一、个人信息的法律保护
2021年,“中国人脸识别第一案”在杭州中院迎来终审判决,二审在原判决基础上要求动物世界删除郭某办理指纹年卡时提交的面部特征信息及指纹识别信息,体现了法院对敏感个人信息的高度重视和严格保护。应当看到,随着技术的高速发展,个人信息的收集变得愈发简单而隐秘;此类信息一旦被泄露或滥用,将对个人的人身、财产安全造成难以预计的损害。因此,从国家立法层面建立保护个人信息的规则变得必要且迫切。
2021年11月1日,《中华人民共和国个人信息保护法》(以下简称《个保法》)正式施行,作为我国首部规范和加强个人信息保护的专门性法律,该法构建了严密周全、权责明确的个人信息保护体系;对敏感个人信息的处理更是确立了“必要性+单独同意+严格保护”的制度,为保护敏感个人信息提供了强有力的支撑。人脸信息作为最常见的敏感个人信息,在人脸识别技术大行其道的当下,引发了诸多争议。为此,最高法特地出台《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》),为使用人脸识别技术、处理人脸信息提供了指引。
二、如何规范使用人脸识别技术
1.何为“处理”人脸信息
《个保法》第二章第二节规定了敏感个人信息的处理规则,在适用该节条款前,应先明确何为“处理”?《个保法》和《规定》将“处理”定义为:“包括收集、存储、使用、加工、传输、提供、公开、删除等”行为。随之而来的问题就是何为“收集”?是不是人脸识别设备抓取的每一道人脸信息,都可认定为“收集”?
目前尚无法律或司法解释对此作规定。但是我们注意到,国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术 个人信息安全规范(GB/T 35273-2020)》第3.5条对“收集”进行了定义和举例:“收集:获得个人信息的控制权的行为”、3.5条注2:“如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集。例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体位置信息的收集。”国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术 个人信息告知同意指南(征求意见稿)》附录D“公共场合场景下的告知同意D.1告知的内容”中,有相类似的表述:“注:收集人脸信息仅用于与设备本地已存储的人脸信息进行比对或进行本地化处理而没有回传服务器的,不属于人脸信息的收集行为。”从上述规定看,若抓取的人脸信息没有回传至服务器或仅进行本地化处理,该获取行为不属于“收集”。必须注意的是,上述规定仅为国家标准,且部分标准尚为征求意见稿,虽然在相关法律法规缺位的情况下具有参考价值,但不具有强制性法律效力,该问题尚需法律法规或司法解释的进一步明确。
2.技术使用必要性
《个保法》第二十八条要求,只有在“具有特定的目的和充分的必要性”前提下,才可以处理敏感个人信息。《民法典》也规定了“合法、正当、必要原则”。然而,何为“充分必要性”目前并无法律给出明确定义,发生此类纠纷依赖于法官的主观判断。2019年网信办发布的《App违法违规收集使用个人信息行为认定方法》,列举过可以被认定为“违反必要原则”的情形。以此为参考,读者若想在使用人脸识别技术的同时规避“必要性”风险,建议从“范围”和“方式”两个角度入手,即在实现处理目的的“最小范围”内采取对个人权益“最小影响”的方式。
3.单独同意制度
《个保法》第二十九条要求,处理敏感个人信息应当取得个人“单独同意”,但未明确“单独同意”的具体方式,给使用人脸识别技术带来不确定性。分析《个保法》全文会发现,处理一般个人信息也要取得“同意”,此处的“同意”是个人在对处理目的、方式以及信息种类充分知情的前提下,自愿、明确作出的同意,遵循“告知-同意”规则。
根据体系解释,“单独同意”的要求应高于“同意”。因此,信息处理者应将所要处理的敏感个人信息种类,处理目的及必要性,处理方式,对个人权益的影响等事项单独、明确向个人告知并取得其同意,系“一告知、一同意”,不得与其他场景下个人信息处理的同意揉合在一起,或隐匿在其他事项中,通过一揽子授权的方式取得个人同意或接受。
为尽可能落实“单独同意”,避免被认定为违法处理敏感个人信息,我们建议读者应做到:
1)就人脸信息等敏感个人信息的收集、保护制定单独政策并公示;
2)为处理人脸信息等敏感个人信息准备单独的协议,在协议中向用户明确说明处理目的、方式和范围,获取被收集者的单独同意。
4.显著提示标识
