科学技术的创新与进步催生出了“AI人脸识别技术”,数字化时代的发展使“人脸识别技术”的应用不断扩张,涉及人们生活的方方面面,解锁手机、进出小区、交通出行、生活购物、景区游玩等等。数据作为一种新型的生产要素被不断收集、使用和共享,“人脸信息”也在不断地被违规处理和滥用。
鉴于此,我国不断加大数据保护立法工作,涉及个人信息安全方面的法律陆续出台:
2017年6月1日《网络安全法》正式施行;
2021年8月1日《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》正式施行;
2021年9月1日《数据安全法》正式施行;
2021年11月1日《个人信息保护法》正式生效。
自此我国形成了以《民法典》、《国家安全法》为纲领,《网络安全法》《数据安全法》、《个人信息保护法》为分支的数据及个人信息法律保护体系。
在今年的“315”晚会中,曝光的事件中涉及一些知名品牌或机构通过安装人脸识别摄像头采集、处理消费者的人脸信息,在消费者毫不知情的情况下收集其面部信息,并通过大数据分析出消费者的年龄、身份、消费习惯等,从而进行下一步的营销分析。
目前,App用户的“人脸信息”在无形中被采集并违规处理的现象已“屡见不鲜”,对于互联网公司而言,“人脸识别”合规是现在和未来必做的事情之一,数据安全隐私以及数据合规性利用的问题不容忽视。
不能一味追求自身利益,忽略“人脸信息”收集与处理的合法合规问题,否则稍有不慎,便会侵犯消费者的个人隐私及个人合法权益,强制开发运营商对App下线处理,严重的还会受到法律的制裁。
针对个人信息不断被非法采集、利用的现实情况,深圳市率先就数据保护和利用开展地方立法,展现了深圳在个人信息保护方面的先行姿态,其做法可谓是典范。
今年6月,深圳市通过了全国首部综合性数据立法—《深圳经济特区数据条例》,坚定地向“未经个人同意收集个人数据”“获取用户权限过多、过度”等问题亮剑。
10月22日,在深圳市App个人信息共护大会上,腾讯、华为等20余家重点APP运营企业共同签署《深圳市APP个人信息保护自律承诺书》。
承诺将根据APP提供服务所必需,合规设置收集个人信息范围;严守用户个人隐私边界,保护用户公平交易权,不利用大数据“杀熟”;未经用户单独同意,不利用敏感个人信息进行线上精准营销和线下推销等。
这些做法为下一步在全国范围内推进数据保护和数据合规建设提供了指引和方向。
最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》自2021年8月1日起施行,这为消费者或用户起诉要求企业承担民事责任提供了重要依据,也进一步警示企业要重视“人脸识别”合规制度的构建与落实。
下面将通过两个案例来说明“人脸识别”合规的重要性:
01. “人脸识别第一案”
郭兵与杭州野生动物世界有限公司(以下简称野生动物世界)服务合同纠纷
a. 案情简介:
2019年4月27日,郭兵支付1360元购买野生动物世界双人年卡,留存个人身份信息,并录入指纹,确定指纹识别入园方式后,拍照入园,留下了自己的“人脸信息”。
2019年7月和10月,野生动物世界两次向郭兵发送短信,告知其野生动物世界的年卡入园识别系统更换事宜,要求激活人脸识别系统,否则将无法正常入园。
然而,郭兵认为人脸信息属于高度敏感个人隐私,不同意接受人脸识别并要求园方退卡。后野生动物世界将年卡入园方式由指纹识别调整为人脸识别,并向郭兵发送短信通知相关事宜,要求其进行人脸激活,双方协商未果,郭兵向杭州市富阳区人民法院提起诉讼。
一审:2020年11月20日,杭州市富阳区人民法院作出一审判决,判令野生动物世界赔偿郭兵合同利益损失及交通费共计1038元;判决野生动物世界删除郭兵办理指纹年卡时提交的包括照片在内的面部特征信息;驳回郭兵要求确认店堂告示、短信通知中相关内容无效等其他诉讼请求。郭兵与野生动物世界均不服,向杭州中院提起上诉。
二审:2020年12月11日,杭州中院立案受理该案,并于同年12月29日公开开庭进行审理。2021年4月9日,浙江省杭州市中级人民法院就该案依法进行了公开宣判,在原判决的基础上增加判决野生动物世界删除郭兵办理指纹年卡时提交的指纹识别信息。杭州中院认为野生动物世界欲将其已收集的照片激活处理为人脸识别信息,超出事前收集目的,违反了正当性原则,故应当删除郭兵办卡时提交的包括照片在内的面部特征信息;鉴于野生动物世界停止使用指纹识别闸机,致使原约定的入园服务方式无法实现,亦应当删除郭兵的指纹识别信息。
