汇业评论 | 金融场景使用人脸识别技术的主要合规问题(十问十答)
近年来,随着金融科技的快速发展,金融机构在联网身份识别/核验、反欺诈、线下支付、智慧网点等金融场景中大量使用人脸识别技术。同时,2019年以来,国家及行业先后发布了大量人脸识别有关的法规和标准文件,社会媒体也广泛关注商业机构的人脸识别合规问题。因此,金融机构在人脸识别方面的安全风险和法律风险陡增,不容忽视。
为此,汇业律师事务所黄春林律师团队结合近期立法及监管执法趋势,参考大量类似项目经验,就金融场景中使用人脸识别技术的主要法律合规问题,简要分析如下,仅供参考。
除金融场景外,关于零售门店中使用人脸识别技术的相关法律合规问题,详见汇业黄春林律师团队前期文章(《零售门店使用人脸识别技术的主要法律问题》)
一、
人脸识别用于金融场景的法律与政策环境,主要经历了哪几个阶段?
第一阶段,2010年左右,以《金融服务 生物特征识别安全框架》(GB/T 27912-2011)为标志,开启了人脸识别的政策萌芽阶段,人脸识别技术及投资在这个阶段也开始获得社会广泛关注。
第二阶段,2015年左右,以《中国人民银行关于改进个人银行账户服务加强账户管理的通知》为标志,开启了金融领域人脸识别的政策宽松阶段,越来越多的金融机构开始在身份核验、支付、反欺诈等场景使用人脸识别技术。
第三阶段,2019年左右,以央行科技司司长李伟关于生物识别有关发言为标识,开启了金融领域人脸识别的政策监管阶段,国家及行业先后密集发布了一系列与人脸识别有关的监管政策及标准,包括但不限于《金融科技(FinTech)发展规划(2019-2021年)》、《中国人民银行金融消费者权益保护实施办法(征求意见稿)》、《网络安全等级保护基本要求》、《个人信息安全规范(2020)》、《生物特征识别信息的保护要求(征)》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全管理规范》、《网络银行系统信息安全通用规范(2020)》等。
二、
目前,金融场景哪些环节在使用人脸识别技术?
目前,人脸识别技术的安全性、可靠性及接受度,已经得到了极大的提高,人脸识别技术已经几乎贯穿于金融业务的全生命周期。具体的应用场景包括但不限于:
身份识别、身份验证、活体检测、双录、OCR、风控与反欺诈、线下支付、智慧网点(例如VIP客户识别、客流分析)、智能安防(例如押运、金库、预警及安防黑名单等)、员工管理等。
考虑到国家监管政策日益收紧,应用场景广泛、数据生命周期较长且数据量极大等特征导致风险敞口增大,因此,人脸识别的合规风险也越来越大。
三、
除标准隐私政策外,金融场景收集人脸识别信息是否需要用户单独同意?
根据近期监管执法政策趋势,收集用户个人信息时采取一揽子概括授权方式已经不符合监管要求,将隐私设计融入金融产品设计已经成为行业通行的隐私策略。
此外,根据刚刚公布的2020年版《个人信息安全规范》规定,“收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。”此外,《个人金融信息保护技术规范》也明确规定了C3类别(鉴身类生物识别信息)收集的明示同意合规要求。
但是,业界也有一种观点认为,考虑到金融机构在金融业务场景中收集人脸识别信息,既是满足金融监管、反洗钱反欺诈有关的法律要求,也是“签订和履行金融合同必须”,所以不用单独获得用户的授权。
汇业黄春林律师团队认为,我国个人信息保护采取“告知+同意”的基本制度框架。一方面,豁免同意的情形并未豁免告知的义务;另一方面,人脸识别信息属于高度敏感信息,且并非金融业务合同的必须(还可以通过其他方式鉴身),因此仍然应当单独告知、单独同意(例如主动提交),这也符合金融场景中“表达意愿”的基本合规要求。
四、
保险、基金、信托等产品合同签署环节的“双录”,属于收集人脸识别信息吗?
