其他
“人脸识别”司法解释中的合规关键词
The following article is from 数字知识产权研究所 Author 陈斌寅
7月28日最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称“人脸识别规定”),并将于8月1日起正式实施。
《人脸识别规定》出台的背景是,作为社交属性最强的个人信息,人脸信息相较指纹、声纹等其他个人生物信息、敏感个人信息,具有更易采集、采集更隐蔽、公开应用更广泛的特点。也正因为如此,商家擅自采集人脸信息成为今年315晚会的重点曝光内容,其背后更是有一条庞大的倒卖人脸影像、基于人脸信息进行个性化分析和推送的黑灰产,也难怪前段时间爆出有消费者戴着头盔去售楼处看房,防止被采集人脸信息。
虽然,在2021年4月出现了原告胜诉的“人脸识别第一案”(原告郭兵诉被告杭州野生动物园服务合同纠纷一案),但对于人脸信息保护要求、保护边界和保护方式等具体问题都存在很大的讨论空间,这些答案当然可以期待《个人信息保护法》给出解答,但毕竟远水解不了近渴,此时《人脸识别规定》的出台恰好承上启下。
如果要对《人脸识别规定》进行关键词解读的话,我们认为可以分为合规关键词和维权关键词,今天就先和大家分析下我们对其中合规关键词的解读:
一、生物识别信息
《人脸识别规定》第一条第三款明确“本规定所称人脸信息属于民法典第一千零三十四条规定的‘生物识别信息’。”关于“生物识别信息”的定义和保护要求,《民法典》没有给出进一步的规定,但《个人信息保护法》(二审稿)第二十九条第二款明确将“个人生物特征”列为敏感个人信息。
针对敏感个人信息的保护,《个人信息保护法》(二审稿)第二十九条第一款限定,只有在“具有特定的目的和充分的必要性”的情况下,才可以处理敏感个人信息。此外,二审稿第三十、三十一、五十五条还分别规定了处理这部分信息的同意方式、必要性、影响告知、事先评估分析等处理者义务。还值得注意的是,《个人信息保护法》(二审稿)第六十一条第一款第二项还特别要求网信部门“针对敏感个人信息以及人脸识别、人工智能等新技术、新应用”制定保护规则、标准。
虽然《个人信息保护法》尚未审议通过,网信部门制定保护规则、标准更尚需时日,但审议稿确定的保护原则已确实体现在了已生效并普遍参考的国家标准等其他规范性文件中,比如《个人信息安全规范》(下称“安全规范”)、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》(下称“评估指南”)、《常见类型移动互联网应用程序必要个人信息范围规定》(下称“必要范围规定”)。
因此,针对《人脸识别规定》中的关键词“生物识别信息”,我们的合规建议是:1、在《个人信息保护法》尚未审议通过,或者说即便该法审议通过,上述《安全规范》、《评估指南》和《必要范围规定》仍然具有极强参考价值,尤其对线上的具体行为范式具有具体指导价值;2、但必须注意的是,上述《安全规范》、《评估指南》和《必要范围规定》主要适用于线上环境,而《人脸识别规定》调整的范围还明确包含“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等”线下经营场所、公共场所,对于线下场景并不能简单套用线上规则,其产生的影响有待观察,尤其是具体的行为范式,期待更明确的规定。
二、必要
《人脸识别规定》中“必要”共出现了三次,分别是第二条第一款第五项的必要安全措施、第八项的必要原则,以及第三条规定的信息处理的必要程度。归纳起来就是两点,其一为“处理必要性的判断”,其二为“措施保障程度的评估”。
关于“处理”的定义,《人脸识别规定》第一条第二款规定“人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等”。与《民法典》第一千零三十五条第二款的定义一致。
对细分定义进一步来看,关于“收集”的必要性,《安全规范》给出了三个考量维度:
1. 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;
2. 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
3. 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
需要提醒的是,关于上述第一点的直接关联,《必要范围规定》并未将人脸信息列为三十九类常见应用中任何一项的必要搜集个人信息,包括地图导航、网络约车、即时通信、网络社区、网络支付、网上购物、餐饮外卖、邮件快件寄递、交通票务、婚恋相亲、求职招聘、网络借贷、房屋租售、二手车交易、问诊挂号、旅游服务、酒店服务、网络游戏、学习教育、本地生活、女性健康、用车服务、投资理财、手机银行、邮箱云盘、远程会议、网络直播、在线影音、短视频、新闻资讯、运动健身、浏览器、输入法、安全管理、电子图书、拍摄美化、应用商店、实用工具、演出票务等。
