今年7月,最高人民法院召开新闻发布会,发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《人脸识别技术司法解释》),对滥用人脸识别问题作出了司法统一规定。本文就该规定的重点条款进行解读,并结合实践案例就相关问题提出合规提示。
“第一条因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件,适用本规定。人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。本规定所称人脸信息属于民法典第一千零三十四条规定的‘生物识别信息’。”
解读:根据全国信息安全标准化技术委员会发布的国家标准《信息安全技术人脸识别数据安全要求》(征求意见稿)(以下简称《人脸识别数据安全要求》)的规定,人脸图像处理主要有三类场景,包括:
A)人脸验证:将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对(1:1比对),以确认特定自然人是否为其所声明的身份。典型应用包括机场、火车站的人证比对,移动智能冬端的人脸解锁功能等。
B)人脸辨识:将采集的人脸识别数据与己存储的指定范围内的人脸识别数据进行比对(1:N比对),以识别特定自然人。典型应用包括公园入园、居民小区门禁等。
C)人脸分析:不开展人脸验证或人脸辨识,仅对采集的人脸图像进行统计、检测或特征分析。典型应用包括公共场所人流量统计、体温检测、图片美化等。
涉及上述三类场景的人脸信息处理活动所引起的民事案件,适用本规定。
一般的视频监控是否属于人脸信息处理活动?我们认为,一般的视频监控的基本功能为录像功能,如未在视频监控中嵌入涉及人脸验证、人脸辨识、人脸分析模块,则不涉及人脸信息处理活动。
《人脸识别技术司法解释》第二条规定了八种人脸信息处理侵害自然人人格权益的情形,以下就四种常见违规情形进行合规提示:
“(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;”
提示:参考《人脸识别数据安全要求》的规定,在经营场所、公共场所使用人脸识别技术时,应满足以下要求:
A)应遵循《网络数据活动安全要求》、《生物特征识别信息保护基本要求》的要求。
B)处理人脸识别数据时应遵循最小必要原则。
C)应采取安全措施确保数据主体权利,包括但不限于获取人脸识别数据使用情况、撤回授权、注消账号、投诉、获得及时响应等。
D)不应收集末授权自然人的人脸图像。
E)应具备与其所处理人脸识别数据的数量规模、处理方式等相适应的数据安全防护和个人信息保护能力。
F)开展人脸验证或人脸辨识时,应至少满足以下要求:
1)非人脸识别方式安全性或便捷性显著低于人脸识别方式。
2)原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。
3)应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用。
4)应提供安全措施保障数据主体的知情同意权。
5)人脸识别数据不应用于除身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。
“(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;”
提示:在移动APP使用场景中,人脸信息处理活动往往涉及相机权限。因此,APP运营主体应当在隐私政策中列举说明获取相机权限的目的、方式、范围,并同时明示处理人脸信息的规则或者未明示处理的目的、方式、范围。在经营场所、公共场所场景中,人脸信息处理者在收集人脸信息前应以显著方式(例如在设备屏幕上设置点击确认、书面告示)公开相关规则。
“(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;”
提示:告知不等于同意。
相关案例:宁波市市场监督管理局在甬市监处〔〕18号行政处罚决定中认为:当事人虽然在其售楼处入口贴了标识信息“您已进入视频监控区域”、“本售楼处安装有人脸识别系统,用于进行分销带客识别,我们承诺保护您的人脸等信息安全”,但该告知仅明示收集、使用信息的目的、方式,并未明示收集、使用信息的范围,且该告知并非征求同意的过程,并未实际获得消费者的同意。因此认定泛海告示侵害消费者依法得到保护的个人信息权利。
“(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;”
提示:一般情况下,除非数据主体明确同意,不应存储人脸信息。获得同意后,在存储环节,信息处理者应将原始人脸信息加密存储,并其他个人隐私进行安全隔离。在使用环节,某些中间环节不得归集或截留原始人脸信息,实现端到端的人脸信息保护。
相关案例:淮安市公安局淮安分局在淮安公(顺)行罚决字〔〕号行政处罚决定中认为:淮安市群富鞋业有限公司安装的上班打卡系统为人脸识别系统,系统采集的人脸信息、住户姓名、手机号码等个人信息仅保存在该公司连接互联网的台式电脑内,未采取必要的管理和技术保护措施确保其安全,导致公司员工信息存在泄漏、丢失的安全隐患。
“第十条物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”
提示一:物业中人脸识别技术的应用首先应通过业主民主程序进行决定。
实践中,成都临江社区为安装智能人脸识别门禁系统采取了以下程序:(1)社区于年4月18日召开居民代表听证会,经讨论居民代表一致同意安装智能人脸识别门禁系统。(2)年4月20日,临江社区与第三方公司成都亲邻科技有限公司签订了合作协议,在协议条款中对居民信息保密做了要求。(3)将该公司信息安全等级(三级)在院落进行了公示。(详见: