背景:
近日,人脸识别相关的争议正逐渐进入人们的视野之中。无论是杭州野生动物世界的“人脸识别第一案”、还是带着头盔去售楼处看房,甚至为了激活社保卡将九旬老人抱起进行人脸识别。虽然人脸识别已悄然潜入到我们的日常生活中,但其收集信息的合法边界一直是模糊的。本文将对个人信息的含义和重要性进行介绍,并对目前较为混乱的规定进行总结,提炼出在实践中可行的实施方案,帮企业在目前模糊的边界中寻求人脸识别的合规体系。
一、人脸识别的含义
人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术。具体而言,就是计算机通过视频采集设备获取识别对象的面部图像,再利用核心的算法对其脸部的五官位置、脸型和角度等特征信息进行计算分析,进而和自身数据库里已有的范本进行比对,最后判断出用户的身份。其过程包括:人脸图像采集及检测、人脸特征提取(关键的提取)、人脸规整(图像处理)和人脸识别比对等。
二、人脸识别问题的重要意义
人脸识别,我们可以抽象为收集个人信息中的面部识别特征,这属于属于通常意义的个人敏感信息,而在《信息安全技术个人信息安全规范(GB/T 35273-2020)》(以下简称《个人信息安全规范》)中,对于个人敏感信息有特殊的要求,例如收集个人敏感信息要求获得个人信息主体的明示同意,而收集个人生物识别信息时,要求单独向个人信息主体告知收集的适用个人信息的目的、方式和存储时间等规则。另一方面在个人敏感信息的传输和存储过程中,又有加密,与身份信息分开存储等要求。下图为《个人信息安全规范》中对个人敏感信息的列举。
![图片[1]-网络与数据|人脸识别合规体系讨论 – 作者:数字新基建产业金融-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20201209/1607498545_5fd07b31f0d9239a5e9b0.png)
之所以对个人敏感信息做出更严格的规定,是因为个人敏感信息侵权带来的后果更为严重。我们从数据立法的历史加以佐证。1973年,瑞典推出了《数据法》,这是世界范围内第一个全面规范个人数据隐私保护的法律,当时正值第三代计算机兴起,运算速度大幅提升。同时,人们意识到早在二战期间,大量个人资料被分类、标签形成数据库,为种族隔离甚至种族灭绝提供了便利,人们忌惮于那段惨痛的历史,担心运算的高效带来的是潜在的更大风险。所以,在面对逐渐成型的计算机产业时,用立法来对数据行为加以规制,这不仅仅是一种对历史的反思,也是对人权、尊严、自由等价值的尊重。
三、人脸识别目前的规制要求
虽然我国目前没有关于明确的人脸识别的专项规则,但在部分规范和标准中体现了对人脸识别的规制以及其上位概念即个人敏感信息进行规定,在近期的《新闻1+1》节目中,网信办的专家表明已经在针对人脸识别的应用组织研究,尽力做好指导。本文接下来的部分将我国目前关于人脸识别的规则进行总结,归纳出现行规范下有关人脸识别的相关要求。
(一)单独同意原则 + 明示同意原则
针对人脸识别类所收取的个人生物识别信息,除了实质上要求用户同意外,还要注意在形式上要满足单独同意的要求,向个人信息主体告知收集、使用个人识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。明示同意包括两种形式,一种是个人信息主体做出纸质或电子形式的说明,另一种是自主做出“勾选”、“同意”等肯定性动作。需要注意的是,单独同意的原则已经不仅仅是国家标准层次的规定,在最新的《个人信息保护法(草案)》中,收集个人敏感信息需要单独同意已经规定在其中,若草案通过,单独同意的效力将由法律来保证。
(二)必要原则
1.必要原则概述
我国的《民法典》和《网络安全法》中都规定,收集个人信息必须满足合法、必要、正当原则。其中必要原则要求我们做到收集信息的最小必要,其内涵包括直接关联、最小数量最小频率等。在以往的案例中,判断是否满足最小必要原则,往往是通过常识以及个案比较进行分析。但12月1日国家互联网信息办公室发布关于《常见类型移动互联网应用程序(App)必要个人信息范围》(以下简称《APP必要个人信息范围》)公开征求意见的通知,其中将常用类型的app权限进行列明,我们可以将日常类似的行为以此作为参照。以本篇讨论的人脸识别为例,一般是用作身份核验功能。而《APP必要个人信息范围》关于身份信息的要求,规定为“App提供者提供多种选项,由用户选择其一”,所以不能将人脸识别设置为唯一身份核验的方式。
2.必要原则的具体要求
(1)传输和存储个人敏感信息时,应采用加密等安全措施;
(2)个人生物识别信息应与个人身份信息分开存储;
(3)原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:
①仅存储个人生物识别信息的摘要信息;
② 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;
③ 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图。
(三)充分保护个人信息权利主体的相关权利
《民法典》将个人信息纳入保护,最近的《个人信息保护法(草案)》更是强化了个人的信息权利,包括知情权、决定权、限制和拒绝权、查阅、复制权、更正权、删除权等。值得注意的是,《个人信息保护法(草案)》对个人信息权利的着重强调,是因为我国目前的保护比较欠缺,一方面是个人信息主体自身没有较强的权利意识,另一方面是企业并没有做到提示和保护,例如南京售楼处的面部识别技术,被收集面部信息的个人是完全不知情的。本次立法,不仅是宣示,也是我国信息保护工作下一步整治重点的指引,值得我们关注。
结语
根据《人脸识别技术在APP应用中的隐私安全研究报告》,我国计算机视觉人脸识别技术的规模,在2020年达到700亿-1000亿,其发展前景值得期待。但和其他信息技术一样,生活更便利的同时也意味我们的信息更容易泄露。目前,我国杭州,天津等地也在地方层面针对人脸识别做出了规定,主旨并不是完全否认人脸识别的使用,而是给予个人充分的知情权和选择权。数据本身并不可怕,数据的滥用才应该提防。只有在现有规则下,制定合规体系,才可以保证在合法的框架下使用信息数据,赶上时代的浪潮。
往期 · 推荐
网络与数据 | RCEP中关于个人信息、网络安全及跨境数据传输等内容规定
来源:freebuf.com 2020-12-09 15:27:07 by: 数字新基建产业金融
请登录后发表评论
注册