一、《个保法》概述及变化

(一)《个保法》概述

随着大数据、人工智能等互联网新技术的广泛使用,隐私保护和个人信息安全问题也日益突出,个人信息保护法的立法备受瞩目。2020年10月21日,《个人信息保护法(草案)》揭开面纱,并于2021年4月29日发布二审稿征求意见。2021年8月20日,《个人信息保护法》(下称“《个保法》”)由全国人大常委会正式通过并发布,该法将自2021年11月1日起正式实施

《个保法》是我国注重个人信息权益保护的重要立法,同时也是我国重视数字经济健康发展的重要举措。一方面,《个保法》对个人信息区分保护一般个人信息和敏感个人信息体现了“风险区分”的规制路径。另一方面,《个保法》对个人信息流动的必要性予以认可,并将个人信息跨境提供单独成章,体现了我国个人信息保护领域的积极态势和未来的立法趋势。

(二)《个保法》的重要看点

正式颁布的《个保法》在二审稿的基础上具体进行了六项修改,包括:明确依据宪法制定《个保法》、完善个人信息处理规则、保障不满十四周岁未成年人个人信息权益、完善个人信息跨境提供规则、增加个人信息可携带权,以及完善个人信息投诉举报工作机制及违法处理个人信息涉嫌犯罪案件的移送机制。

值得关注的是,随着人工智能应用在各领域的加速落地,社会各界对用户画像、算法推荐等新技术新应用高度关注,《个保法》在完善个人信息处理规则方面,特别对应用程序(APP)过度收集个人信息、“大数据杀熟”等进行有针对性规范。其中明确要求个人信息处理者保证自动化决策的透明度和结果的公平、公正,在事前进行个人信息保护影响评估,并赋予个人包括选择权、知情权在内的更充分的权利。

二、人脸信息目前的法律规制

(一)人脸信息

在人工智能赋能深度广度不断加强的科技浪潮下,人脸识别技术日益成熟,商业化进程不断加速,在各个领域纷纷落地。人脸作为人类社会相互识别和验证的通用身份标识符[1],具有直接识别性、独特性、唯一性、易获取性等特点。关于人脸信息的定义,《个保法》与《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称“《人脸识别司法解释》”)均指引其属于《民法典》规定的“生物识别信息”。结合《个保法》对敏感个人信息的规定,以及国家标准《信息安全技术 个人信息安全规范》《信息安全技术 人脸识别数据安全要求(征求意见稿)》的相关规定,人脸信息系敏感个人信息,需要遵循敏感个人信息的特殊规则进行保护、处理。

图1:人脸信息图示

(二)人脸信息处理

人脸信息处理主要包括人脸识别和人脸分析等。

人脸识别的定义可参考国家标准《信息安全技术 远程人脸识别技术要求》第3.1.2条,是指以人面部特征作为识别个体身份的一种个体生物特征识别方法。人脸识别可分为人脸验证和人脸辨识。人脸验证是指对真实身份的认证(1:1比对),例如刷脸支付应用等。人脸辨识是指在指定范围内进行搜索比对(1:N比对),例如企业刷脸门禁应用等。

人脸分析即针对人脸信息进行属性分析。商业场景中不乏通过对人脸信息颜值、微笑值、年龄、性别等属性进行分析,进而提供娱乐互动营销、门店用户画像、精准广告投放等情形,以大幅提升用户体验,刺激消费。

(三)《个保法》出台对人脸信息规制亮点

亮点一:人脸识别技术应用需满足“特定目的”及“充分必要”

在《个保法》颁布之前,《人脸识别司法解释》中已经明确物业、建筑物管理人不得仅以人脸识别作为唯一门禁方式,企业亦不得以捆绑、强迫形式获得消费者同意人脸信息处理。

《个保法》明确要求个人信息处理者在处理敏感个人信息前需存在“特定的目的”及“充分的必要性”。该条是对处理个人信息遵循“合法、正当、必要”的具体体现,也对处理敏感个人信息提出更高的要求。[2]目的正当性和必要性不仅仅是指合法合规,还蕴含着符合目的限制、诚实信用和公开透明的要求。这样一来,对零售商要求刷脸进出或支付、小区要求刷脸进出、楼宇闸机要求刷脸登机等场景将可能因缺乏目的正当性和必要性而遭受挑战。

亮点二:单独同意制度

《个保法》在“告知+同意”规则的基础上,引入了“单独同意”的要求,其中尚未解释“单独同意”的具体含义,只规定了需要“单独同意”的多个具体情形,包括:处理敏感个人信息、公开或向他人提供个人信息(包括在公共场所安装图像采集和个人身份识别设备收集的个人信息),以及向境外提供个人信息。《人脸识别司法解释》中也明确了未征得单独同意处理人脸信息系侵害人格权益的行为。

亮点三:扩张用户知情权,确立有限制的解释权

除告知个人信息处理信息的规则,明示处理的目的、方式、范围等一般规则外,《个保法》对敏感个人信息提出了更高的要求,即在处理敏感个人信息时,信息处理者还应当告知个人处理敏感个人信息的必要性以及对个人的影响。此举进一步夯实了对用户知情权的保障。

