信息化觀察網(wǎng)

前段時(shí)間，后臺(tái)收到讀者這樣一則問題：

讀者提出的“釘釘打卡”中人臉識(shí)別隱私問題，目前法律是這樣規(guī)定的：

1）目前中國(guó)個(gè)人信息處理的合法性基礎(chǔ)是個(gè)人同意。員工有權(quán)拒絕，但可能面臨其他勞動(dòng)法、勞動(dòng)紀(jì)律等方面的不利后果。但如以此認(rèn)定曠工，員工需要保留好其他到崗上班的證據(jù)，能否反駁需要視具體案情而定。

2）如果員工不同意提供面部識(shí)別信息，員工最好能夠向公司明確表示不同意把面部識(shí)別特征給第三方，并且妥善保存該意思表示。如果沒有取得員工的同意，公司應(yīng)停止通過釘釘收集該員工面部識(shí)別信息。還可以依據(jù)釘釘?shù)碾[私政策向釘釘主張刪除等權(quán)利。

此外，2021年1月1日《民法典》正式生效后，員工（個(gè)人）在個(gè)人信息與隱私保護(hù)方面的選擇更多，也更有利。

近期，因?yàn)橐咔樵?，已逐步?yīng)用的人臉識(shí)別得到大規(guī)模推廣，被廣泛應(yīng)用于社區(qū)門禁、企業(yè)考勤等領(lǐng)域，引發(fā)的隱私問題也備受關(guān)注。

實(shí)際上，早在2019年，人臉識(shí)別就引發(fā)不斷的爭(zhēng)議。2019年11月，浙江理工大學(xué)副教授拒絕以人臉識(shí)別方式入園，一紙?jiān)V狀將杭州野生動(dòng)物世界告上法庭，被稱為“中國(guó)人臉識(shí)別第一案”。

可能在這一事件影響下，今年10月，《杭州市物業(yè)管理?xiàng)l例（修訂草案）》新增規(guī)定：不得強(qiáng)制業(yè)主通過指紋、人臉識(shí)別等生物信息方式使用共用設(shè)施設(shè)備。

人臉識(shí)別的隱私問題不僅在我國(guó)受到關(guān)注。在注重個(gè)人隱私的西方更甚。美國(guó)加州舊金山市、奧克蘭市對(duì)政府使用人臉識(shí)別技術(shù)進(jìn)行了規(guī)制。2019年底，新西蘭一位因拒絕使用面部掃描打卡而被解雇的電工，從前雇主獲得了超過2.3萬(wàn)新西蘭元(約合人民幣10萬(wàn)元)的賠償。

未來(lái)隨著智慧城市建設(shè)的步伐加快，人臉識(shí)別將逐漸被各個(gè)行業(yè)青睞。目前，中國(guó)人臉識(shí)別相關(guān)企業(yè)突破10000家。人臉識(shí)別在考勤/門禁領(lǐng)域的應(yīng)用最為成熟，約占行業(yè)市場(chǎng)的40%左右。預(yù)計(jì)未來(lái)五年，我國(guó)人臉識(shí)別市場(chǎng)規(guī)模將保持年均25%的增長(zhǎng)速度，到2022年人臉識(shí)別市場(chǎng)規(guī)模將達(dá)67億元左右。

但公眾對(duì)于人臉識(shí)別的大規(guī)模應(yīng)用存在一定疑慮，對(duì)是否會(huì)造成個(gè)人信息泄露存在一定擔(dān)憂。政企機(jī)構(gòu)在部署人臉識(shí)別方面也面對(duì)較為復(fù)雜的法律風(fēng)險(xiǎn)與糾紛。

人臉識(shí)別技術(shù)應(yīng)用的法律風(fēng)險(xiǎn)與合規(guī)主要涉及以下9個(gè)問題：

1、人臉識(shí)別在個(gè)人信息保護(hù)領(lǐng)域更為敏感

人臉識(shí)別技術(shù)的敏感性，來(lái)自于我們幾乎無(wú)法對(duì)我們的面部信息進(jìn)行修改。而其他類型的個(gè)人信息，比如用戶名、電子郵箱、手機(jī)號(hào)、甚至是姓名我們都可以較為容易地進(jìn)行變更。如果不考慮《碟中諜》這樣的電影，人臉識(shí)別技術(shù)收集的面部識(shí)別信息一旦被收集就可能是永久被收集。