这个问题实际上涉及个人信息判断采取“主观标准”还是“客观标准”的问题。根据国际通行惯例,不以识别(鉴身)为目的采集的音视频及图像,例如照相、电影摄制等场景,不属于个人信息。
在金融场景中,无论是基于KYC还是存证、保全等需求,“双录”(录音录像)都比较常见。但这些场景采集“双录”数据尽管会包含了人脸信息,并非基于识别目的,因此不宜将该等数据扩大为个人信息(包括人脸识别信息)。
我们一定要区分个人信息和个人信息的载体,且不可忽视“主观标准”。举个例子:同样是翔,如果钟南山院士采集你的翔,用于人类遗传信息分析,那么不仅需要遵从同意原则,还要通过伦理审查;但是,如果是果农菜农等采集你的翔,用于农田施肥,显然不需要经过你同意。
但是,在《个人金融信息保护技术规范》中,确实将这类图片、视音频等影像资料纳入了C2类个人金融信息的范畴。
五、
金融场景使用人脸识别鉴身的证据效力如何?
司法实践层面,根据汇业黄春林律师团队有限调研,在(2019)粤01民终17529号、(2019)粤0192民初51519号、(2018)京0101民初23265号、(2019)浙10民终2564号、(2019)渝01民终7411号等案件中,法院并未排除人脸识别鉴身的法律效力。当然,在极个别的案件中,也有法院认定即便金融业机构使用了人脸识别技术鉴身,但仍然无法确定人脸识别是否属于用户的真实意识表示。
监管层面,根据央行关于人脸识别用于线下支付的“人脸识别+支付口令”双重认证要求,以及参考《关于改进个人银行账户分类管理有关事项的通知》、《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》、《中国人民银行关于加强开户管理及可疑交易报告后续控制措施的通知》、《移动金融客户端应用软件安全管理规范》、《网络银行系统信息安全通用规范(2020)》等文件确立的合规要求及安全原则,金融机构应采取人脸识别、密码技术、活体验证、短信验证及多重风控等多种方式交叉鉴身,确保符合“表达意愿、多重认证”的合规要求,平衡好金融服务的安全性与便捷性。此外,从消费者权益保护的角度,也需要相关识别措施可替代、可选择。
事实上,司法实践中被个别法院个案否定的人脸识别证据,也是因为缺乏交叉验证导致的电子证据无法采信,这也符合最新的《最高人民法院关于民事诉讼证据的若干规定》相关规定。
六、
金融场景中存储人脸识别信息应当满足哪些主要合规控制项?
根据《网络安全等级保护基本要求》、《个人信息安全规范(2020)》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全管理规范》、《网络银行系统信息安全通用规范(2020)》、《生物特征识别信息的保护要求(征)》、等文件,存储合规控制项包括但不限于:
(1)不得存储原始人脸图片,应当提取摘要信息存储;因反欺诈、对账清分等场景确需保存的,应当在目的实现后及时(不得超过72小时)删除或匿名化;
(2)存储人脸识别信息的网络系统应当按照等保三级要求建设、定级和备案,并应当取得相适应的电信业务许可;
(3)存储人脸识别信息的网络系统应当采取符合规定的加密措施,相关的密码技术应当符合《密码法》及《GM/T0054-2018信息系统密码应用基本要求》等有关规定,必要时还应当采取生物特征识别水印方案;
(4)人脸识别信息应当与其他生产数据物理分开存储,不可链接;
(5)由其他第三方处理的,人脸识别数据应当塔内存储处理,不得出库,严禁第三方落库;
(6)通过客户端采集、处理人脸识别信息的,应当尽量本地处理,及时删除,并严格控制共享权限;等等。
七、
金融机构智慧网店使用人脸识别技术,应当满足哪些主要合规控制项?
越来越多的金融机构在智慧门店中应用人脸识别技术,包括VIP客户识别、客户满意度调查、客流分析等等场景。在该等场景使用人脸识别技术,应当至少满足:
(1)VIP客户识别场景下,应当通过APP隐私政策及账户开立合同等方式,获得客户的明示的授权;严格限制在销售经理、大堂经理APP端展示客户人脸原始照片;
(2)在客户满意度调查、客流分析等场景下,应当在大堂、场所等地显著位置标示场所使用了人脸识别设备;
(3)若实现智慧门店数据与线上数据(含集团内)融合打通、或者用于“绑单”用于精准营销等场景的,还应当确保融合数据来源合法,并明示客户融合数据的目的、方式及范围;
(4)尽量本地化分析、处理人脸识别信息;等等。
八、
金融机构智能安防使用人脸识别技术,应当满足哪些主要合规控制点?
