合规清单丨人脸识别技术应用中的“合规关键词”
免费
吴丹君
时长/课时:16分钟/0.36课时
1个月之前
最高人民法院于近日颁布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称“《人脸识别司法解释》”),为“因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件”提供具体裁判指引。
《人脸识别司法解释》列举了数项应明确认定为侵害自然人人格权益的行为,并对“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息”等数项情况进行了豁免。《人脸识别司法解释》要求法院依据《民事诉讼法》第六十四条[1]及《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十条、第九十一条[2],《最高人民法院关于民事诉讼证据的若干规定》的相关规定确定双方当事人的举证责任。之前征求意见的《个人信息保护法(草案二次审议稿)》规定,个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。此次《人脸识别司法解释》规定,信息处理者应对其行为符合民法典第一千零三十五条第一款规定[3]或《人脸识别司法解释》第五条规定[4]承担举证责任。由于个人信息主体(下称“信息主体”)与信息处理者在技术能力、经济实力等方面的差距,法院在分配举证责任时也许会有所倾斜,这一点在今后的司法实践中还有待进一步观察和探索。
此外,《人脸识别司法解释》明确规定自然人有权在“有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为,不及时制止将使其合法权益受到难以弥补的损害”的情况下向法院申请人格权侵害禁令。当信息处理者处理人脸信息的行为符合民事诉讼法第五十五条[5]、消费者权益保护法第四十七条[6]或者其他法律关于民事公益诉讼的相关规定[7],法律规定的机关和有关组织有权提起民事公益诉讼。该司法解释还将自然人为制止人脸信息处理侵权行为所支付的合理开支(包括合理的律师费用)纳入当事人可请求的财产损害赔偿范围之中。这些规定皆为信息主体人脸信息权益保护提供更具操作性的“法律武器”。
目前《人脸识别司法解释》已于2021年8月1日正式生效,其虽不具溯及力,但很多信息处理者的人脸识别技术应用和人脸信息处理往往具有持续性,因此建议相关信息处理者尽快对照整改。
拓展阅读
App人脸识别技术应用合规清单
人脸识别技术的使用 | |
信息处理者提供的产品或服务是否应用人脸识别技术? | □是 □否 |
是否存在在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所使用人脸识别技术进行人脸验证、辨识或者分析的需求? | □是 □否 |
首次使用人脸识别技术或升级人脸识别技术时,是否事先进行个人信息安全影响评估,并依据评估结果决定如何使用人脸识别技术? | □是 □否 |
在产品或服务中或特定场所中应用人脸识别技术是否遵守合法、正当、必要原则,比如在本地和远程人脸识别方式均适用时选择使用本地人脸识别? | □是 □否 |
在使用人脸识别技术实现特定功能时,是否提供可替代性方案,比如物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的验证方式时,同时提供实体卡、钥匙、指纹识别等其他合理合理验证方式? | □是 □否 |
人脸信息的处理(收集、存储、使用、加工、传输、提供、公开) | |
处理人脸信息是否遵守合法、正当、必要原则? | □是 □否 |
处理人脸信息是否遵守公序良俗原则? | □是 □否 |
是否遵守明示或者双方约定的人脸信息处理规则处理人脸信息? | □是 □否 |
是否公开处理人脸信息的规则或者明示处理的目的、方式、范围、存储时间、撤回同意等人脸信息处理规则,比如通过App收集人脸信息时,通过弹窗、设置单独协议等显著方式同步明示人脸信息处理规则? | □是 □否 |
处理人脸信息是否征得信息主体或其监护人的单独同意(比如以弹窗、勾选、视频、提示音等强化明示方式告知并获取同意)或按照法律、行政法规的规定征得该信息主体或其监护人的书面同意(比如通过合同、信件、电报、传真、电子数据交换和电子邮件方式获取同意)? | □是 □否 |
是否在人脸信息处理规则发生变化时,是否以适当方式通知信息主体,比如更新隐私政策等人脸信息处理规则并提醒信息主体阅读? | □是 □否 |
在信息主体拒绝收集人脸信息或撤回授权时,是否停止频繁询问,并继续提供与人脸信息处理无关的其他产品或服务功能? | □是 □否 |
