| 问题 | 人脸识别在个人信息保护法下的应用 |
| 释义 | 人脸识别技术目前所呈现出的双刃剑效应尤为明显。该技术在提高社会效率、增加便利性的同时,在隐私、安全、公平等方面目前亦引发了诸多争议。 2021年7月28日,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称司法解释)正式发布,对人脸识别案件的处理方式进行了明确,司法解释也将对企业什么情况下可以使用人脸识别技术、如何使用,起到了进一步的引导作用。2021年8月20日,《个人信息保护法》公布,进一步确立了敏感个人信息的处理规则,该法于2021年11月1日正式实施。 一、处理人脸信息需有必要性 在被称为人脸识别第一案的郭兵与杭州野生动物世界有限公司服务合同纠纷一案中,法院认为:当事人在办卡时签订的是采用指纹识别方式入园的服务合同,野生动物世界收集郭兵及其妻子的人脸识别信息,超出了必要原则的要求,不具有正当性。尽管野生动物世界在涉案指纹识别的年卡办理流程中规定流程包含至年卡中心拍照,但其并未告知郭兵与其妻子拍照即已完成对人脸信息的收集及其收集目的,郭兵与其妻子同意拍照的行为,不应视为对野生动物世界通过拍照方式收集两人人脸识别信息的同意。最终,法院判令野生动物世界赔偿郭兵合同利益损失及交通费共计1038元;删除其办理指纹年卡时提交的包括照片在内的面部特征信息。 司法解释第二条第(八)款 违反合法、正当、必要原则处理人脸信息的情形应当认定属于侵害自然人人格权益的行为。 《个人信息保护法》第五条 处理个人信息应当遵循合法、正当、必要和诚信原则 因此,企业如需要进行人脸信息的收集工作,需对于自身的收集及使用场景作出相应的必要性分析。当然由于必要性这一概念本身具有一定的抽象性及模糊性,具体的裁判尺度仍需静待司法机关在后续相关案件中给出进一步的答案。 二、使用人脸信息需事先同意 《个人信息保护法》第十三条明确规定:除为履行法定职责或法定义务所必需等特定情形外,需取得个人同意,个人信息处理者方可处理个人信息。 司法解释第二条第(一)款 基于处理人脸识别的场景与技术,将人脸信息处理方式区分为了:人脸验证、人脸辨识,以及人脸分析,并强调在经营场所、公共场所违法违规处理人脸信息涉及上述任意方式的均应当认定属于侵害自然人人格权益的行为。 三、处理人脸信息必须向当事人公示、告知人脸信息的处理规则 司法解释第二条第(二)款的规定,只要涉及人脸信息的收集不但需经过当事人授权同意,还需进一步采取明示的手段将人脸信息的处理规则(包括收集、使用人脸信息的目的、方式和范围)向当事人公示或者告知。 四、应对合法收集得来的人脸信息采取必要的管理和技术保护措施确保其安全 司法解释第二条第(五)款: 未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失的应当认定属于侵害自然人人格权益的行为。 具体而言如何做到安全合规存储这类生物识别信息可以参考《网络安全法》、《信息安全技术个人信息安全规范》中的相关规定,即存储个人敏感信息时应作到: 1、应采用加密等安全措施,密码技术需要遵循密码管理的相关国家标准; 2、个人生物识别信息与个人身份信息分开存储。避免人脸信息和个人身份信息组合、汇集而形成信息组合体,降低信息泄露导致的个人风险; 3、原则上,企业不应当存储原始个人生物识别信息(如样本、图形等)。 人脸识别这一新型技术从刚出现到逐步推广至商业应用,其争议就一直不断。新技术的应用总会面临很多挑战,我们不必过度谨慎人脸信息的应用,而是建立科学的管控规则,扩大其人脸识别技术优势的同时抑制其使用风险,引导新型技术发挥其更大的作用。 该内容由 张胜云律师 和 律说律答 共创回答 |
| 随便看 |
|
法律咨询免费平台收录17839362条法律咨询问答词条,基本涵盖了全部常用法律问题的释义及解答,是法律学习及实务的有利工具。