从数据合规角度论人脸识别技术应用实务
- 446
随着近两年国家层面监管政策不断细化,我国建设合规时代的大幕已然拉开,其中数据合规部分得到了国家的高度关注。数据资源作为新时代的战略性资源,对国家经济发展起到了不可或缺的作用。个人信息作为数据资源中最为隐秘且难以保护的部分,所能产生的利益价值更是远大于其他数据,其所面临的安全风险相比较其他数据资源来说也将更高、更频繁。因此,笔者将推出数据合规系列专业研讨文章,以期对大家有所助益。
在本篇中,笔者将选取数据合规中的一小分支,即人脸识别作为切入点,从人脸识别应用的现实状况出发,结合人脸识别的法律及监管要求,分析厘清人脸识别不同应用场景下的合规指引。
一、人脸识别技术应用的现实状况与主要功能
人脸识别技术,是指基于人的面部特征对信息主体进行身份识别的技术。其技术原理系基于卷积神经网络等深度学习算法,通过对人脸数据中的特征向量进行重复多次学习和训练,从而使信息识别的精准度大幅提升。
人脸识别数据,是人脸图像经过处理后得到的可单独或与其他信息结合来识别特定自然人或特定自然人身份的数据。由于此类数据具有“可识别到特定个人”的特征,我国《个人信息保护法》及《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》把作为生物识别信息的人脸识别信息划分为敏感个人信息,需做特殊的数据合规保护,使得人脸识别信息在个人信息的保护与使用中找到平衡。
1、人脸识别技术应用的现状
由于人脸识别技术具有易被采集、不可变更、不易察觉、无需接触即可实现识别验证等特点,使得人脸信息相较于其他生物识别信息(如指纹、耳廓、虹 膜、掌纹、DNA)更容易被普及应用。
按照人脸识别应用场景区分,大体可分为线上线下两个场景。线上主要体现为App、小程序等收集使用人脸信息合规问题,线下主要是商场门店、住宅小区、公司单位等使用人脸识别设备的合规问题。
与此同时,国内外均出现了大量因人脸识别应用而产生的司法案例。据中国裁判文书网公布的数据统计,目前我国在未取得数据主体知情同意的情况下,使用人脸识别所产生的纠纷高达33%,侵犯隐私自由高达25%,配套系统不完善和人脸信息盗用账户是各15%,贩卖信息是10%。其中,较为著名的有郭兵与杭州野生动物世界有限公司服务合同纠纷案(以下简称“我国人脸识别第一案”);售楼处顾客因防止自己被人脸识别技术以隐蔽方式自动化决策分析而戴头盔前往售楼处看房;美国Facebook公司因滥用人脸识别技术引发其在伊利诺伊州的集体诉讼而赔偿6.5亿美元等等。
2、人脸识别技术的主要功能
1)人脸验证功能:是指将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对,以确认特定自然人是否为其所声明的身份,即1:1身份验证。典型的应用场景包括公司门禁系统验证、移动APP登录、刷脸支付,以及机场、火车站的人证比对。该功能的实现往往需要数据主体的主动配合,比如注视识别设备,有些精度高的人脸识别系统还要求数据主体配合完成眨眼摇头等动作。
2)人脸辨识功能:是指将采集的人脸识别数据与已存储的人脸数据库进行比对,从而识别特定自然人,即1:N身份比对。以识别特定自然人。该功能多运用于维护公共安全的场景,由公权力机关主导居多,例如警方在寻找失踪人口时运用该技术比对人脸特征。
3)人脸分析功能:是指不开展人脸验证或人脸辨识,仅通过识别已采集的动态人脸图像信息,进行统计、检测、分析或自动化决策。其中,外在分析侧重于统计数据主体的性别、数量等,如统计某一区域特定时间段内的人流量;内在分析侧重于数据主体本身的状态,如通过识别表现在面部的神情来判断主体是否专注,甚至监视心情的变化,如智能汽车对于司机驾驶状态的分析,学校在教室当中安装人脸识别设备,对学生听课时的神情变化进行识别记录等等。