此外,还需要特别指出的是,尽管《必要范围规定》和《评估指南》允许处理者在自然人同意的情况下处理包括人脸信息在内的“非必要收集”个人信息,但是此次《人脸识别规定》对此的态度却迥异,根据其第四条的规定,针对侵害人脸信息的主张,“信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持”。也就是说,除《人脸识别规定》第五条的法定例外情形,新的司法解释对收集的必要性采取更严格的态度和要求。
关于存储、使用、加工、传输、提供、公开过程中必要性评价,更多依赖的是必要措施的落实,《安全规范》同样进行了详细阐述,主要包括:
1.去标识化是存储和展示的前提;
2. 对于存储环节,包括人脸信息在内的个人生物信息应当和一般个人信息分开存储,此外原则上不存储原始的个人生物信息,而仅仅存储摘要;
3. 存储有最长期限限制,超过期限后应当删除或者进行彻底的匿名化处理;
4. 传输敏感个人信息(包含个人生物信息)必须采取加密措施,境外传输需遵守相关法律(主要是国家安全法、网络安全法、数据安全法等法律)的规定;
5. 对敏感个人信息(包含个人生物信息)的访问和修改,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息;
6. 个人生物信息不应当公开披露。
此外,《安全规范》还对个性化展示、用户画像等更具体场景下人脸信息的保护要求给出了进一步的规定。为此,对于“必要”这一关键词,我们的合规建议是:1. 个人同意(无论是明知且明示,还是被动或默示)面对侵害人脸信息的诉请,都不再是“不分场合”的有效抗辩理由,个人信息处理者应当将全部注意力从聚焦获得许可同意,转变为甄别人脸信息是否为所提供服务必需搜集的信息,即判断是否无人脸信息的参与,则产品或服务的功能无法实现;2. 鉴于目前必要信息判断的参考文件,均没有将人脸信息列入必要收集的范围,甚至连大家习以为常的银行账户、网络支付等场景中,人脸信息也并非必要收集信息,因此建议秉持更为审慎的人脸信息收集态度;3. 若因为收集必要性参考标准的规定仅为国家标准,并非“网信部门制定保护规则、标准”,更非法律规定,而尝试收集人脸信息的,也应当在存储、使用、加工、传输、提供、公开过程中参考已生效的规范性、标准性文件安排和落实相关安全措施;4. 对于线下场景的收集必要性判断,仍然留待和期待进一步的规定。
三、单独
对所有个人信息的收集均需遵循最基本的“告知-同意”原则,而此处的“单独”就是在人脸信息处理中“告知”环节的特定要求。
“单独”在《人脸识别规定》仅出现一次,即第二条第一款第三项“基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意。”这同样体现在《个人信息保护法》(二审稿)第三十条中,“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。”
对“单独”的详细要求,《安全规范》5.4(c)规定“收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;”
如果仅仅收集个人生物信息,当然不存在单独告知的问题,本条潜在的逻辑就是当个人生物信息和其他个人信息,甚至包括其他敏感个人信息一并收集时,对包括人脸信息在内的个人生物信息的收集都必须履行单独告知的义务。
此外,《安全规范》9.2(i)规定“个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。”
事实上9.2其他款项对一般个人信息和其他敏感个人信息的转让,都做了“告知”的要求,其中转让其他敏感个人信息的告知内容和个人生物信息转让时的告知内容一致。9.2(i)延续5.4(c)的逻辑,再一次强调对包括人脸信息在内个人生物信息的单独告知规定。
虽然“单独”在《人脸识别规定》中仅出现一次,但对“单独”通知的贯彻落实,有助于解决文首所称的人脸信息“更易采集、采集更隐蔽”等问题,尤其是在线上环境中。
因此,对于“单独”这一关键词,我们的合规建议是:1. 在不存在收集必要性问题的情况下,对于线上采集人脸信息,不能将其混合在格式用户协议或者隐私政策中一并告知用户,以用户对用户协议或者隐私政策的勾选确认,视为对包括人脸信息在内的个人生物信息的收集同意,即便相关告知内容已经采取加黑加粗的特别提示方式,对在线搜集人脸信息,建议通过跳转独立页面进行告知、提示和收集;2. 对于线下场景的人脸信息收集,以往“已进入监控区域”的提示和默示同意方式面临极大的挑战,而这种挑战在超越民事范畴的《个人信息保护法》正式审议通过后,将越发突出,符合生活场景和法律规定需要的线下的单独告知和明示同意方式值得探讨和期待。
在下一篇中,我们将聚焦《人脸识别规定》中的维权关键字。
团队介绍
往期推荐