伴隨著公眾隱私保護(hù)意識(shí)的覺醒，人臉識(shí)別技術(shù)的運(yùn)用正在讓越來(lái)越多的民眾警惕。這種警惕一方面來(lái)自于被窺視所帶來(lái)的不快，而且很多場(chǎng)景下民眾并不知道自己的面部特征信息會(huì)被如何利用；另一方面也來(lái)自于在很多場(chǎng)景下民眾除了提供面部特征以外別無(wú)選擇，不得不將自己的“臉面”無(wú)條件奉上。

因此我們看到了有法學(xué)院教師發(fā)起“人臉識(shí)別第一案”起訴強(qiáng)制人臉識(shí)別的動(dòng)物園，也看到了宿豫警方在對(duì)當(dāng)?shù)匾患医∩碇行倪M(jìn)行網(wǎng)絡(luò)安全檢查時(shí)對(duì)該健身中心違法采集人臉信息給予警告處罰。

2、我國(guó)法律：人臉識(shí)別不僅是個(gè)人信息，還涉及肖像權(quán)與隱私權(quán)保護(hù)

即將于2021年元旦生效的《民法典》將個(gè)人生物識(shí)別信息列為個(gè)人信息，面部識(shí)別特征就是生物識(shí)別信息的典型代表。此外，人臉識(shí)別技術(shù)還涉及肖像權(quán)及隱私權(quán)，這兩項(xiàng)權(quán)利都是與個(gè)人信息并列的法益。也就是說，企業(yè)在運(yùn)用人臉識(shí)別技術(shù)時(shí)，不僅需要考慮個(gè)人信息保護(hù)的問題，還需要考慮肖像權(quán)與隱私權(quán)保護(hù)問題。

目前，我國(guó)個(gè)人信息、隱私權(quán)與肖像權(quán)的處理主要以“同意”為基本原則。在《個(gè)人信息保護(hù)法》通過后，可能會(huì)在個(gè)人信息層面增加更多的處理合法性依據(jù)，即不依賴同意也可以處理個(gè)人信息。但人臉識(shí)別技術(shù)在隱私權(quán)、肖像權(quán)仍然無(wú)法繞開“同意”。因此，獲取“同意”在人臉識(shí)別技術(shù)的運(yùn)用中扮演著重要的角色。

在《個(gè)人信息保護(hù)法（草案）》中，擬規(guī)定在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備，在目的上應(yīng)當(dāng)為維護(hù)公共安全所必需，并設(shè)置顯著的提示標(biāo)識(shí)。所收集的個(gè)人圖像、個(gè)人身份特征信息只能用于維護(hù)公共安全的目的，不得公開或者向他人提供；取得個(gè)人單獨(dú)同意或者法律、行政法規(guī)另有規(guī)定的除外。在推薦性標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》（GB/T 35273-2020）中，建議：

1）收集個(gè)人生物識(shí)別信息前，應(yīng)單獨(dú)向個(gè)人信息主體告知收集、使用個(gè)人生物識(shí)別信息的目的、方式和范圍，以及存儲(chǔ)時(shí)間等規(guī)則，并征得個(gè)人信息主體的明示同意；

2）個(gè)人生物識(shí)別信息應(yīng)與個(gè)人身份信息分開存儲(chǔ)；

3）原則上不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息（如肖像照片），僅存儲(chǔ)算法處理后的摘要信息。此外，在另一部推薦性國(guó)家標(biāo)準(zhǔn)《遠(yuǎn)程人臉識(shí)別系統(tǒng)技術(shù)要求》（GB/T 38671-2020）中，對(duì)人臉識(shí)別技術(shù)的安全性標(biāo)準(zhǔn)提出了建議。

