315后说“人脸”——人脸识别合规难题与对策
不久前央视“315”晚会曝光了部分品牌门店违规收集和使用人脸数据的情况,多个知名品牌被点名批评。伴随人脸识别技术广泛应用而产生的侵犯个人信息等问题再次引起全社会的高度关注。与其他个人信息相比,人脸数据具有高敏感性和不可修改性等特征,企业在运用人脸识别技术时,应当遵守更加严格的合规义务。
一、典型的人脸识别应用场景
从国内外实践来看,人脸识别技术可以应用于行政执法、犯罪调查、疫情防控、安防监控、物业管理、客群分析、精准营销等多种场景。智慧门店是当前应用的重点领域,其中客流统计和客户分析是两类典型的应用场景。
在智慧门店场景下,人脸识别技术的应用通常不是商户自行完成的,而是通过人脸识别系统供应商(以下简称“供应商”)提供智能摄像机及相关服务来实现的。
1.客流统计
客流统计是最基本的应用,商户只需要根据人脸数据对客流量进行统计,而不需要精确地识别每一个顾客。商户会将客流量统计结果作为店铺选址、开店时间、店铺布局和产品更迭的参考。客流统计场景下的数据流如下:
(1)从顾客到商户:商户会通过智能摄像机收集顾客的人脸数据;
(2)从商户到供应商:商户将人脸数据提供给供应商;
(3)从供应商到商户:供应商分析顾客到店时间、店内位置,以及性别、年龄、行走轨迹等信息,并向商户提供统计分析报告。
2.客户分析
客户分析也是常见应用,商户通常会用顾客到店数据,加上其他已经留存的用户标签,形成用户画像,并进而实现精准营销。客户分析场景下的数据流如下:
(1)从顾客到商户:商户会通过智能摄像机收集顾客的人脸数据;
(2)从商户到供应商:商户将顾客人脸数据提供给供应商,可能还会根据具体需求将顾客的其他信息提供给供应商,比如顾客的会员注册信息(手机号、姓名、生日、地址等)、购买记录、支付记录等数据;
(3)从供应商到商户:供应商分析每个顾客的到店频次,并与其他用户标签结合在一起,形成顾客的用户画像;
(4)从商户到顾客:商户根据用户画像进行精准的营销推送,比如现场导购、营销短信、营销电话等。
二、人脸识别技术应用的合规难题
1.仅在门店展示提示,是否能构成个人的明示同意?
人脸数据属于个人敏感信息。根据现行规则,收集个人敏感信息需要取得其明示同意。根据《个人信息安全规范》第3.6条,明示同意是指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。
参照《个人信息告知同意指南(征求意见稿)》第9.1.1条,明示同意的模式主要包括:a)设置交互式界面,由个人信息主体做出主动勾选、主动点击“同意”“下一步”“继续”、滑动滑块、主动发送等动作表示意愿;b)由个人信息主体主动填写、输入个人信息表示意愿;c)由个人信息主体开启可收集个人信息的API接口、权限表示意愿;d)个人信息主体通过纸质或电子的书面声明、签字确认表示意愿;e)个人信息主体通过主动出示证件等方式展示个人信息表示意愿;f)个人信息主体通过电子签名方式表示意愿;g)个人信息主体通过电话录音、视频录像等方式表示意愿。
“明示同意”要求顾客主动做出声明或是自主做出肯定性动作,如果顾客看到提示时已经身处监控区域,看到提示后继续停留在监控区域内,这个行为不属于做出声明,也无法解释为肯定性动作,只能构成默示同意,无法满足现行规则。
如果顾客看到提示时尚未进入监控区域,看到提示后走入监控区域,这个行为有可能被视为自主做出肯定性动作,进而构成明示同意,但前提是:(1)顾客走入监控区域前,确实看到了提示;以及(2)顾客是主动选择走进监控区域的,而不是下意识地踏进监控区域。从当前的实际应用场景来看,很难说着两点是确定满足的,因此,能否构成明示同意,也是存疑的。
如何在门店使用智能摄像机的场景下获得用户的明示同意,是实践中的普遍难题,有待立法和实践的进一步探索。如果不能单一依赖提示,商户或供应商就需要同时或另行通过其他途径来履行告知同意义务,或者依赖其他的合法性基础处理人脸数据。
2.为了实现客流统计或客户分析收集人脸数据,是否符合最小必要原则?
