2021年7月27日,最高人民法院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《规定》”或“人脸识别司法解释”)。
《规定》以16个条文对使用人脸识别技术和处理人脸信息的案件,在侵权行为、合同规则、举证责任等方面,做出了明确回应。人脸识别司法解释的发布,意味着企业在使用人脸识别技术时,应更充分的评估相关业务场景的合规性。尤其对于主营业务涉及运营App的企业而言,嵌入人脸识别功能,进而采集用户人脸信息的场景越来越广泛。基于此,本文拟聚焦于APP场景下使用人脸识别技术的合规问题,从企业运营App在处理人脸信息中的常见违规场景,以及对应的合规指引两个方面展开。
一
App处理人脸信息的常见违规场景
在《规定》出台之前,法律对人脸信息多是通过《民法典》《消费者权益保护法》等进行概括保护。《规定》主要从人格权和侵权责任角度明确了滥用人脸识别技术处理人脸信息行为的性质和责任,明确列举了侵害自然人人格权益的行为。
实务中,用户经常在使用APP时被要求“一揽子授权”以取得识别权限。在个人信息处理领域,“告知—同意”是数据处理主要的合法性基础。但人脸信息作为生物识别信息,其保护程度相对于一般个人信息更高。《规定》第二条、第四条均对使用人脸识别技术时,“同意”规则的建立,提出了明确的合规要求。结合《规定》,具体到App处理人脸信息的场景,常见的合规风险如下。
(一)未充分评估使用人脸识别技术的必要性
规制人脸识别技术的滥用,是本次制定出台《规定》的背景。实务中,企业运营App采用人脸识别技术,往往主要考虑产品功能的实现或业务场景的需要,比如使用人脸识别技术对App中主播重复刷量的行为去重和惩治。单纯从业务逻辑判断,该等做法无可厚非。但具体到使用人脸识别技术的合规要求,企业必须慎重评估是否符合最小必要原则。
如果App中使用人脸识别技术或处理人脸信息的功能,采用其他方式可以替代,则收集的必要性存疑。例如,用户身份验证可以通过输入密码、邮箱确认、指纹识别、人脸识别等多种方式实现,其中人脸识别所需的个人信息最为敏感,企业需要评估这种验证方式与所提供服务相比是否具有必要性。
实务中,APP的用户协议往往未将所收集的个人信息进行清晰分类,而是将人脸信息、指纹信息等个人敏感信息与一般个人信息列举在同一条款,通过一揽子授权的方式获取用户的个人信息。如果用户拒绝授权,则不能使用APP的所有功能。
对此,《规定》第2条第3项明确了“基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意”,属于侵权行为。具体而言,如果企业单独获得用户个人信息时,未能区分产品或服务类型,未能分别征得个人信息主体单独同意,而是采用捆绑方式要求个人信息主体一次性接受或拒绝所有可能收集的个人信息,未单独告知对个人生物识别信息的目的、方式、范围以及存储时间,该等人脸信息授权因违背单独同意规则面临侵害自然人人格权益的法律风险。
2. 明示的同意
明示的同意是指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的表达,或是个人自主作出肯定性动作,同意企业对其个人信息进行特定处理。根据《民法典》第1035条,个人信息处理应当征得个人信息主体的同意,同时信息处理的目的、方式和范围都应当进行明示。
但是,用户明示同意的前提是企业提前告知。人脸信息作为个人敏感信息,当企业在收集时、收集使用目的变更时、对外提供人脸信息时,需要主动向用户履行告知义务。告知的内容应结合具体的使用场景,包括反映产品或服务真实、准确的个人信息收集使用范围、目的和期限。
关于“明示”在App中的具体实现,《APP 收集使用个人信息最小必要评估规范人脸信息》提出了具有可操作性的建议:“收集人脸信息应以弹窗、勾选、视频、提示音等强化明示的方式向人脸信息主体告知,并征得人脸信息主体的授权同意。”因此,企业需要个人信息主体主动勾选、主动填写、主动点击“同意”“注册”等明示同意。同时,在获取用户同意后,企业也应该为用户提供撤回同意的选项。
3. 自愿的同意
对于企业普遍采取“与其他授权捆绑”、“不点击同意就不提供服务”等方式强迫或者变相强迫用户同意获取其人脸信息的,《规定》第4条对人脸信息同意的取得采取从严认定的思路。对企业就人脸信息不属于提供产品或者服务所必需、一揽子授权或强迫或者变相强迫获取人脸信息的情形,《规定》第4条进行了否定。同时,《网络安全法》第41条指出:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,不得收集与其提供服务无关的个人信息。”人民法院不予支持。
基于上述法律规范,若企业在用户协议中对人脸信息的特殊性未进行区分,不能披露服务功能的具体内容和拒绝授权的直接影响,则一揽子授权很可能被认定为“过度收集”。根据《规定》,用户和有关组织可能会提起侵权、违约和公益诉讼。同时,根据《网络安全法》第64条的规定,企业可能会面临行政机关的行政处罚。
(三)以格式合同排除用户人脸信息的主要权利
根据个人信息安全的最小必要原则,收集方面,企业在使用人脸识别技术、筹备人脸信息收集前必须明确人脸信息对于功能实现的必要性。对此,在App设计产品或服务的功能时,应事先厘清预期功能和人脸信息之间的因果关系,如果可以通过其他方式代替人脸识别,那么收集的必要性存疑。如果用户身份验证可以通过输入密码、邮箱确认、指纹识别、人脸识别等多种方式实现,那么便不需要获得用户的人脸信息。
期限方面,企业在获得用户人脸信息完成使用的目的所必需的最短时间后,应对个人信息进行删除或匿名化处理。目的方面,人脸信息使用的目的、方式和范围也不应超过用户所同意授权的范围。