在公共场合收集人脸识别数据时,是否设置信息主体主动配合人脸识别的机制,比如要求信息主体直视收集设备并做出特定姿势、表情,或者通过标注“人脸识别”的专用收集通道等? | □是 □否 |
采用格式条款与信息主体订立合同的,是否避免出现要求信息主体授予信息处理者无期限限制、不可撤销、可任意转授权等处理人脸信息的权利的相关条款? | □是 □否 |
未经信息主体或其监护人同意处理人脸信息是否存在以下情形: □为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息; □为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术; □为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息; □符合法律、行政法规规定的其他情形。 | |
在满足应用场景安全要求前提下,是否仅处理满足信息主体同意的目的所需的最小数量、最少图像类型的人脸信息? | □是 □否 |
同时保存人脸信息等人脸识别数据与信息主体身份信息时,是否采用物理或逻辑隔离方式分别存储? | □是 □否 |
存储人脸识别比对信息时,是否通过密码技术、假名标识符等方式生成可更新、不可逆、不可链接[8]的人脸特征,并进行加密存储? | □是 □否 |
是否仅在业务需要,且遵守法律、行政法规的规定或者双方约定的情况下,向他人提供、共享、转让或委托处理人脸信息? | □是 □否 |
因业务需要需向他人提供、共享、转让或委托处理人脸信息时,是否事先开展个人信息安全影响评估,并单独告知信息主体共享或转让的目的、接收方身份、接收方数据安全能力、数据类别、可能产生的影响等相关信息,并征得信息主体的书面授权? | □是 □否 |
是否通过合同等方式对人脸信息接收者的权利义务作出明确规定? | □是 □否 |
是否以合同、审计等合理方式对人脸信息接收者进行监督? | □是 □否 |
人脸信息是否依法存储在境内? | □是 □否 |
确因业务需要向境外提供人脸信息时,是否符合法律法规的相关规定,事先获取信息主体的单独同意,进行安全评估,并采取必要的安全保障措施保护人脸信息在传输中的安全性? | □是 □否 |
人脸信息的保护 | |
是否在个人信息安全管理制度中明确人脸识别数据保护要求,包括但不限于保护策略、处理规则等? | □是 □否 |
是否具备与其所处理人脸信息的数量规模、处理方式等相适应的数据安全防护和个人信息保护能力? | □是 □否 |
是否采取应有的技术措施或其他必要措施确保其收集、存储的人脸信息安全,防止人脸信息泄露、篡改、丢失,比如加密存储和传输人脸识别数据,并采取授权访问方式读取? | □是 □否 |
在发生或者可能发生人脸识别数据泄露、损毁、丢失的情况时,是否立即采取补救措施,按照规定及时告知信息主体,并向相关主管部门报告? | □是 □否 |
是否对人脸信息处理活动、各项措施的落实情况进行记录与留存,以便在发生纠纷或面临行政处罚时提供有效自证? | □是 □否 |
人脸信息的删除或匿名化处理 | |
在发生以下情况时,是否及时删除人脸信息或进行匿名化处理: □信息主体明示停止使用功能、服务,或撤回授权; □信息主体同意的存储期限届满; □信息处理者无法提供或停止提供服务; □人脸验证、人脸辨识或人脸分析的特定功能实现; □法定存储期限届满; □其他应删除人脸信息或进行匿名化处理的情况。 | |
是否采取安全措施确保信息主体权利,包括但不限于获取人脸识别数据使用情况、撤回授权、注销账号、投诉、获得及时响应等? | □是 □否 |
【参考资料】
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《电信终端产业协会团体标准:APP收集使用个人信息最小必要评估规范:人脸信息》(T/TAF:077.7-2020)
《信息安全技术 人脸识别数据安全要求》(征求意见稿)
[1]《民事诉讼法》
第六十四条 当事人对自己提出的主张,有责任提供证据。
当事人及其诉讼代理人因客观原因不能自行收集的证据,或者人民法院认为审理案件需要的证据,人民法院应当调查收集。
人民法院应当按照法定程序,全面地、客观地审查核实证据。
[2]《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》
第九十条 当事人对自己提出的诉讼请求所依据的事实或者反驳对方诉讼请求所依据的事实,应当提供证据加以证明,但法律另有规定的除外。
在作出判决前,当事人未能提供证据或者证据不足以证明其事实主张的,由负有举证证明责任的当事人承担不利的后果。
第九十一条 人民法院应当依照下列原则确定举证证明责任的承担,但法律另有规定的除外:
(一)主张法律关系存在的当事人,应当对产生该法律关系的基本事实承担举证证明责任;
(二)主张法律关系变更、消灭或者权利受到妨害的当事人,应当对该法律关系变更、消灭或者权利受到妨害的基本事实承担举证证明责任。
[3]《民法典》
第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
[4]《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
第五条 有下列情形之一,信息处理者主张其不承担民事责任的,人民法院依法予以支持:
(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;
(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;
(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;
(四)在自然人或者其监护人同意的范围内合理处理人脸信息的;
(五)符合法律、行政法规规定的其他情形。
[5]《民事诉讼法》
第五十五条 对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为,法律规定的机关和有关组织可以向人民法院提起诉讼。
[6]《消费者权益保护法》
第四十七条 对侵害众多消费者合法权益的行为,中国消费者协会以及在省、自治区、直辖市设立的消费者协会,可以向人民法院提起诉讼。
[7]比如《未成年人保护法》
第一百零六条 未成年人合法权益受到侵犯,相关组织和个人未代为提起诉讼的,人民检察院可以督促、支持其提起诉讼;涉及公共利益的,人民检察院有权提起公益诉讼。
[8]可更新指从同一人脸图像可产生不同的人脸特征。当特定人脸特征泄露时,可重新生成不同的人脸特征。
不可逆指无法从人脸特征恢复人脸图像。
不可链接指根据同一人脸图像产生的不同人脸特征之间不具备关联性。
作者:
吴丹君律师,观韬中茂上海办公室合伙人,律商联讯LexisNexis网络安全合规专家、首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。
张振君,法律硕士,现就职于北京观韬中茂(上海)律师事务所,专注于公司法、网络安全和数据合规领域,致力为客户提供咨询、全流程合规整改及争议解决服务。
来源:微信公众号“大数据法律研究”
相关文章推荐:合规清单丨《数据安全法》下全流程数据安全管理制度构建要点
精选评论
(2)-
-
黄律师
该司法解释还将自然人为制止人脸信息处理侵权行为所支付的合理开支(包括合理的律师费用)纳入当事人可请求的财产损害赔偿范围之中。这些规定皆为信息主体人脸信息权益保护提供更具操作性的“法律武器”。
2021-08-10点赞:2 回复
还可以输入 280个字 回复
公司决议下次,股东是否打赏的卡死了肯德基阿里
声音
- 情感童声
- 性感男声
- 特别男声
- 普通男声
- 普通女声
语速
- 0.7X
- 1.0X
- 1.5X
- 2X
- 3X
- 4X
字号
- 特大
- 大
- 标准
- 小
作者
- 文章156
- 读者52w
- 关注25
- 点赞435
观韬中茂上海办公室合伙人,律商联讯LexisNexis网络安全合规专家、首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。
专注于互联网、数据信息合规领域,就网络安全和数据信息的合规事项为客户提供咨询及全流程合规整改服务。精耕于网络安全合规领域.
执业领域:
互联网|数据信息、兼并收购、外商直接投资、酒店等
曾为众多跨国公司和外国公司的在华投资、并购以及日常运营提供法律服务。
我也要当作者思想共享 知识变现
猜你喜欢
换一换作者推荐
换一换
常见问题
-
1、“点读”是什么?
点读是点睛网APP中的一款全民学法的人工智能(AI)新产品。它能“识字”和“朗读”,它使“读屏”变“听书”,解放读者的眼睛和颈椎。它使“讲课”变“写作”,解放讲师的时间和身心。
-
2、“点读”的作者?
在点睛网PC或APP端注册,登录点睛网PC端个人后台,点击“我的文章”,填写作者信息并上传文章。当第一篇文章通过编辑审核后,即成为点睛网的正式作者。
-
3、“点读”的文章?
作者在点睛网个人中心发布文章,编辑审核合格的才能呈现给读者。作者只能发布自己写的文章,不能发布或转发他人的文章。更不能发布有违法律法规、政府规定,或公序良俗、文明风尚、社会和谐等文章。
-
4、“点读”的审核?
作者文章上传后,编辑将在工作日最晚不超过24个小时、非工作日最晚不超过48个小时内完成审核。审核未通过的,说明理由。文章评论的审核,参照以上周期。