b. 合规建议:
本案二审判决作出时,我国的《数据安全法》和《个人信息保护法》尚未成立、生效,但该案的发生已充分说明实践中,已经有很多个人信息被违法收集并未经用户或消费者同意便被滥用的情况。所以给到企业三点建议:
首先,企业在缔结合同需要收集、使用个人信息,尤其是收集生物识别信息时,要从合同隐私保护方面和个人信息处理方面进行合法约定,告知用户,并让用户拥有知情权和选择权;
其次,遵循“用户同意”“透明性”“合法、正当、必要”等原则,根据自身的经营及产品特点,制定、完善、更新数据保护管理制度,建立健全问责制度;
最后,从组织机构、技术力量、人员等方面投入,将数据合规贯穿于日常经营活动中,并确保第三方服务提供者、商业合作者在使用人脸识别技术或处理数据时做到合规。
02. “不刷脸不让进小区”案
a. 案情简介:
2021年6月底,张某居住的苏州市吴中区某大厦物业公司在电梯内张贴通知,告知业主要把小区的门禁系统改为人脸识别系统,并限期要求业主带上身份证、户口簿、房产证等材料到物业处办理人脸和身份信息录入,否则将无法出入小区。
张某认为录入自己的人脸信息存在个人隐私泄露风险,一直未到物业处录入人脸信息,导致其每次出入小区只能跟随其他业主通行,为其生活带来了极大不便。后张某和物业公司多次协商未果,于2021年7月29日起诉至法院,要求物业公司为其通行提供除刷脸之外的其他非生物信息验证方式。
法院审理:该案承办法官到小区走访后,依据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条的规定:“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。”,向物业公司进行了法律解释说明,告知公司违反了“告知同意”原则,后物业公司认识到了自身存在的问题,立即专门在人脸识别系统上增设了刷卡功能,并为张某办理了门禁卡交付张某,张某便撤诉,该案终结。
b. 合规建议:
本案是2021年8月1日《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》正式施行后,适用该规定审理的第一个案件,因此该案带来了警示和制约作用。
企业必须依据法律的规定合法、正当地收集、处理“人脸信息”,在科技不断进步、更好服务生活的同时,也要遵循个人信息“告知同意”原则,尊重个人的意愿和选择,确保个人隐私安全,在利用新技术的同时也要尊重个人的人格权益,要具备基本的价值导向,在追求数据商业价值和个人人格权益保护上做到利益平衡。
通过上述案例分析,针对企业进行“人脸识别”合规建设,笔者提出以下「三步走」建议:
第一,遵循原则,保障安全。
采集、储存、使用、处理人脸信息要遵循目的明确原则、最小必要原则、公开透明原则、选择同意原则、主体参与原则等。
第二,合法收集,合理使用。
建议企业对《用户协议》的内容进行必要调整,除了将个人信息的使用处理人身份、目的、方式、范围等通用事项告知外,还要将处理人脸识别信息的必要性和对个人的影响等内容重点标注并告知。
在隐私政策中要对是否单独同意将个人信息提供给他人进行列明,避免存在无效的“格式条款”。
在存储中要加密存储人脸信息,防止数据被窃;限制人脸数据访问人员的数量和级别,避免内部人员窃取数据;提高技术手段,采取数据备份及保密措施。
第三,内外制约,防控风险。
在收集数据之前可以建立“数据安全影响评估机制”,对使用数据的必要性及使用数据可能产生的风险进行评估。
在企业经营过程中,可以制作《人脸识别技术合规自查清单》并定期开展自查工作,分配到各部门各岗位,全面准确梳理运营过程中的人脸识别情形和风险,分析自查结果,采取定期培训、设置内部合规团队或专门部门、组建内部合规领导小组、构建问责机制等措施避免或化解合规风险。
针对外部合作者或第三方机构,告知其企业自身的合规理念及合规要求,并在合作协议中明确双方的权利和责任,规避自身合规风险。
数据爆炸时代,互联网公司如何让用户放心「刷脸」?
作者:郭闪闪来源:iLaw合规

科学技术的创新与进步催生出了“AI人脸识别技术”,数字化时代的发展使“人脸识别技术”的应用不断扩张,涉及人们生活的方方面面,解锁手机、进出小区、交通出行、生活购物、景区游玩等等。