| 问题 | 人脸识别信息处理的法律风险 |
| 释义 | 随着《中华人民共和国个人信息保护法》的出台以及《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号)的发布执行。 处理个人信息的规则有了专门法律规定。作为日常管理措施而处理人脸信息的相关单位,需注意根据国家有关个人信息的管理规定,依法合规处理人脸信息,避免涉及违反法律规定而引发纠纷和争议,甚至因此而承担法律责任。据此背景,本所律师就人脸信息处理中的法律风险分析提示如下: 一、《中华人民共和国个人信息保护法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对处理人脸信息的规定和要求概述 (一)《中华人民共和国个人信息保护法》就人脸信息的规定 1.明确目的正当性和必要性 《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)明确规定,个人信息处理者只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。该规定是对处理个人信息应当遵循合法、正当、必要和诚信原则的具体体现,同时也对处理敏感个人信息提出了更高的要求。要求目的具有正当性和必要性不仅是合法与合规,还应包括诚实信用与公开透明的要求,不得通过欺诈、误导等方式获取并处理人脸信息,实践中常见的通过欺诈、误导从而获取人脸信息的行为,如通过积分、奖励、优惠等方式欺骗、误导用户提供人脸信息。日常生活中,物业要求住户刷脸进出,公司刷脸打卡等方式可能也会因为缺乏目的的正当性和必要性而遭受挑战。 2.明确告知义务,扩张用户知情权 《个人信息保护法》确定了处理个人信息应当遵循告知同意义务,保障个人信息主体的知情权和同意权,而对于个人敏感信息,除了告知个人信息主体处理信息的规则,明示处理的目的、方式、范围等一般规则外,《个人信息保护法》对于处理个人敏感信息提出了更高的要求,即个人信息处理者处理敏感个人信息的,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。这一规定进一步落实了对于用户知情权的保障。 3.引入单独同意制度 《个人信息保护法》在告知同意规则的基础上引入了单独同意制度,结合《个人信息保护法》第二十三条、第二十五条、第二十九条的规定,个人信息处理者向其他处理者提供其处理的个人信息、公开其处理的个人信息、除用于维护公共安全的目的外在公共场所安装图像采集、个人身份识别设备,收集个人图像、身份识别信息,以及处理包括生物识别、特定身份、金融账户、行踪轨迹等在内的敏感个人信息的,应当取得个人的单独同意。即个人信息处理者应确保个人充分知情,并排除一揽子告知捆绑授权强迫或变相强迫的同意等情形,保障个人在充分知情的情况下自愿且明确地作出同意的意思表示。 (二)《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对人脸信息的特别保护规定 1.属于人脸信息收集、使用侵权行为的情形分析 根据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第二条、第四条的规定,在经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析的、未公开处理人脸信息的规则,或者未明示处理的目的、方式、范围的、基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意的、违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等、未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失,或违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息、违背公序良俗处理人脸信息以及违反合法、正当、必要原则处理人脸信息的其他情形,均属于侵犯自然人的人格权益的情形。 除此之外,当出现信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的(但是处理人脸信息属于提供产品或者服务所必需的除外)、信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的以及强迫或者变相强迫自然人同意处理其人脸信息的其他情形时,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院将不予支持,仍然面临认定为均属于侵犯自然人的人格权益的情形。 2.人脸信息收集、使用中免于承担侵权责任的情形分析 《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第五条规定:有下列情形之一,信息处理者主张其不承担民事责任的,人民法院依法予以支持:(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;(四)在自然人或者其监护人同意的范围内合理处理人脸信息的;(五)符合法律、行政法规规定的其他情形。 