金融机构的大多数安防摄像头不具有人脸识别功能,但是在一些特定的场景,仍然会使用到人脸识别技术,例如员工门禁、押运司机识别、案场安防预警等。
实践之中主要的合规控制要点包括供应商资质审查、人脸识别数据存储、黑名单机制、微表情技术应用合规等等。
值得注意的是,在安防场景下收集员工(银行柜台员工及押运员工等)的人脸识别信息的,仍应当通过合法的形式告知员工并获得员工的明示授权。
九、
金融机构的人脸识别模块是否可以外包?
不同场景项下的人脸识别模块是否可以外包存在较大的差别,依赖于具体的应用场景和该场景在金融业务环节中的地位。
根据金融机构外包业务监管有关规定,涉及金融业务的核心业务环节(例如鉴身、适当性、合同、风控等)不得外包给第三方机构,而其他非金融业务的核心环节,例如营销、安防等场景,则不受该等外包限制。
此外,《个人金融信息保护技术规范》详细规定了“委托处理”、“外包”有关的限制措施。根据《个人金融信息保护技术规范》规定,C3类用户鉴别辅助信息(包括人脸识别信息),不得委托给第三方机构进行处理。在外包合规一节中,《个人金融信息保护技术规范》并未否定个人金融信息生命周期相关的外包服务,只是规定外包机构不应留存C3C2,当然也还规定不得将存储个人金融信息(包括人脸识别信息)的数据库交由外部合作机构运维。但是,《个人金融信息保护技术规范》并未严格界定何为“委托处理”,何为“外包”。
但实践中,金融机构显然不具备人脸识别相关的技术,必然与科技公司(例如业界知名的云从科技等)开展业务合作。因此,金融机构与金融科技公司的合作模式和合同条款就显得尤为重要,务必明确区分是人员外包还是业务外包,是开发服务还是运维服务,以及建立严格的供应商审查机制,等等。
十、
人脸识别信息是否属于个人金融信息?
如同上一个问题,金融业务全生态体系中,并非所有的人脸识别信息都必然属于个人金融信息,因此未必都需要遵从个人金融信息保护有关的法律、法规、标准(详见汇业黄春林律师团队前期文章《我国个人金融信息保护的法律与标准体系概览》)。
根据《中国人民银行金融消费者权益保护实施办法(征求意见稿)》、《个人金融信息保护技术规范》等文件,个人金融信息是指金融业机构(金融及类金融机构,不含金融科技公司)通过开展业务或者其他合法渠道获取、加工和存储的个人信息。因此,只有当金融业机构:(1)在开展金融业务(提供金融服务或金融产品);(2)自行或委托第三方机构以金融机构名义采集的人脸识别信息,才属于个人金融信息。而,其他金融业生态圈公司(例如金融科技公司)在前期独立开展业务准备、教学研究(例如算法训练)、产品研发(例如联网鉴身产品)、数据源对接等场景中采集的人脸识别信息,在正式金融机构业务场景前,不属于个人金融信息,无需遵守个人金融信息保护有关的法律、法规、标准规定的严格合规要求,但仍应当遵从《网络安全法》、《网络安全等级保护基本要求》、《个人信息安全规范(2020)》、《生物特征识别信息的保护要求(征)》等相关规定。
黄春林
汇业律师事务所高级合伙人
Ramon.huang@huiyelaw.com
黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师之一。
作者往期文章推荐:
《个人金融信息保护技术规范》解读:全生命周期的技术与管理二元合规控制
十余位网安及数据合规大牛热评新书《网络与数据法律实务:法律适用与合规落地》
十余位知名外企法务大咖热评新书《网络与数据法律实务:法律适用与合规落地》