通过以上对人脸识别技术功能的详细认知,我们进一步深化了解了人脸识别技术的不同场景化表现,从而更精确的掌握不同场景划分下的内在逻辑,准确定位特定场景内的风险责任主体及数据合规路径,由此才能最小化、精准化、低成本的为企业做好数据合规体系建构,真正实现数据使用与合规的平衡。
二、人脸数据合规治理的法律及监管要求
在现行法律规定当中,人脸图像作为生物识别信息,是对合规性要求最高的。《个人信息保护法》、《人脸识别数据安全要求》)、《人脸识别司法解释》等均对生物识别信息的处理做出了严格的规定,据此笔者总结出,人脸识别需要符合四条要求,分别系符合最小必要原则要求、符合单独同意+明示告知要求、提供非人脸识别替代方案以及安全保障的要求。以上四条需同时满足,方能达到人脸识别技术应用在实务中的合规可能。
同时,笔者从使用人脸识别技术要求和面部生物识别处理要求两方面,对监管要求进行如下总结:
三、人脸识别技术应用在实务中的合规指引
1、最小必要原则
人脸识别数据属于敏感个人信息,只有具有特定的目的和充分的必要性才可以处理。实践中,以上两点需要从场景出发具体判断。本篇中,笔者提出以下两个典型应用场景进行实务探讨。
其一,在网络游戏中,国家实行未成年人防沉迷保护机制,除了填写身份证账号以及姓名信息来辨别用户是否为未成年人外,很多游戏公司还会开发未成年人防沉迷系统的人脸识别功能来达到辨别用户是否是未成年人的目的。例如,当系统检测到帐号行为疑似为未成年人进行时,会强制开启未成年人人脸识别验证服务。在这种情况下,从社会公益及保护未成年人的角度来看,此类措施有其合理性,但是,若从数据合规的角度来看,这种强制搜集人脸信息来判断是否为未成年人的行为是否必要?换言之,通过人脸识别的方式验证用户是否为未成年人,是否是唯一的手段?这在现实中就具有较大争议。
针对这一问题,笔者建议,游戏公司在实务中对此技术的应用应保持审慎的态度,并及时与监管部门沟通合规事宜,讨论是否可以通过未成年人模式限制游戏时间等替代性方案实现合规,以免出现违规收集的后果。
其二,如前文中所提到的“我国人脸识别第一案”即杭州野生动物园的郭兵案。该案事实系郭兵去拍照时,动物园收集了郭兵的面部特征信息,并告知郭兵拍照系办卡所需。但后来,动物园在未取得郭兵本人知情同意的情况下,采取面部激活措施,将郭兵办卡时所采集的面部特征进行技术处理,变成人脸识别信息。所以最后法院认为,动物园从照片当中提取面部识别的特征信息这一步是没有告知本人的,即在实际上扩大了信息处理的范围,不仅超出事前收集目的,也存在侵害当事人面部特征信息的可能威胁。最后,法院支持原告郭兵的诉讼请求,要求动物园删除人脸识别信息。该案例很大程度上推动了我国人脸识别技术应用在实务中的合规发展,也明确了在处理数据过程中,信息处理者要严格遵循数据主体提供数据时的目的,若中途变更目的或使用范围,应当及时取得数据主体的单独同意。这也是对于信息处理者使用数据的严格限制。
2、单独同意和明示告知
根据《个人信息保护法》第29条和《人脸识别司法解释》第2条的规定,处理人脸识别信息应当告知用户如下信息:1)个人信息处理者的名称或者姓名和联系方式;2)处理的目的、方式和个人信息的种类、保存期限;3)个人行使权利的方式和程序;4)处理敏感个人信息的必要性以及对个人权益的影响。
同时,处理人脸识别数据要取得个人单独同意。处理未成年人个人信息还要征得其父母或监护人的同意。App、小程序等在收集人脸信息时需要通过弹窗提示等方式征得用户的单独同意。
对此项合规落地方案,笔者建议:
1)单独同意:
A.关于人脸识别功能的授权,须提供单独的同意选项,以免与其他授权绑定取得数据主体授权。
