应始终严格审查,首先应当审查该功能是否适合于实现预期目标;其次是对其目的而言是充分必要的。只有当处理的目的无法通过对信息主体的基本权利和自由干扰较小的其他手段合理地实现时,才能选择使用人脸识别功能。
2.两起案例中对于信息主体是否“知情同意”的认定不同
富阳法院认为,动物世界在拍照时经过了游客的“知情同意”,只是人脸信息的收集及其目的,超出了合同约定的范围而不具有合法性;而瑞典中学案中,瑞典数据保护监管局以学生和学校的地位明显不平等,该等获得的“同意”并非“自由做出的同意”,因而不符合GDPR的基本要求为由,否认了同意的合法性。可见在GDPR的规制下,对于数据控制者的合规要求更为严格和刚性,也体现了欧盟对个人数据比较高的保护水平。
当然,中国“人脸识别第一案”目前并没有结案,大概率而言,二审法院全部否定一审判决的可能性不大,但这并不意味着此案例对中国企业当然具有示范效应。相反,在《个人信息保护法》生效后,法院对个人信息保护的认定标准将会上升到一个新的高度,对数据主体的保护力度更大,对数据处理者的要求也会更严格。因此企业必须对个人信息保护给予足够的重视,尤其是涉及处理个人敏感信息(包括人脸识别信息)的企业,必须进行系统和全面的技术和管理布局。
(二)对企业处理人脸识别信息的合规思考
由于生物识别信息具有唯一性、不可撤销性,一旦被盗用或滥用,将会对数据主体带来不可控的风险,大量的个人生物识别信息泄露甚至会对国家整体数据安全产生影响。《个保法(草案)》以及《规范》明确对处理包括人脸等生物特征在内的敏感个人信息做出了专门规定,要求只有在具有特定目的和充分必要性的前提下,方可处理敏感个人信息,并进行事前风险评估等。以下,我们就企业处理人脸识别信息的合规要点,结合最佳实践操作进行初步梳理和总结:
1.就“必要性”进行充分的事前评估
根据《个保法(草案)》第六条,“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理”,规范了个人信息处理者在收集个人信息时,应受到必要原则的约束。企业应当意识到,在法律规制越来越严格的趋势下,企业对个人信息享有红利的同时,也必须承担更多的义务与责任。对于“必要性”的认定,我们理解,并非企业拟开展的相关业务需要应用人脸识别的识别或认证功能,就能随意对人脸识别信息进行收集和使用。人脸识别信息相比其他的个人信息具有更为特殊的性质,企业在采集之前需要谨慎考虑是否有其他可替代的方案,通过收集敏感度相对较低的信息,是否能够实现同样的目的。因此企业应该全面地评估其必要性和平衡各方权益,充分考虑保护个人数据的安全及数据主体利益,而非简单从经营便利及行事效率出发。
2.合理的隐私设计
为贴合迅猛的AI智能技术发展,以及对个人信息的保护需求,近十年来,隐私设计(Privacy by Design,以下简称“PbD”)理论得到越来越多的企业关注,也受到各司法管辖区域监管机构的高度重视。PbD强调科技与法律的结合,主张在系统或技术设计的最初阶段就将个人信息保护的需求“嵌入其中”,成为系统运行的默认规则,直接将保护个人信息的理念以技术手段运用到产品和服务中,以不断促进个人信息保护的合规实践。2019年4月,全国信息安全标准化技术委员会首次在工作组会议上发布了《个人信息安全工程指南》(草案),草案的附表C.1沿用并肯定了八种隐私设计策略,其中包括考虑最小化、隐藏、隔离、聚集、通知、控制、强制/执行和展示/证明等要求。
虽然每个企业因产业或管理标准不同,可能采用个性化的PbD,但总体而言,企业在贯彻隐私保护设计时,应注意:(1)将隐私积极构建入整个运营系统中,以便隐私保护能够从一开始就根植于技术中,形成系统性地有效保护;(2)时刻遵循最小化原则,不进行不必要的个人数据的收集和使用;(3)增强数据安全性,允许更大程度的个人控制,维护数据主体的权利。
3.数据主体充分知情,单独同意
根据《个保法(草案)》第三十条和第三十一条的规定,基于个人同意处理敏感个人信息的,个人信息处理者应当告知数据主体,并获得其单独同意。《规范》对此也提出了更为详细的要求。因此,企业初次收集自然人的生物标识符或生物识别信息时,须以单独的方式(如弹窗提示),并且以易于感知或查询的方式详细告知该自然人所收集生物识别信息的内容、目的、方式、范围、数据保留时间、频次、保护措施以及公开、转移、共享等处理数据的规则,并获得该自然人明确的书面同意。只有待数据主体同意后,方可开展授权范围内的个人信息的处理活动。
