收集人脸信息场景下，企业数据合规的6项指引

2020年，南都人工智能伦理课题组发布了《人脸识别落地场景观察报告（2019年）》，报告指出，人脸识别产品或服务的厂商在宣传时常常主打“无感”，即用户没有感知。对于数据的收集者和使用者来说，“无感”也许是件好事，但对于用户来说，这无疑是一种技术不公。

在个人信息安全的角度，这不仅是技术不公的问题，“无感”收集已然违反了现行法律规定。根据《民法典》第1035条，个人信息处理应当征得个人信息主体的同意，同时信息处理的目的、方式和范围都需要得到明示。

2020年10月1日，国家标准《信息安全技术 个人信息安全规范》（“《个人信息安全规范》”）正式实施。《个人信息安全规范》为推荐性国家标准，虽然不要求企业强制施行，但其对个人信息收集、使用提出的清晰要求，对企业具有实践指导意义。

比如，其将面部识别特征等个人生物识别信息认定为个人敏感信息，要求人脸信息在收集前需要征得个人信息主体的明示同意，并且需要确保这一明示同意是在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。此外，收集、使用个人生物识别信息的目的、方式、范围以及存储时间需要单独告知。

由此可见，作为具有敏感特征的个人生物识别信息，人脸信息在被收集前需要满足“单独告知”和“明示同意”的规范要求，并且只有个人信息主体完全知情、自主给出且具体清晰的意思表示才能满足“明示同意”的标准。

在社区、交通、校园、商场、超市等人脸识别的日常场景下，大多数用户都没有签署任何形式的人脸信息收集使用协议或隐私政策。一旦发生人脸信息泄露，用户很难要求运营者提供合理的处置或救济措施，对于商家而言也存在权责不明的法律风险。

一方面，人脸信息收集使用规则的公开属于信息收集企业的法定义务，未公开规则而实施收集将会引发企业的侵权责任；另一方面，隐私政策是信息收集企业和个人信息主体的约定，通过在隐私政策里事先告知和规范人脸信息的收集使用情况，企业才能够有效地划定风险边界。

在“人脸识别第一案”中，富阳法院提出个人信息需要实现“全流程”监管。其中前端收集阶段需要遵循“合法、正当、必要”的原则并征得当事人同意；中端控制过程需要确保信息安全；末端在个人信息被侵害时，经营者需要承担采取补救措施等相应的侵权责任。

因此，虽然现行法律没有禁止消费领域的个人信息处理，但参考已有的判例态度，如果企业缺乏可行的个人信息处理监管规范，法院很有可能会作出对商家不利的判决。

人脸信息除了在采集阶段具有“无感”“隐蔽”的特征，信息后续的存储传输就更加不为人知。虽然人脸识别技术目前已被广泛用于社会各领域，但是很多收集人脸信息的企业和机构并不具备相应的信息安全保障能力，人脸信息的存储也没有设置特定的程序安全保障。一旦发生人脸信息泄露或被不当利用等安全事件，企业将面临不可估量的风险。

对于人脸信息等个人敏感信息，为了防范存储不当导致的安全风险，《个人信息安全规范》明确要求，信息控制者在存储过程中原则上不得存储原始图像，也就是应当在使用人脸信息后删除可以提取信息的原始图像。同时，存储和传输应当采用加密等安全措施，将人脸信息和个人身份信息分开存储。

实践中,企业在采集个人信息前习惯采用“一键”授权的方式，人脸信息的特殊性并未区分对待。例如，用户协议中人脸信息、指纹信息等个人敏感信息与个人身份信息往往列举在同一条款，采用一揽子捆绑授权的方式。企业没有明确说明收集个人敏感信息所实现的服务功能，也并未向用户提供拆分服务功能的选项。

《网络安全法》第41条指出,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,不得收集与其提供服务无关的个人信息。同时，人脸信息等个人敏感信息往往需要更高标准的安全保护。

首先，人脸信息的收集应在实现服务功能方面具有必要性；其次，信息收集企业应披露服务功能的具体内容和拒绝授权的直接影响；其三，产品或服务的核心功能与附加功能应当得以拆分，确保用户拒绝人脸信息授权后也能够继续使用核心功能。

可见，企业一揽子授权的操作方式很可能被认定为“过度收集”，进而违反收集、使用个人信息的法定原则。