3、目前人臉識(shí)別三大應(yīng)用場(chǎng)景

人臉識(shí)別技術(shù)通過面部特征實(shí)現(xiàn)對(duì)不同個(gè)人身份的識(shí)別，通常用于個(gè)人身份的識(shí)別、驗(yàn)證，以替代身份證、門卡、用戶名密碼等身份驗(yàn)證手段。比較常見且容易產(chǎn)生糾紛的人臉識(shí)別技術(shù)運(yùn)用場(chǎng)景有以下幾種：

門禁系統(tǒng)，主要用于小區(qū)、公園、寫字樓物業(yè)使用人臉識(shí)別系統(tǒng)替代傳統(tǒng)的IC卡、門禁卡對(duì)住戶、訪客進(jìn)行身份驗(yàn)證，確保進(jìn)入限制區(qū)域的人員具有相應(yīng)的權(quán)限。在杭州的“人臉識(shí)別第一案”中，便是因?yàn)橐吧鷦?dòng)物園使用人臉識(shí)別替代身份證導(dǎo)致產(chǎn)生糾紛。清華大學(xué)勞東燕教授也因?yàn)樗幼〉男^(qū)安裝人臉識(shí)別門禁系統(tǒng)進(jìn)行維權(quán)。

行為分析，商場(chǎng)可能會(huì)為了提升商場(chǎng)的運(yùn)營(yíng)效率部署人臉識(shí)別系統(tǒng)，對(duì)消費(fèi)者在商場(chǎng)內(nèi)的購(gòu)物路徑、消費(fèi)情況進(jìn)行精準(zhǔn)統(tǒng)計(jì)，并對(duì)會(huì)員進(jìn)行精準(zhǔn)畫像。如杭州某商場(chǎng)人流密集區(qū)域部署攝像頭進(jìn)行人臉抓拍，通過智能攝像頭識(shí)別會(huì)員信息，精準(zhǔn)統(tǒng)計(jì)客流，并通過云端的人臉識(shí)別，完成會(huì)員身份的確認(rèn)。在此基礎(chǔ)上基于設(shè)備識(shí)別到的會(huì)員數(shù)據(jù)及第三方系統(tǒng)數(shù)據(jù)，從多維度分析商圈、門店與顧客畫像，讓購(gòu)物中心全面了解客戶，實(shí)現(xiàn)AI輔助導(dǎo)購(gòu)進(jìn)行銷售決策。此外，像廣告屏也可能使用人臉識(shí)別系統(tǒng)，準(zhǔn)確判斷不同用戶對(duì)廣告屏中廣告的表情反饋。

App人臉識(shí)別，主要用于各類App的身份驗(yàn)證，比如刷臉支付、上班打卡等場(chǎng)景。相對(duì)于其他場(chǎng)景下人臉識(shí)別技術(shù)的運(yùn)用，App人臉識(shí)別技術(shù)的運(yùn)用會(huì)存在更多相關(guān)方。比如某公司如果要求員工使用釘釘人臉識(shí)別進(jìn)行打卡簽到，那么會(huì)涉及員工、用人單位、釘釘?shù)拈_發(fā)者釘釘（中國(guó)）信息技術(shù)有限公司，以及人臉相關(guān)服務(wù)北京螞蟻?zhàn)袅_科技有限公司等多方主體。數(shù)據(jù)如何在這些主體中流轉(zhuǎn)、處理會(huì)是一個(gè)復(fù)雜的問題，深究起來(lái)會(huì)涉及勞動(dòng)法、個(gè)人信息保護(hù)等多層次法律關(guān)系。

4、部署人臉識(shí)別存在三大法律風(fēng)險(xiǎn)

人臉識(shí)別的法律風(fēng)險(xiǎn)一方面來(lái)自于“同意”難以有效獲得。人臉識(shí)別技術(shù)的使用者在公眾場(chǎng)所往往并不愿意公眾知道相關(guān)技術(shù)的運(yùn)用，以減少“不必要”的麻煩，更談不上有效獲取個(gè)人信息主體的同意。這直接導(dǎo)致通過此等方法采集的面部識(shí)別信息若用于商業(yè)用途很難具有合法性基礎(chǔ)。