实践中,企业应注意在不同业务场景下,合规措施的适配性。比如在零售店面使用人脸识别技术,仅为利用该技术对当天的客流量进行统计、优化货品的合理摆放之目的,按照目前行业通行实践,可以在布置人脸识别设备的区域或门店门口,以显著方式提示顾客“该区域设有人脸识别设备,您的面部信息可能被收集,仅用于流量统计及优化货品陈设之目的”等类似提示语。如果超出前述使用目的,涉及收集个人生物识别信息的,则必须获得顾客的单独明示同意,否则会存在数据来源不合法的风险。再比如,在法国数据保护机构CNIL发布的一篇报告中对单独同意的举例,即在机场面部识别的环境下,只有在相关乘客做出动作后,方启动面部识别摄像头,并通过技术配置,模糊背景中其他乘客的面部。
4.可靠的技术与管理措施
数据处理者必须采用特殊管理和技术措施来保护人脸识别信息。《个保法(草案)》第五十条规定个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除。《规范》对传输与存储个人敏感信息进行了更具可操作性的指导。针对人脸识别信息的保护,企业在实操过程中应注意:
(1)在处理个人敏感信息时,应进行特殊级别的保护,加密并制定加密和秘钥管理政策,采用密码技术时,宜遵循密码管理相关国家标准。如果数据控制者无法避免对个人敏感信息的访问,则必须采取适当的加密算法等步骤来确保存储数据的安全性,这些秘钥/密码仅应由个人掌握,并禁止任何外部访问生物识别数据或存储位置;涉及处理个人敏感信息,应当取得不低于网络安全等级保护三级备案证明(且需每年测评合格);系统采用商用密码技术的,还应当开展商用密码应用安全性评估;企业还应不断提升生物识别算法性能和安全性,改善算法缺陷,增强生物识别算法活体检测能力,减少攻击面;加强生物识别信息匿名化、同态加密、差分隐私等核心方向和技术的研究等。
(2) 生物识别样本和个人身份信息的原始数据进行分离存储和传输。为了最大程度上降低所涉及的风险,数据控制者必须考虑最适用存储数据的位置,并且采用隔离原则,尽可能以分散、分区域的方式来储存和处理个人信息。不同来源的数据应当存储在不同数据库中,尽可能本地化处理和储存,并且彼此之间不存在链接关系。实践中,将生物特征识别数据存储在用户可单独控制的个人设备上(如智能手机或身份证中)的方案应始终优先于集中数据库储存的解决方案。只有在绝对必要且没有其他选择的情况下,才可以考虑在有足够安全措施的保障下,对生物特征识别数据进行集中存储。
(3) 原则上不应存储任何原始个人生物识别信息,如样本、图像等,可采取的措施包括但不限于:(A)在可以仅采集面部特征关键信息或者摘要时,不采集全部面部影像信息;(B)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;(C)在任何情况下,完成部署时人脸识别技术的目的后,必须及时删除原始数据(监视列表和生物特征样本等)。为注册而创建的样本只应保留用于实现处理的目的,不应存储或存档,如果必须保存则采取添加干扰的保护方法。
(4)不断完善企业个人信息保护的制度与流程,并注意数据处理过程中的记录与存档管理。例如:对于涉及自动化处理人脸识别信息的情形,应始终采用人为介入的后备系统解决异常和意外错误,将人工审查或者复审设置为必经环节,系统中应常设合理的人脸识别使用替代方案。企业须制定书面政策设定生物识别数据的保留时间表,当收集数据的目的已达到或距信息主体与企业最后一次联络已满三年时(以先发生者为准),应当删除该数据。
5.维护数据主体的权利
《个保法(草案)》赋予了个人信息主体九大权利 ,除了前面提到的知情权,数据主体还享有限制处理和拒绝权、查阅访问和复制权、更正权、删除权和自动化决策相关权利。企业必须在日常运营中,建立保障数据主体查询、更改、删除人脸信息及注销账户的渠道和机制,并且相关系统的设计应当有助于用户行使这些权利。企业要特别注意,在收集人脸识别信息的同时,应提供替代方案,尊重信息主体的拒绝权。例如:为了确保处理的合法性,对于数据主体进入建筑物,数据处理者应始终提供一种无需处理生物特征的替代方式,如胸卡和钥匙。
6.与合作方明确信息共享和责任归属