根据《个人信息安全规范》第5.2.a条,最小必要原则的要求包括收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现。从字面上看,这里的最小必要原则可以有两种解释:
(1)对“最小必要原则”较为严格的解释是,如果有其他对个人权益侵入性更小的处理方式,可以实现客流量统计或顾客到店次数统计时,就不应当采用人脸识别技术,否则就违反了最小必要原则。这一解释较为贴近欧盟《通用数据保护规范》(General Data Protection Regulation, “GDPR”)的表述,参考GDPR第39条序言:“只有当处理的目的不能通过其他方式合理实现时,才应处理个人数据;”
(2)对“最小必要原则”较为宽松的解释是,对于已经选定的技术手段(比如人脸识别技术),如果收集敏感性较低、字段较少的数据就能够实现人脸识别技术,就应当不再收集敏感性更高、种类更多的数据,否则就违反了最小必要原则。这一解释更符合目前技术快速迭代的现状,否则一旦出现侵入性更小且能够实现相同目的的新技术时,其他技术就被直接认定为违反了“最小必要原则”。
根据对“最小必要原则”较为严格的解释,为了实现客流量统计或熟客到店统计,收集人脸数据,较难符合最小必要原则,因为:
(1)对于客流统计场景,除了人脸识别技术,企业一般也可以通过具有拍摄热成图视频,或者定时拍摄头顶照片等侵入性更小的方式来统计客流,而不对特定顾客的人脸进行识别;
(2)对于客户分析场景,即使不使用人脸识别技术,企业也可以通过顾客到店用手机打卡后获得积分或奖品的方式,对顾客到店次数进行统计。虽然使用人脸识别技术可能是对用户体验影响更小、运营成本更低的统计方式,但对顾客侵入性更强、个人信息风险更高,且难言“没有上述个人信息的参与,产品或服务的功能无法实现”。
一般而言,相对于合法性原则,必要性原则的“清晰度”和“刚性”相对弱一些,需要结合具体情况具体分析。在大多数情况下,收集某类数据是否必要,有一定的讨论空间。但是在这一点上,人脸识别技术有所不同,由于其高风险和高敏感的特性,必须对其必要性给予特别关注,慎重评估。
3.商户和供应商之间是什么法律关系?
商户和供应商之间可以是数据共享关系,也可以是数据委托处理关系。在两种不同的法律关系下,商户和供应商的数据合规义务是不同的:
(1)数据共享关系
商户作为数据提供方,除了应获得收集人脸数据的授权,还应获得共享人脸数据的授权。商户应与供应商签署数据共享协议,明确后者的责任和义务。如果因数据共享发生数据安全事件,商户应承担相应责任。
供应商作为数据接收方,需要确认商户已经获得收集和共享数据的授权,并确保数据安全。如商户未就人脸数据的共享获取授权,供应商应自行告知并获得授权。
(2)委托处理关系
商户只需获得收集人脸数据的授权,无需就委托处理获得授权。商户需与供应商签署数据委托处理协议,明确后者的责任和义务。
供应商作为受托处理方,仅能按照商户的要求处理个人信息,无独立控制权,不得将人脸数据用于其他用途或对外提供。如果供应商未取得商户事先授权,不得转委托。委托关系解除时,供应商应删除所获取的人脸数据。
一般情况下,对于敏感性较低的数据,商户为了保护自己的数据资产、确保对项目的掌控,会偏向于选择委托处理的模式;而供应商为了在服务过程中积累数据资产,则更加愿意选择数据共享模式。人脸数据则有所不同,人脸数据具有高敏感性和高风险性,商户和供应商可能都不愿接手这块“烫手山芋”。
比较妥当的做法是,双方按照委托处理模式构建双方的基本法律关系,供应商在严格遵守受托处理者角色的基础上,充分利用自身的技术、管理和合规能力,指导、帮助商户落实顾客授权及数据安全。
三、智慧门店运营人脸识别技术的合规建议
虽然人脸识别技术在法律层面尚有很多不确定性,但企业做好人脸识别技术的合规工作却是迫在眉睫的。
基于当前的商业实践和法律环境,我们建议,商户在应用人脸识别技术时,应采取如下合规措施:
(1)评估必要性:商户应核查目前人脸识别技术的使用情况,结合使用人脸识别技术目的、收集人脸数据的数量、收集的频次等,评估使用的必要性。如有侵入性更弱、风险更低的手段可以实现商业目的,则应优先考虑使用其它手段,在应用人脸识别技术上保持适当的克制;
(2)审查供应商:经过必要性评估后,如仍然决定使用人脸识别技术,则商户应审查供应商的业务资格、数据合规水平、数据安全能力以及历史违规记录等;
(3)签订委托处理协议:如双方选择委托处理模式,商户应与供应商签订数据委托处理协议,明确双方权利义务,要求供应商严格遵守角色定位,采取适当的技术措施和管理措施确保数据安全(针对315晚会曝光的情况,尤其需要建立和严格实施人脸数据的访问控制制度),供应商不得将人脸数据用作其他用途,也不得对任何第三方提供人脸数据,定期或在规定时点删除人脸数据,并通过审计监督、违约责任等确保供应商遵守上述义务;
(4)明示规则与获取授权:商户应在装有人脸识别设备的区域或门店门口,以显著的方式提示顾客。在面向顾客的会员协议、隐私文件中对人脸数据的收集和使用进行告知,并获得顾客的授权;