人臉識(shí)別技術(shù)的另一方面風(fēng)險(xiǎn)是運(yùn)用過程中容易走極端，不提供替代方案。比如在杭州“人臉識(shí)別第一案”中，游客購(gòu)買了一張杭州野生動(dòng)物世界的年卡，有效期內(nèi)通過同時(shí)驗(yàn)證年卡及指紋方式入園。但在三個(gè)月后，動(dòng)物園方面將人臉識(shí)別檢票系統(tǒng)引入，拆除了原來(lái)的指紋檢票閘門，必須進(jìn)行人臉識(shí)別驗(yàn)證年卡才能繼續(xù)使用，所以被告上法庭。因此，如果經(jīng)營(yíng)者未經(jīng)充分評(píng)估，貿(mào)然引入人臉識(shí)別技術(shù)而又沒有提供替代方案，可能導(dǎo)致原有協(xié)議無(wú)法繼續(xù)履行，或需要收集原約定范圍之外的個(gè)人信息或數(shù)據(jù)才能繼續(xù)履行協(xié)議。如果經(jīng)營(yíng)者僅以用戶不同意收集面部識(shí)別特征為由拒絕繼續(xù)提供服務(wù)，則可能違反雙方已有的服務(wù)協(xié)議。

此外，人臉識(shí)別技術(shù)的精準(zhǔn)度有賴于大量數(shù)據(jù)對(duì)算法進(jìn)行訓(xùn)練。而訓(xùn)練所需要的素材往往很難通過自我積累，需要從外部購(gòu)買獲得。而出售、購(gòu)買面部識(shí)別特征數(shù)據(jù)具有極高的法律風(fēng)險(xiǎn)，有可能觸犯刑法，構(gòu)成侵犯公民個(gè)人信息罪。

5、有什么好的方法可以在公共場(chǎng)所獲取“同意”？

公共場(chǎng)所是人臉識(shí)別技術(shù)最難取得“同意”的場(chǎng)景，具體分為“告知”與“同意”兩個(gè)環(huán)節(jié)。

在《信息安全技術(shù)個(gè)人信息告知同意指南（征求意見稿）》附錄D“公共場(chǎng)合場(chǎng)景下的告知同意”中，建議在汽車站、火車站、地鐵站、機(jī)場(chǎng)、商場(chǎng)等公共場(chǎng)所收集個(gè)人信息時(shí)，建議個(gè)人信息控制者以顯著方式向個(gè)人信息主體進(jìn)行展示告知。比如在商場(chǎng)內(nèi)張貼告知：“本商場(chǎng)安裝有人臉識(shí)別系統(tǒng)，以便進(jìn)行客流分析或進(jìn)行個(gè)性化推薦。我們承諾會(huì)保護(hù)您的人臉等信息安全，詳情可向詢問臺(tái)咨詢或掃描二維碼。”而“同意”則是通過提供不收集個(gè)人信息的選擇方案實(shí)現(xiàn)，例如，設(shè)置不成為會(huì)員的購(gòu)買方式；不通過人臉識(shí)別的支付方式等。

此外，在歐盟數(shù)據(jù)保護(hù)委員會(huì)發(fā)布的《關(guān)于通過視頻設(shè)備處理個(gè)人數(shù)據(jù)的指引3/2019》中，推薦使用雙層的告知結(jié)構(gòu)，第一層在使用視頻處理個(gè)人數(shù)據(jù)公眾場(chǎng)合張貼告示，提供簡(jiǎn)要說明，并通過二維碼等渠道提供指向第二層說明的訪問途徑；第二層進(jìn)行詳細(xì)的說明。具體示例如下：

當(dāng)然，獲取“同意”需要在具體的業(yè)務(wù)場(chǎng)景下根據(jù)實(shí)際情況進(jìn)行設(shè)計(jì)，在法律合規(guī)與商業(yè)需求中找到平衡。

