人脸识别的商用影响与合规建议

人脸识别的商用影响与合规建议 

张晓宇  赵佳  缪冬辰 

在当前的生物识别技术中，市场较为主流的技术主要有人脸识别、指纹识别、虹膜识别以及语言识别四类。其中，人脸识别技术（Facial Recognition Technology，简称为 FRT）作为人工智能的一种类型化应用，因其采集成本低、识别效率高，且具有不可更替性等特征已经被广泛应用于公共场所与商业场景中。

PART1--人脸识别技术的主要商用场景

一、人脸验证

将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对（1：1比对），以确认特定自然人是否为其所声明的身份（证明“我是我”）。典型应用场景如：机场、火车站的检票口。在此场景下，人脸识别设备会将实时抓取的人脸信息与身份证所关联的人脸信息进行比对，以识别身份证所关联的身份是否与进站人一致。

二、人脸识别

将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行比对（1：N比对），以识别特定自然人。如公司的考勤机或居民小区、写字楼的物业门禁会将实时获取的人脸信息与存储在库中的人脸图片进行比对后，识别“刷脸”人员的身份。

三、人脸分析

不开展人脸验证或人脸辨识，仅对采集的人脸图像进行统计、检测或特征分析。典型如手机软件中的AI换脸功能及智能汽车摄像头监测驾驶员是否疲劳驾驶等。

PART2--人脸识别技术商用场景下的法律风险

从国内外案例来看，人脸识别技术被广泛用于商用场景是在于掌握用户个人信息以实现精准营销等商业化目的。通过人脸识别技术，商家可以给每个顾客生产独有的“Face ID”，这样商家就更容易分析和判断客户需求。根据《信息安全技术个人信息安全规范》，面部特征信息属于个人独有的生物识别信息，具备相当的敏感性，一旦泄露将严重威胁用户的财产安全、隐私安全等，再加上技术的发展已将人脸识别设备发展到让人“无感”的程度，社会公众对人脸数据保护的关注度明显提升。从杭州动物园发生的“人脸识别第一案”到3.15晚会曝光企业私自采集消费者人脸信息用于客流分析，公众对人脸识别技术滥用的担心不断增加，强化对人脸识别信息保护的呼声日益高涨。

2020-2021年间，我国相继颁布了《民法典》、《数据安全法》和《个人信息保护法》，同《网络安全法》、《消费者权益保护法》构建起了我国数据安全与个人信息保护的基本框架。同时，最高人民法院也围绕处理人脸信息所产生的民事侵权、违约纠纷等问题出台了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（下称“司法解释”）并于2021年8月1日开始正式实施。以下根据现有法律框架，对人脸识别技术运用过程中的法律风险进行简要分析：

一、民事责任

司法解释明确将“人脸信息”归属于《民法典》第1034条规定的“生物识别信息”，系“个人信息”的重要类别之一。同时，人脸图像还涉及到自然人的隐私权和肖像权，都属于《民法典》第四编“人格权”的重要组成部分，受到《民法典》的保护。因此，违规或违约处理人脸信息会侵害到自然人的人格权益，将面临承担赔偿损失、恢复名誉、消除影响等民事责任。对于企业而言，该损害后果甚至是品牌声誉及经济利益的严重受损。

在2021年杭州市中级人民法院裁判的郭某诉杭州野生动物世界服务合同纠纷一案中，野生动物世界在为郭某办理指纹年卡时收集了郭某指纹并拍摄了其人脸照片，后动物世界在未与郭某进行任何协商，亦未征得其同意的情况下擅自将入园方式由指纹识别变更为人脸识别，郭某因此将动物世界诉至法院。法院经审理认为，虽然郭某在办理指纹年卡时拍摄了人像照片，但不应视为其授权同意野生动物世界将照片用于人脸识别。现动物世界欲利用收集的照片扩大信息处理范围，超出事前收集目的，违反了正当性原则，同时还存在侵害郭某面部特征信息之人格利益的可能与危险，故应当删除郭某办卡时提交的包括照片在内的面部特征信息。

根据《消费者权益保护法》第二十九条第一款、《网络安全法》第四十一条第一款的规定，明确经营者只有在消费者知情同意的前提下方能收集、使用消费者的个人信息，且须遵循合法、正当、必要原则。

二、行政责任

在行政处罚层面，如果企业未经同意就处理个人信息，侵害消费者的个人信息权益，可能会面临相关部门给予的警告、责令改正、罚款、没收违法所得、责令停业整顿、吊销营业执照等行政处罚；构成违反治安管理行为的，依法给予治安管理处罚。同时，《个人信息保护法》规定，在公共场所安装人脸图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。此外，《数据安全法》、《网络安全法》及《消费者权益保护法》也对经营者收集和使用消费者信息及其安全保障义务作了明确规定。

