(题字:南开法学校友安尧)
【前 言】
今年的3.15可谓对个人信息保护问题十分重视,在晚会曝光的问题中,近一半涉及个人信息保护。相比以往对食品、药品等领域的重视,今年3.15的倾向性不仅与互联网技术的飞速发展相呼应,更体现出公众对于保护个人信息、保护隐私的强烈需求。随着数据生产要素的明确,数据合规已成为企业合规不可或缺的环节。企业必须完善用户个人信息保护机制,严肃回应用户的隐私需求。泰和泰数据合规团队多年来一直关注企业数据合规治理。我们将从本文开始,逐一分析3.15晚会曝光的个人信息保护问题,为企业数据合规治理提供参考。
案例介绍
3.15晚会曝光的第一个案例是:销售门店安装具有人脸识别功能的摄像头,在消费者进店后自动抓取消费者人脸识别信息,通过AI等技术分析消费者的性别、年龄,并记录其到店次数等信息,同时生成与该消费者唯一对应的ID编号。门店根据上述数据,分析消费者的消费倾向,待其再次到店后,制定不同的营销策略和报价方案。
我国《民法典》第一千零三十五条明确规定:处理个人信息的,应当征得该自然人或者其监护人同意;《消费者权益保护法》第二十九条明确规定:经营者收集消费者个人信息须经消费者同意,且应当明示收集信息的目的。然而,央视记者采访的多家人脸识别摄像头供应商均称,摄像头抓取消费者的人脸识别信息前,无需经过消费者同意,而是在消费者不知情的情况下,自动抓取的。经营者利用摄像头“无感知”收集消费者人脸信息,消费者的授权同意根本无从谈起,该行为属于典型的违规行为。
根据分级原则,个人信息可大体上分为个人一般信息和个人敏感信息两级,其中个人敏感信息是指:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。此案例所涉人脸识别信息属于个人生物识别信息,系典型的个人敏感信息。对于个人一般信息而言,在收集前应征得信息主体的授权同意;而个人敏感信息则在此基础上,要求征得信息主体的明示同意。具体而言,区分如下:相较于一般同意,明示同意对于“知情”程度要求更高,例如,在《隐私政策》中,涉及个人敏感信息的,需明确标识或突出显示,以增强提示,使信息主体达到更高程度的知情,从而在此基础上做出授权决策。(2)明示同意的意愿表示应当自主做出、具体且清晰明确《个人信息保护法(草案)》第三十条规定:基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。这里的单独同意即是实现明示同意的重要方式。以个人生物识别信息为例,《个人信息安全规范》规定,在收集个人生物识别信息前,应单独向个人信息主体告知收集个人生物识别信息的目的、方式和范围,征得个人信息主体的明示同意。也就是说,对于个人生物识别信息,因其特殊性,应区别于使用《隐私政策》一揽子征得用户授权,采取单一逐个获取授权的方式征得用户的明示同意。下图是实践中通常采取的方式:对于收集用户生物识别信息的APP,手机系统会在APP之外再设置一层获取授权的隔离措施。以APP语音识别功能为例,APP在调用手机录音功能前,手机系统会弹窗提示用户做出授权选择,由用户决定是否向APP开放录音权限,实现用户“自主、具体、清晰明确”地做出明示授权。
用户画像是指:通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。在商业营销中,如果能够实现“千人千面”的精准营销,则将大大降低营销成本,提高营销收益。随着互联网技术的发展,用户个人特征维度更加丰富、个人特征模型更加精准,用户画像开始被商家广泛利用。然而,很多商家在利用用户画像时,不再满足于单纯的营销目的,而是基于用户画像对消费者做出歧视性的、不公平的对待,以牟取不正当利益。近一段时间频频见诸报端的“大数据杀熟”,就是滥用用户画像的典型例证。
在记者的采访中,摄像头供应商相关人员介绍:摄像头可以利用AI等技术识别消费者的性别、年龄、种族,甚至当前的情绪,同时,门店工作人员还可以在摄像头的配套系统中给消费者加标签,比如消费能力、是否同行、职业打假人等。经过多家门店的信息汇总形成用户画像后,待该消费者再次来到商家,门店工作人员就可以有针对性地采取不同的营销策略、提供不同的报价方案。