此外,《个保法》对于以“自动化决策”方式作出对个人权益有重大影响的决定,个人有权要求处理者予以说明。自此,《个保法》在一定程度上扩张了用户的知情权,确立了有限制的“自动化决策解释权”,落实了公开透明原则,更加充分地保障用户知情权。[3]据此,对于通过人脸分析进行的用户画像、精准投放的“自动化决策”,需满足保障用户权利的要求。

亮点四:加强限制图像采集、个人身份识信息的使用

《个保法》在三次审议中不断强化针对公共场所安装图像采集、个人身份识别设备的要求。相较于二审稿,《个保法》将所收集的个人图像、身份识别信息的禁止性规定由“不得公开或者向他人提供”修改为“不得用于其他目的”,进一步限缩了图像采集、个人身份识别的处理范围。另外,该法条中将连接限制个人图像、身份识别信息使用的原则性规定与个人单独同意的例外性规定之间的“逗号”改成“分号”,一定程度上消除了二审稿中个人单独同意例外使用目的的歧义。

三、人脸信息保护困境与构建人脸信息保护体系初探

(一) 结合技术划分具体场景

数字经济发展过程中,对以人脸识别为代表的数字身份认证技术存在广泛需求,实际业务的多样性致使其具体应用场景呈现纷繁复杂的特点。如何在各种复杂场景下具体落实“告知-同意”“单独同意”等制度成为当前重要挑战,粗糙的场景划分方式已经无法满足实际需要。然而,场景划分的困境在于对技术设计的严重依赖,换言之,以个人信息为核心的场景区分传统方法忽视了“技术在先”的逻辑。[4]据此,结合企业运用的具体技术,通过受控与非受控、线上线下等划分方式,探索对场景划分的具体方式对于落实人脸信息保护的意义重大。

(二)探索个人信息保护影响评估机制

《个保法》明确处理包括人脸信息在内的敏感个人信息以及进行“自动化决策”应当进行事前个人信息保护影响评估。无论是处理个人信息的合法、正当、必要的基础性原则,还是诚信、目的明确最小化处理、公开透明等具体原则,都应当在生物识别信息处理中结合使用,“知情-同意”原则的适用应以基础原则适用为限制。[5]据此,在知情同意之前,贯彻具体原则必须有一套成熟的论证体系。无论是敏感个人信息处理的“特定目的”及“充分必要”,还是在《个保法》中提及的事前个人信息保护风险评估,都需要结合具体场合开展评估进行论证。

我国目前已经通过国家标准《信息安全技术 个人信息安全影响评估指南》建立了一套具有借鉴意义的评估制度。该指南基于个人权益影响和安全保护措施有效性两大维度,以访谈、检查、测试等方式,对个人信息处理活动开展个人信息安全影响的风险评估。人脸信息作为一种特定的敏感个人信息,有必要借鉴该种安全影响评估制度,并通过区分特定化场景、密切结合技术应用,从而量身定做单项评估制度。此外,还需通过结合对技术应用的定期回访与持续追踪,贯彻落实事前评估与动态评估。

(三 )后续工作计划

《个保法》的出台与《人脸识别司法解释》的配套适用为个人信息权益的保护保驾护航。但是,聚焦于人脸识别技术的落地应用仍存在较多关注点。当前,人脸识别技术和具体业务场景深度结合,人脸安全防护问题和人脸信息保护问题深度交织在一起,技术和业务仍在快速的发展和演进中,这就更需要从体系化的视角开展相应的治理工作,如何更好地平衡创新技术和风险防范成为重要的研究议题。

目前,中国信通院云大所在相关主管部门的指导支持下,在现有法律法规、标准规范等框架下,不断推进相关研究工作,加快编写“《人脸识别应用合法性操作指引(拟)》”等研究报告,为人脸识别相关企业构建全链路安全以及合规处理人脸数据提供参考依据,促进人脸识别产业的健康发展。

图2:人脸识别应用合法性操作指引框架思路

联系人:

呼娜英 15321699969,

hunaying@caict.ac.cn

刘 硕 13426019405,

liushuo1@caict.ac.cn

参考资料:

[1] 《信息技术安全技术 生物特征识别信息的保护要求》(征求意见稿)中规定了通用标识符的定义。胡凌副教授在《刷脸:身份制度、个人信息与法律规制》一文中对人脸是通用身份标识符作出详细阐释。

[2] 参见王洪亮:《民法典与信息社会——以个人信息为例》,载《政法论丛》2020年第4期。

[3]参见张凌寒:《个人信息保护法(草案)》中的平台算法问责制及其完善,载《经贸法律评论》2021年第1期。

[4] 参见胡凌:《刷脸:身份制度、个人信息与法律规制》,载《法学家》2021年第2期。

[5] 参见张新宝:《个人信息收集:告知同意原则适用的限制》,载《比较研究法》2019年第6期。

作者 | 中国信息通信研究院云大所工程师 呼娜英

声明:本文来自可信人脸应用守护计划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。