各国实践普遍遵循数据处理者不得出售、出租、交易、用于广告目的或以其他方式从自然人的生物识别符或生物识别信息中获利的原则,除非数据处理者以书面形式通知了自然人或其合法授权的代表,并获得其明确的同意。《个保法(草案)》第二十一条和二十二条分别对共同处理和委托处理数据的各方权利义务进行了原则性的规范。企业应该注意,必须在获得数据主体同意的前提下,方可向第三方共享生物识别信息,并且仅得在授权范围内进行处理。这就要求,企业在涉及此类数据处理的业务时,应做到:就前述处理制定清晰、明确的信息共享规则;在转移、共享数据主体生物识别信息前,应先明示数据主体共享的内容、共享对象、共享用途等相关信息,征得数据主体同意后,方可转移或共享信息;不应超出已征得数据主体授权同意的范围共享和处理信息;应对信息接收方进行个人信息安全影响评估;与信息接收方订立安全协议,明确各方信息保护义务与责任;应准确记录和存储共享处理个人信息的情况;接收方未按照要求处理个人信息的,应立即要求接收方停止相关行为并且采取有效补救措施(如更改口令、回收权限、断开网络连接等),甚至终止协议,要求其删除信息。
7.事前风险评估与安全事故处理
建立事前风险评估(DPIA)体系,对确实保护生物识别信息而言至关重要,它是针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。根据《个保法(草案)》第五十四条的要求,个人信息处理者应当在处理敏感个人信息前进行风险评估,并对处理情况进行记录。《规范》10.2款就开展个人信息安全影响评估做出了详细指引,其中包括:a)建立个人信息安全影响评估制度,定期(至少每年一次)开展个人信息安全影响评估;b)个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响;c)在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应重新进行个人信息安全影响评估;d)形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;e)妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
另外,根据《个保法(草案)》第五十五条的规定,个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括:个人信息泄露的原因;泄露的个人信息种类和可能造成的危害;已采取的补救措施;个人可以采取的减轻危害的措施;以及个人信息处理者的联系方式。如果个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。另外,《规范》对个人信息处理者还提出了及时更新个人信息安全事件应急预案;定期(至少一年一次)组织内部相关人员进行应急响应培训和应急演练;发生个人信息安全事件后,按照《国家网络安全事件应急预案》等有关规定及时(我们建议一般不超过事件发生后12小时)上报等要求。
随着两会的开展,我国首部《个人信息保护法》的落地指日可待。综上,作为数据处理者的责任主体,应主动适应个人信息保护和数据管理的新形势新要求,严格遵守法律法规和行业标准,不断提升对生物识别隐私信息的保护力度,完善企业内部的个人信息保护和数据管理制度,否则一旦出现不合规的行为,则可能承担严格的法律责任。
参考资料
1.《欧盟FRA关于人脸识别报告》,李雨桐、王晶晶、余扬横波、钟书玉等翻译
2.《法国CNIL关于人脸识别报告》,王晶晶、余扬横波、钟书玉等翻译
3.《人脸识别技术的法律规制研究初探》,洪延青
4. WEF《负责任地限制人脸识别使用的框架》
5.《人脸识别技术是潘多拉盒子还是阿拉丁神灯?》,王源
6.《“关于个人数据自动处理过程中的个人保护公约”咨询委员会第108号公约》之人脸识别的指南,杨丹译
7.《EPDB“关于通过视频设备处理个人数据的指南”》,杨丹译
8.《人工智能系列之人脸识别信息的内涵与合规难题》,金杜律师事务所,宁宣凤、吴涵
9.《生物识别隐私保护研究报告(2020 年)》,中国信息通信研究院等
10.《个人信息安全工程指南》(草案)
11.法国CNIL:《机场的面部识别:有哪些挑战和需要遵循的主要原则?》
12.《信息安全技术 个人信息安全规范》2020版
声 明
以上文章仅代表作者本人观点,任何情况下,不得视为玺泽律师事务所或其律师出具的法律意见或建议。如需转载或引用该等文章的任何内容,请注明出处。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