公平原则是民事活动的基本原则。在营销过程中,利用对消费者特征的分析,给消费者打标签,对“购买力弱”的消费者“不予理睬”,对“购买力强”的消费者“热情相迎”甚至“高价杀熟”,这显然是有失公平的、具有歧视性的。此外,《个人信息安全规范》对于在经营业务过程中使用用户画像的行为,也做出了明确的禁止性规定:个人信息控制者在使用用户画像时,不得侵害公民、法人和其他组织的合法权益。在本文讨论的案例中,商家利用用户画像,排斥打假人、对不同的消费者做不同的报价,显然已侵害消费者合法权益,应认定为违规行为。
案例中,还有一点十分值得注意:摄像头供应商可以从其服务器上调用其全部合作商家收集的消费者人脸识别信息。
在消费场景下,消费者与商家是买卖双方当事人。我们假设基于买卖合同关系,消费者授权商家收集其人脸识别信息,则摄像头供应商属于第三方。消费者并未直接授权该第三方获取其人脸识别信息,那么摄像头供应商可能基于何种权利获取消费者的人脸识别信息呢?根据《个人信息安全规范》,第三方获取商家收集的消费者信息大致有以下途径:商家委托该第三方处理信息、商家对第三方共享、商家向第三方转让,以及商家公开披露。然而,无论通过哪种途径:其一,人脸识别信息属于个人敏感信息,在商家获取后,必须征得消费者的明示同意,才能委托第三方处理、向第三方共享或者转让(禁止公开披露个人敏感信息)。而且,在征得消费者明示同意时,对于个人敏感信息,商家必须向消费者明确告知以下内容,以使消费者在完全知情的前提下,自主做出授权决策:◆涉及个人敏感信息类型;
◆委托处理、共享、转让的目的;
◆数据接收方的身份和数据安全能力;
◆可能产生的后果。
其二,对于个人敏感信息的传输和存储,应当具备更高的注意义务和安全保护措施。案例中,摄像头供应商的员工随意调取并向外部人员展示消费者人脸识别信息的行为,显然不符合安全保障要求。◆传输和存储个人敏感信息时,应采用加密等安全措施;
◆个人生物识别信息应与个人身份信息分开存储;
◆原则上不存储原始个人生物识别信息(如样本、图像等),以存储个人生物识别信息摘要等方式替代。
其三,案例中还提到,仅一家摄像头供应商通过其合作商家就可汇集超1亿的人脸识别信息。在处理如此海量的信息时,根据《个人信息安全规范》,摄像头供应商应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作。
此外,对于商家与摄像头供应商,还应谨慎关注数据合规的刑事风险。《刑法》第二百五十三条之一第一款规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。第三款规定:窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款:未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。根据该《解释》第四条:违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。在案例中,首先,商家未经授权即收集消费者的人脸识别信息,其合法性基础不存在;其次,摄像头供应商获取消费者人脸识别信息亦未经消费者同意;再次,摄像头供应商获取的人脸识别信息并未经过不可复原的匿名化等处理;最后,摄像头供应商汇总的人脸识别信息动辄千万,数量庞大。综合上述事实,我们认为,商家与摄像头供应商须谨慎对待数据合规的刑事风险。【结 语】
2020年10月21日,全国人民代表大会常务委员会公布《个人信息保护法(草案)》征求意见,其中第二十七条已经对公共场所摄像头做出了明确规定:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。基于上述规定,没有显著标识、未经单独同意,出于商业营销目的利用摄像头收集人脸识别信息的行为即构成违法。相信经过此次3.15,法律对于公共场所安装图像采集、个人身份识别设备的规定将会更加严格。数据合规将不再仅仅是悬在“线上”的“达摩克利斯之剑”,“线下”实体亦将迎来数据合规的洗礼。泰和泰(北京)律师事务所沈志君团队长期关注互联网前沿法律问题,致力于提供优质互联网合规及民商事争议解决服务。在数据合规、个人信息保护、影视著作权、互联网广告等领域有着丰富的经验、成熟的方案,并在此基础上,提供个性化定制服务,倾力满足每一位客户的需求。
(拍照:李崇杰,泰和泰律师事务所高级合伙人)
以下点击可读:
编辑 | 朱桐辉,南开大学法学院副教授,北京赛博威锋司法鉴定所(电子数据鉴定)顾问。