6、如何應(yīng)對(duì)使用人臉識(shí)別技術(shù)導(dǎo)致的法律風(fēng)險(xiǎn)？

經(jīng)營(yíng)者引入人臉識(shí)別這樣的新技術(shù)，有必要開展個(gè)人信息安全影響評(píng)估。使用人臉識(shí)別技術(shù)對(duì)原有服務(wù)進(jìn)行升級(jí)，可能導(dǎo)致突破原協(xié)議的范圍，將新的個(gè)人信息、肖像權(quán)、隱私權(quán)引入原本相對(duì)簡(jiǎn)單的法律關(guān)系，讓原本不必收集的面部識(shí)別特征成為必不可少的數(shù)據(jù)。如果原先協(xié)議對(duì)新需要的面部特征信息未有覆蓋，則可能構(gòu)成違約。因此，在服務(wù)技術(shù)升級(jí)的同時(shí)，需要考慮如果個(gè)人不同意提供新的數(shù)據(jù)，能否繼續(xù)使用已有服務(wù)，確保協(xié)議能夠在原框架下繼續(xù)履行。因此《杭州市物業(yè)管理?xiàng)l例（修訂草案）》擬要求物業(yè)不得強(qiáng)制業(yè)主通過指紋、人臉識(shí)別等生物信息方式使用共用設(shè)施設(shè)備，保障業(yè)主對(duì)共用設(shè)施設(shè)備的正常使用權(quán)。

此外，引入人臉識(shí)別技術(shù)可能讓新的第三方主體加入合同關(guān)系。比如當(dāng)企業(yè)決定使用釘釘人臉打卡功能，這意味著釘釘?shù)拈_發(fā)者釘釘（中國(guó)）信息技術(shù)有限公司，以及人臉相關(guān)服務(wù)北京螞蟻?zhàn)袅_科技有限公司等多方主體會(huì)加入法律關(guān)系，數(shù)據(jù)的流轉(zhuǎn)與法律協(xié)議將變得復(fù)雜。直接的后果是當(dāng)個(gè)人要求行使如查閱、修正、刪除、合同解除等權(quán)利時(shí)，需要各方主體同步響應(yīng)，這會(huì)對(duì)企業(yè)間個(gè)人信息保護(hù)能力的協(xié)同提出更高的要求。

7、購(gòu)買數(shù)據(jù)訓(xùn)練人臉識(shí)別可以采取哪些合規(guī)措施？

數(shù)據(jù)購(gòu)買具有極高的法律風(fēng)險(xiǎn)。購(gòu)買面部識(shí)別信息時(shí)，有必要對(duì)供應(yīng)商數(shù)據(jù)的數(shù)據(jù)來(lái)源進(jìn)行嚴(yán)格審核，對(duì)自然人向供應(yīng)商提供的授權(quán)文件進(jìn)行逐一審核或抽查，確保授權(quán)文件真實(shí)有效。

此外，購(gòu)買面部識(shí)別信息可以參考其他領(lǐng)域數(shù)據(jù)購(gòu)買的合規(guī)方案。在北京慧辰資道資訊股份有限公司（“慧辰資訊”）2020年6月首次公開發(fā)行股票所提交的法律意見書中，詳細(xì)介紹了慧辰資訊購(gòu)買數(shù)據(jù)的合法性基礎(chǔ)與相應(yīng)的內(nèi)控措施?；鄢劫Y訊所采集的數(shù)據(jù)，主要為消費(fèi)者態(tài)度數(shù)據(jù)?；鄢劫Y訊通過《個(gè)人信息授權(quán)書》的方式，獲取被采集者的同意?；鄢劫Y訊向數(shù)據(jù)供應(yīng)商購(gòu)買數(shù)據(jù)的，會(huì)要求供應(yīng)商確保在采集過程就授權(quán)第三方使用相關(guān)數(shù)據(jù)取得個(gè)人信息主體出具的明確授權(quán)文件?；鄢劫Y訊還通過供應(yīng)商管理制度，對(duì)數(shù)據(jù)供應(yīng)商的資質(zhì)、合規(guī)性、重點(diǎn)數(shù)據(jù)進(jìn)行供應(yīng)商核查，并通過數(shù)據(jù)處理協(xié)議、合規(guī)經(jīng)營(yíng)承諾函的形式對(duì)數(shù)據(jù)供應(yīng)商進(jìn)行管理。