三、刑事责任

人脸识别技术运用主体的技术条件和管理水平良莠不齐，极易导致人脸识别技术被滥用。当人脸识别信息泄露时，他人可利用此类信息从事人身和财产犯罪，导致信息所有人的财产权乃至人身权被侵害。司法实践中由此滋生的犯罪主要有盗窃罪、诈骗罪、绑架罪、非法侵入公民住宅罪、强制猥亵罪等，具有较大的社会危害性。虽然我国刑法体系缺乏专门针对人脸识别信息及生物识别信息的规定，但2017年最高人民法院及最高人民检察院联合制定了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对侵犯公民个人信息罪的构成要件和量刑标准等方面进行了具体的解释。如果企业或个人违反国家有关规定，非法获取、出售、提供人脸识别信息将触及侵犯公民个人信息罪等刑法罪名。

PART3--人脸识别商用场景下的合规建议

对于案涉消费领域的个人信息处理问题，应当按照“合法、正当、必要”三原则和“当事人同意”的规则来审查经营者收集、使用消费者个人信息行为的适法性。虽然法律并未对“合法、正当、必要”三原则的内涵作出明确界定，但《个人信息保护法》对人脸识别信息的处理行为提出了以下四点要求：第一，确立“特定目的”和“充分必要”处理原则；第二，扩大“知情同意规则”中告知内容的范围；第三，明确“知情同意规则”中同意的形式；第四，进行事前个人信息保护影响评估。鉴于此，我们整理了如下合规要点以供参考：

一、信息收集环节取得用户同意

根据《个人信息保护法》及司法解释对“取得同意”的要求，信息处理者，尤其是APP在获取用户授权时，应避免与其他授权绑定取得对人脸识别的授权（典型如一揽子同意的权限处理方式）。关于人脸识别的功能授权应当提供单独的同意选项，并以显著易懂的方式清晰、准确、完整地告知授权人其个人信息的处理目的、处理方式、保存期限等，征得用户的明示同意。

同时，在信息收集阶段需注意赋予个人选择权，不可强制个人同意收集其个人生物特征信息，更不能将人脸识别作为唯一的验证方式。对于需要长期获得人脸识别授权同意的（如“始终允许”选项），还应提供改变此种授权的具体操作路径。

企业应当从必要性角度出发，结合处理的场景、目的、方式和范围，来综合判定人脸识别信息的采集是否具有必要性，是否满足最小范围原则。对于必须要采集人脸识别信息的，还应当充分告知采集的必要性及对个人权益的影响。

在收集未满14周岁未成年人的个人信息前，必须征得监护人的同意，且对监护人身份应当有适当的核验措施。

二、主动采取安全保护措施

对于需要储存人脸信息的运营者，应针对不同层级的数据采用不同级别的安全措施，如加密贮存和传输人脸信息，并采用物理或逻辑隔离的方式将人脸信息和普通身份信息进行区分。

建立主动删除规则，对于不应储存的原始人脸图像应当在完成验证或辨识后立即进行删除，防止信息泄露或被用于其他目的。《个人信息保护法》对于个人信息的保存期限仅规定“应当是实现处理目的所必要的最短时间”。在实际操作过程中，当使用目的完成后，应当及时对该信息进行删除或匿名化处理。

三、处理人脸信息时应注意“留痕”

由于司法解释对处理人脸信息所引发的违约、侵权责任对企业提出了更高的举证责任要求，因此如果企业无法举证证明其在处理个人信息上满足相应法律法规，很有可能承担违约责任或侵权责任。故企业在处理人脸信息时，应当就已经向消费者公开处理信息的规则明示其处理信息的目的、方式和范围，同时对获得消费者授权同意等事项留存足够的书面证据。比如，当企业安装了自动采集人脸图像的设备后，可在该区域设置警示标志，确保消费者能充分感知到在该特定区域使用了人脸识别设备，防止个人在不知情的情况下步入该覆盖区域；通过书面告知的形式告知消费者商家采集人脸信息的处理目的、处理方式、保存期限等。

四、关注立法与行业监管动态

2018年5月，经过多年讨论的欧盟《一般数据保护条例》（GDPR）开始生效。这一条例被称为人类历史上第一部“数据宪法”，规定包括“脸纹”在内的生物信息属于其所有者。同时规定了行使“删除权”（“被遗忘权”）的法律要件及限制条件。世界各国有关于个人信息数据保护的法律法规陆续出台，敏感个人信息保护领域也进入了一个强监管的状态。因此，企业需积极应对相关主管部门对人脸识别技术应用有关规范的出台情况，及时调整自身处理人脸识别信息的制度规范，促进数字经济持续、健康、有序地发展。

五、建立数据安全合规体系

合规的本质是风险防控，它是从重惩罚向重预防转变的功能性体现，将数据保护合规融入企业的制度体系可以积极地防控法律风险，及时纠正存在法律漏洞的业务行为，进而预防对人脸识别信息的侵害。

耀时所为客户提供专业的合规产品服务，包含“数据合规法律尽职调查、数据合规管理架构搭建、商业数据合规及合规争议解决”等多项服务内容，还可根据客户需求进行个性化的法律服务定制。为“中国企业走向世界，全球企业走进中国”贡献耀时力量。