此外,《中华人民共和国民法典》第一千零三十六条规定:处理个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内合理实施的行为;(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。 综合《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《中华人民共和国民法典》的规定,免于承担责任的情形限于突发事件、紧急情况下为保护自然人的生命健康和财产安全所必需,为维护公共安全和公共利益合理使用,获取自然人或监护人同意几种特定情形。 3.对物业服务企业或者其他建筑物管理人收集、使用人脸信息的特别规定和要求 《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条规定:物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。物业服务企业或者其他建筑物管理人存在本规定第二条规定的情形,当事人请求物业服务企业或者其他建筑物管理人承担侵权责任的,人民法院依法予以支持。 即针对物业服务企业或者其他建筑物管理人而言,并未禁止不得采集、使用人脸识别信息并进行运用,但同时明确要求如业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。换言之,不能将人脸识别方式作为入物业服务区域的唯一验证方式,需保留和提供其他方式供选择。 二、对以处理人脸信息为管理方式单位的法律纠纷预防提示 结合前述对《中华人民共和国个人信息保护法》及《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》有关规定的分析,就从事生产经营活动的广大企业而言,在处理人脸信息作为管理员工/客户方式方面提示如下法律纠纷预防建议供参考。即: (一)在拟引入人脸识别系统进行管理前,广泛征询员工、客户意见和建议,取得其充分的理解和支持,同时起到宣传动员的作用。 (二)在采购人脸信息识别系统前,应考虑要求供应商承诺和保证生产和销售的人脸信息识别系统为合法合规产品,不得存在违反国家法律法规规定不得使用、嵌入的技术。同时,不得通过售后服务、在线服务等其他任何方式收集使用单位采集、使用的人脸信息,否则由供应商承担因此引起的全部责任和后果,并赔偿使用单位因此遭到的全部损失。 (三)需要人脸信息识别系统供应商技术支持,要求其配套提供人脸信息识别系统的技术特征、工作原理等信息以在人脸信息识别系统加装位置公示供广大员工、客户知悉。 (四)在引入人脸识别系统进行管理时,至少保留一种非涉及生物识别信息的管理方式。在遇有相对人不同意采集人脸信息的情况下,可通过不涉及生物识别信息的方式进行管理(包括但不限于二维码、门禁卡、出入证、手动登记等)。 (五)在人脸识别信息系统投入使用前,应制作具体的人脸信息采集、使用提示告知相对人,并要求相对人签字确认。即明确告知相对人,采集人脸信息背景(需求)、采集人脸信息的使用范围和目的、采集人脸信息的使用时间等具体情况,确保相对人对该等事宜充分知悉、了解和认可,并签字确认,不能通过一揽子告知同意等方式征得个人的同意,并且需要提供撤回同意的途径。处理未成年人人脸信息的,须征得监护人的单独同意。 (六)人脸信息采集后在使用过程中,亦需严格采取保护措施,防止泄露。可考虑采取的措施包括但不限于: (1)人脸信息管理系统严禁和互联网相连,如需相连则需确保已采取相应的数据安全保护措施,不会在传输过程中泄露。 (2)具体运用过程中严格按照经相对人签署确认的告知书中载明的使用目的、范围、用途、时间使用,不得扩大。 (3)对已采集的人脸信息采取安全的数据存储保护措施,不提供给任何第三方。如存储设备被盗、信息泄露等及时向公安机关报案。 (4)与本单位管理人脸信息系统的具体操作人员签订保密承诺书,由其本人承担仅仅按单位明确的目的、范围、用途、时间使用人脸信息,不以任何方式提供或泄露给任何第三方,如有违反由本人承担全部法律责任和后果。 (5)定期清理、销毁已收集的人脸信息。在特定事项完成后,及时清理、销毁已收集的人脸信息,避免存储期间管理问题因此产生法律风险。 另外,如使用管理单位自身技术条件不具备采取保护措施,可以与第三方专业机构合作,委托其对人脸信息采集、使用、保管进行专业维护,防止通过人脸识别系统所采集的人脸信息被泄露、篡改或丢失。 三、其他提示 目前国家有关个人信息安全保护的法律法规正在完善中,《中华人民共和国个人信息保护法》与《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》亦刚颁布实施,司法实践中亦尚无成熟、完善的人脸信息处理管理模式供参考,对拟采用人脸信息系统的单位而言法律风险尚存在不确定性。因此,务必高度认识该等事宜的重要性和风险性,尽量完善和采取可采取的措施进行防范,特别是与该等系统的供应商充分沟通交流,获得其对使用中风险防范措施的指导和支持。 以上分析提示仅供交流学习使用,不针对特定当事人或客户,亦不可直接作为收集、整理、使用人脸信息的依据进行转化和运营,涉及收集、整理、使用人脸信息事宜的,请务必以国家法律法规规定为准。 该内容由 张胜云律师 和 律说律答 共创回答 |
| 随便看 |
|
法律咨询免费平台收录17839362条法律咨询问答词条,基本涵盖了全部常用法律问题的释义及解答,是法律学习及实务的有利工具。