8、通過默認(rèn)設(shè)計(jì)保護(hù)個(gè)人信息

在推薦性標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》（GB/T 35273-2020）中，建議：原則上不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息（如肖像照片），僅存儲(chǔ)算法處理后的摘要信息。即根據(jù)“最小化”的個(gè)人信息保護(hù)原則，縮短面部識(shí)別特征的生命周期，通過減少數(shù)據(jù)的收集達(dá)到降低人臉識(shí)別技術(shù)的法律風(fēng)險(xiǎn)的目的。

在法國(guó)數(shù)據(jù)保護(hù)機(jī)構(gòu)CNIL發(fā)布的題為《機(jī)場(chǎng)的面部識(shí)別：有哪些挑戰(zhàn)和需要遵循的主要原則？》報(bào)告中，在技術(shù)措施領(lǐng)域要求：

1）只有在相關(guān)乘客做出動(dòng)作后，才會(huì)啟動(dòng)面部識(shí)別攝像頭；

2）通過技術(shù)配置，模糊背景中其他乘客的臉；

3）通過面部識(shí)別區(qū)分控制區(qū)和傳統(tǒng)控制區(qū)的廣告牌和地面標(biāo)記。

這些技術(shù)措施和規(guī)劃要求企業(yè)在使用人臉識(shí)別技術(shù)伊始就考慮個(gè)人信息等權(quán)益的保護(hù)問題，通過默認(rèn)設(shè)計(jì)保護(hù)個(gè)人信息等權(quán)益。

9、前瞻關(guān)注新技術(shù)的隱私問題風(fēng)險(xiǎn)

2020年9月，美國(guó)斯坦福大學(xué)計(jì)算機(jī)系教授李飛飛聯(lián)合斯坦福醫(yī)學(xué)院教授阿諾·米爾斯坦等科研人員在《自然》發(fā)表了題為《利用環(huán)境智能照亮醫(yī)療的黑暗空間》的論文中，強(qiáng)調(diào)了環(huán)境智能技術(shù)的潛力。環(huán)境智能，即通過機(jī)器學(xué)習(xí)和非接觸式傳感器能夠?qū)θ祟惔嬖谧龀雒舾蟹磻?yīng)和反饋的電子空間。人臉識(shí)別技術(shù)是環(huán)境智能的重要組成部分。

環(huán)境智能技術(shù)除了運(yùn)用攝像頭，還會(huì)綜合運(yùn)用深度傳感器、溫度傳感器、無(wú)線傳感器、聲音傳感器等設(shè)備。環(huán)境智能可以運(yùn)用于重癥監(jiān)護(hù)、臨床護(hù)理、甚至是老年人獨(dú)立生活。因?yàn)榄h(huán)境智能的本質(zhì)是全面監(jiān)控，收集數(shù)據(jù)的深度與廣度都遠(yuǎn)超人臉識(shí)別技術(shù)，所以環(huán)境智能技術(shù)必須更加注重隱私和數(shù)據(jù)安全性設(shè)計(jì)。

人臉識(shí)別技術(shù)、環(huán)境智能技術(shù)、自動(dòng)駕駛等技術(shù)近年來(lái)高速發(fā)展，背后是對(duì)海量數(shù)據(jù)的收集與處理。這些數(shù)據(jù)的處理深刻地影響著每個(gè)人與技術(shù)的關(guān)系。

我們?cè)谙硎芗夹g(shù)進(jìn)步帶來(lái)便利的同時(shí)，需要關(guān)注新技術(shù)對(duì)個(gè)人信息、隱私、肖像的保護(hù)予以警覺；經(jīng)營(yíng)者在享受技術(shù)進(jìn)步帶來(lái)利潤(rùn)的同時(shí)，需要關(guān)注如何降低自己處理數(shù)據(jù)的法律風(fēng)險(xiǎn)。