(5)避免共享、转让、披露:原则上商户不应共享、转让、公开披露人脸原始数据或摘要。因业务需要,确需共享、转让人脸原始数据或摘要的,应单独向顾客告知目的、涉及的数据类型、数据接收方的具体身份和数据安全能力等,并征得顾客的明示同意;
(6)确保数据安全:商户宜在本地设备处理人脸原始数据,提取摘要数据后立即(72小时内)删除人脸原始数据,只存储人脸数据的摘要,且与其他个人信息分开存储,并定期(如每年)删除。如果顾客要求商户删除其人脸数据,商户应尽快(15个工作日内)内删除。
对于供应商,我们建议提出如下合规建议:
(1)严格遵守委托处理协议:供应商应严格遵守数据委托处理协议,比如采取适当的技术措施和管理措施确保数据安全,不得将人脸数据用于自身业务或作其他用途,也不得向第三方提供人脸数据,并建立及时删除机制等;
(2)避免交叉打通:供应商应确保来源于特定商户的人脸数据仅用于为该商户服务,避免将不同商户的人脸数据进行打通、融合;
(3)隔离云存储与数据分析服务:供应商应提供多种选择,允许商户在其本地服务器,或是在私有云上存储人脸数据摘要。供应商提供的云存储服务与人脸数据分析服务应适当隔离;
(4)协助商户落实授权:建议供应商在硬件产品的产品说明或外包装提示中,提示商户在装有人脸识别设备的区域或门店门口张贴显著的告示,或在隐私文件中予以告知并获得顾客的明示授权;并通过合规培训、合规手册、现场指导、样板示范等方式帮助商户提高合规意识,落实个人信息保护;
(5)全面审核宣传文案:供应商应全面审核产品的宣传文案,以避免引起隐私担忧或误解的表述,比如“黑名单”、“风险人群”等;
(6)关注法律变化和最新案例:供应商应持续跟踪人脸识别相关的立法、执法和司法动态,并在法律环境变化时及时采取相应的合规措施。
数据隐私与网络安全专栏往期文章
1. 《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求
5. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
6. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题
7. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争
9. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点
10. 对“数据共享合法化”的分析与思考系列之二——欧盟B2B数据共享的案例研究
11. GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解
13. 中国企业的GDPR合规挑战
14. 对“数据共享合法化”的分析与思考系列之三——欧盟B2B数据共享的案例研究
16. 从《网络安全等级保护条例(征求意见稿)》看等保1.0到等保2.0的重要变化
17. 《网络安全等级保护条例(征求意见稿)》与《信息安全等级保护管理办法》的条
20. 欧盟《隐私与电子通信条例》(e-Privacy Regulation)草案介绍
25. App个人信息保护专项治理暴雨将至,你的屋顶会漏吗?
32. APP安全认证实操十问十答
33. APP收购攻略
34. 关于个人信息保护法草案的七个疑问
合伙人
021-2613 6222
yuan.lizhi@jingtian.com
袁立志律师先后从上海对外经贸大学和新加坡国立大学取得国际法硕士和国际商法硕士学位,2016年底加入竞天公诚。
袁律师是IAPP(国际隐私专家协会)会员,通过CIPP/E资格认证。袁律师代表竞天公诚律师事务所参与多项信息安全技术标准的编制。袁律师兼任华东政法大学数字法治研究院特聘研究员,华东师范大学法学院校外实务导师。
袁律师的执业领域为网络与数据法、公司法律事务。袁律师曾为多家知名企业提供网络与数据法律服务,包括金融机构、汽车制造商、智能硬件制造商、文化娱乐企业、互联网企业、数据服务商、云服务商、医疗机构等,承办了一系列前沿的、富有挑战性的项目,积累了丰富的实践经验,是该领域的知名专家 。
袁律师先后荣获The Legal 500亚太地区TMT(电信、媒体与科技)领域(2020年度)和数据保护领域(2021年度)“特别推荐律师”,并名列LEGALBAND中国顶级律师排行榜“网络安全与数据”第一梯队(2020年度),中国律师特别推荐榜15强:网络安全与数据合规(2020年度)。
袁立志律师历史文章
11. 网约车与电商法的适用五题
12. 网约车行业数据保护的规则及其特点
13. 企业如何应对数据泄露
16. APP安全认证实操十问十答
17. APP收购攻略
18. Cross-border Transfer of Personal Financial Information
19. 《网络交易监督管理办法》解读
声明 DISCLAIMER
本文观点仅供参考,不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见,请与本所联系。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.