《个保法》第二十六条规定:“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。”此条适用场景虽然是公共场所,但因《个保法》未提及在办公楼等非公共场所安装个人身份识别设备的要求,只能参照适用该条。即在满足必要性和单独同意前提下,若办公楼所安装的个人身份识别设备可能处理未授权者的敏感个人信息(如收集访客人脸信息等),必须设置显著提示标识。
那么,达到何种标准可被认定为设置了“显著”的提示标识?在宁波市市监局作出的甬市监处〔2021〕18号行政处罚决定书中有这样的表述:“当事人在其售楼处入口张贴‘您已进入视频监控区域’‘本售楼处安装有人脸识别系统,用于进行分销带客识别,我们承诺保护您的人脸等信息安全’,属于仅明示收集、使用信息的目的、方式,并未明示收集、使用信息的范围……。”由此推断,若要安装人脸识别机器处理人脸信息,至少需明示处理信息的目的、方式、范围。
5.不同意通道
《规定》第十条要求,业主不同意以人脸识别作为出入唯一验证方式的,物业等企业应提供替代性验证方式。所以,建议至少预留一条无人脸识别设备的通道,否则可能存在合规风险。这一制度与单独同意制度相呼应,赋予了业主不同意的权利,保护了敏感个人信息,但给希望采取智能化管理的企业带来更多挑战。因此,企业在安装人脸识别设备前最好先咨询合规专业人士的意见,避免引起侵权纠纷。
三、如何应对可能引起的民事纠纷
1.单独同意书面化
虽然《个保法》规定只有在法律、行政法规特别规定下,处理敏感个人信息才需取得书面同意。但站在举证角度,企业最好能将个人的单独同意书面化,用以证明确实取得授权。
2.制定并落实敏感个人信息严格保护制度
《个保法》第五十一条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相关安全保障措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。结合法条,安装人脸识别设备等涉及处理敏感个人信息的企业可从以下方面落实保障措施:
①企业内部制定严格的管理制度和细致的操作规程;
②合理确定敏感个人信息处理的操作权限,定期对从业人员进行安全教育和培训,培养其保密意识;
③采取相应的加密、去标识化等安全技术措施;
④制定并组织实施个人信息安全事件应急预案。
3.针对可能出现的必要性、安全性质疑
①在安装人脸识别设备前,最好能获取公权力机构出具的安防要求证明,提高被认定为“公共安全”的可能性;
②设备安装应委托正规机构,并在安装后向有关部门申请验收,保存书面验收合格证明;
③安装完成后,应保证设备供应商不再有查阅或处理人脸信息的权限,保证存储信息的服务器均由企业自行提供并控制,由专人进行严格管理。
《个保法》和《规定》双管齐下,为敏感个人信息的保护层层加码,却也会导致相关纠纷增多,企业要注意规范处理、严格保护他人的敏感信息,必要时,可以寻求专业人士的支持。
?实习生胥语嘉对本文亦有贡献
作者简介
邢芝凡
北京德和衡(上海)律师事务所合伙人
邢芝凡律师,北京德和衡(上海)律师事务所合伙人,上海办公室副主任,中德律师协会会员,英国皇家仲裁员协会会员
邢律师专注于企业商事合规、复杂争议解决(包括刑、行、民交叉案件)、劳动法和投资并购业务。长期为多个行业的诸多具有代表性的企业提供日常法律服务,在各类公司业务合同审核与修改,劳动人事合规、反不正当竞争和反垄断的法律风险提示,与政府监管部门谈判、沟通等方面有着丰富的实践经验。邢律师擅长通过系统性的方案处理复杂商事争议,执业以来处理了包括金融争议、商事合同纠纷、经销纠纷、建设工程等领域在内的多件大额争议解决案件。邢律师同时具有多次参与主导股权与资产交易的经验,项目行业涉及房地产、教育、环保等。
手机:18601669710
邮箱:xingzhifan@deheheng.com
章 驰
北京德和衡(上海)律师事务所高级联席合伙人
章驰律师,专注于商事争议解决、房地产和破产重整业务。曾供职于中伦律师事务所上海办公室,对金融、房地产行业的复杂案件有丰富经验,同时具有多年担任企业破产管理人的经验,擅长不良资产处置及破产衍生诉讼的处理。
手机:13601897562
邮箱:zhangchi-sh@deheheng.com
岳俐娅
北京德和衡(上海)律师事务所执业律师
岳俐娅律师,于2020年加入北京德和衡律师事务所上海办公室,此前供职于中伦律师事务所,专注于商事争议解决以及企业合规业务。从业以来,岳律师持续为顾问单位提供高质量的日常咨询服务,擅长从客户角度审核商业合同、协助谈判以及提供适当的法律意见。岳律师曾参与代理多起疑难复杂且标的额较大的案件,熟悉诉讼、仲裁与执行的各个环节,能够与法院、仲裁机构进行良好且有效的沟通。
手机:15021691965
邮箱:yueliya@deheheng.com