B.建议提供多种身份验证的方式,当个人拒绝使用人脸识别验证时,允许个人通过其他方式进行身份验证,以降低被认定为强迫或变相强迫获取面部生物识别信息的风险。
C.如果获得长期允许(如“始终允许”、“使用APP时允许”)人脸识别的同意的,还需要向个人提供可以随时撤回此种授权的途径,且该撤回选项应当轻易被数据主体找到。
2)明示告知:
A.设置警示标志(如语音提示、警示线等),确保个人充分感知到特定区域使用了人脸识别设备,防止个人在不知情的情况下步入自动识别设备覆盖区域;
B.通过书面告知等形式,确保使用个人在步入自动识别设备覆盖区域前,获知信息处理者对面部生物识别信息的处理目的、处理方式、保存期限等信息;
C.通过书面等形式,确保取得个人的同意;
D.在行人必经的区域和通道上,应控制自动识别设备的覆盖区域,避免全覆盖;
E.应向个人提供除人脸识别外其他身份验证的方式,且在技术上保证当个人选择其他身份验证方式时不被设备自动采集人脸图像。
3、提供非人脸识别替代方案
根据《人脸识别司法解释》第4条和《人脸识别数据安全要求》的规定,信息处理者不得强迫用户使用人脸识别,要保证用户的自主选择权,同时要为用户提供非人脸识别替代方案。
笔者建议:App、小程序等运营者应该尽量提供非人脸识别替代方案,尤其不得在非需要人脸信息的界面随意收集人脸信息,更不可在非必要进行人脸识别的功能区域内,采取不同意人脸识别即不能使用该功能的设定。另外,对于小区、公司等建筑物楼宇管理者,也应杜绝强制性有且只有采取人脸识别验证方能入内的方式,在门禁卡可以实现验证身份的情况下,让数据主体有对人脸识别应用自主选择的权利,方能实现数据合规的基本需求。
4、安全保障要求
根据《人脸识别司法解释》的规定,企业需要采取应有的技术措施确保收集、存储的人脸信息安全。未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失,属于侵害自然人人格权益的行为。
笔者建议:企业在收集,存储人脸信息时,可采取以下安全措施:1)加密存储和传输人脸识别数据;
2)采用物理或逻辑隔离分类分级存储人脸识别数据和个人身份信息;
3)原则上不应存储原始人脸信息。(仅存储个人生物识别信息的摘要信息;或在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
四、人脸识别技术场景评估制度体系化建议
在数据合规体系建构过程中,评估制度的确立及其成熟度直接影响了数据合规方案最终的落地程度。人脸识别技术在被应用部署前,亦应当通过公共机构或信息处理者自评估或组织第三方评估。
1、应结合场景对人脸识别技术应用的必要性进行评估。笔者认为,只有在基于特定目的、存在充分的必要性,并采取严格保护措施的情形下,信息处理者方可收集和处理人脸识别信息。
2、围绕人脸识别技术的精准度及安全性展开评估。现实中,已有通过3D图片和视频换脸等高纬度仿真技术破解人脸识别技术分析系统的不法活动,人脸信息一旦被泄露或篡改滥用,将引发极为严重的人身财产损失、社会危害乃至国家安全风险,因此评估人脸识别技术的安全性更具有重要意义。
3、信息处理者应建立敏感个人信息数据合规安全风险常态化自评估体系。成熟的自评估体系建设是企业产品安全的内部标志,不仅对于人脸信息的收集、存储和使用,其他数据安全也应当从数据生命全周期的角度入手,形成自评估常态化机制,以便合规落到实地。
(如有需要可联系笔者,获取《人脸信息数据合规系评估清单》)
(南京大学宋忻怡博士对本文写作亦有贡献,特此致谢!)
北京市京师律师事务所律师、京师律所(全国)青年律师工作委员会秘书、数据合规法律事务部筹建人。EXIN-DPO;数据安全师;企业合规师(高级);中国中小企业协会调解员。
律所动态