具体而言,若未获得用户的明示同意,或是在同意时未能明确告知用户所拥有的删除、撤回、注销、投诉等方式,以及不能以便捷操作行使上述权利的,相关条款可能被法院认定为无效。根据《规定》第11条:“信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。”
(四)未采取必要措施致使人脸信息泄露
基于APP用户协议一揽子授权,企业往往能够较为轻易地获取用户的身份信息,这些信息包括了个人行踪轨迹信息、家庭住址信息、征信信息、财产信息、住宿信息、保险信息、通信记录和面部信息。而虚拟货币的兴起,贩卖信息买卖形成了一条灰色产业链,使得众多主体可以通过暗网等匿名网络社交平台进行数据买卖。
《网络安全法》第40条规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”如果企业在经营过程中未能使用必要的管理和技术措施规范内部人脸信息处理的活动,未能落实企业工作人员的保密义务,因故意或过失导致用户人脸信息大规模泄露的,面临承担刑事处罚的风险。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第9条的规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”
二
App使用人脸识别技术的合规建议
鉴于上述高频违规风险,根据《民法典》《网络安全法》以及《个人信息保护法(二审稿)》的要求,结合《信息安全技术人脸识别数据安全要求(征求意见稿)》和《信息安全技术个人信息安全规范》,我们对企业面临收集人脸信息的场景,人脸信息的收集、保存、使用和内控四个方面,提出以下具体的合规建议:
(一)收集阶段
人脸信息的收集合规主要包括两方面要点。其一,人脸信息收集最小必要原则的落实。在使用人脸识别技术、筹备人脸信息收集前必须明确人脸信息对于功能实现的必要性,即手段与目的之间具有直接关联。同时在“量”的维度上要实现信息获取频次合理和功能实现选项合理。
信息获取频次合理是指,对与人脸信息通知提示频率应是实现产品或服务的业务功能所必需的最低频率,在个人信息主体不授权同意使用、关闭或退出特定业务功能的情形下,不应频繁征求个人信息主体的授权同意。功能实现选项合理则是指,不应通过捆绑产品或服务各项业务功能的方式,迫使个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。
其二,人脸信息收集知情同意原则的落实。人脸信息作为自然人的敏感信息,在获取之前应征得个人信息主体的明示同意。就获取的手段而言,不应以欺诈、诱骗、误导、隐瞒产品或服务范围等方式获得个人信息主体的同意,应向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,明确告知个人信息主体已收集人脸信息的查询、删除、注销账户、撤回授权同意的方法,确保单独征得个人信息主体的明示同意是其在完全知情的基础上自主明确的意愿表示。
(二)存储阶段
在存储阶段,人脸信息处理合规主要在期限和技术规范两个层面。针对个人信息存储的期限,最小化是指实现个人信息主体授权使用的目的所必需的最短时间,超出上述个人信息存储期限后,应对个人信息进行删除或匿名化处理。针对人脸信息存储的技术规范,一是需要分类储存,人脸信息作为生物敏感信息,应与个人身份信息分开储存,二是在使用面部识别、认证等功能后企业应删除可提取个人生物识别信息的原始信息,仅存储个人生物识别信息的摘要信息。
(三)使用阶段
在使用阶段,人脸信息处理合规重点关注基于目的实现的使用和内部工作人员基于工作职能实现的使用。具体而言,企业在使用个人信息时,不应超出与收集个人信息时所声称目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。
当App对人脸信息发生访问、修改、删除等行为时,应在公司职能角色权限控制方面首先进行安排,然后根据业务流程的需求触发操作,同时将历次处理信息均记录在册。
(四)内控保障
内控保障方面,建议企业运营App做好三个方面的内容:
一是制定个人信息安全事件处置方案,对人脸信息安全事件应急作出预案。应急预案具体在以下方面做出安排:
1、安全事件的内容和影响;
2、已采取或将要采取的处置措施;
3、个人信息主体自主防范和降低风险的建议;
4、针对个人信息主体提供的补救措施;
二是建立企业内部人脸信息处理活动记录档案。记录的内容可包括根据业务功能和授权情况区分个人信息的处理目的、使用场景,落实必要的管理和技术措施,以防止人脸信息的泄漏、损毁、丢失、篡改。
三是重视内部数据合规定期培训。企业应与从事人脸信息处理岗位上的工作人员签署保密协议,在其调离岗位或终止劳动合同时,继续履行保密义务。就App涉及人脸信息处理的,应建立相应的内部制度,在个人信息保护新规政策发生变化时,对岗位上的相关人员开展专业培训和考核。
《规定》的出台回应了社会和民众对现实问题的关切。正如最高人民法院研究室副主任郭锋先生在《规定》出台的新闻发布会上所言:“人脸信息具有唯一性和不可更改性,我们可以换手机、可以换密码、可以换住址,但是我们没法‘换脸’。人脸信息一旦泄露,侵权影响,包括技术歧视或算法偏见所导致的不公平待遇甚至可能伴随其一生。”尽管人脸识别司法解释是针对民事纠纷,但仍然会成为企业进一步细化的合规义务。企业应当基于《规定》最新要求,重新审视目前开展的相关业务,以积极姿态面对科技发展和新规落地所带来的风险和挑战。
声明:本微信文章仅为交流探讨之目的,不得视为广悦数据合规研究院或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流,可以通过电子邮件与我们联系,E-mail:hlw@wjngh.cn 。
