专业领域
业务领域
投资并购与公司治理 银行与金融 房地产与基础设施 政府法律事务 海事海商 商事诉讼与仲裁 资本市场 私募基金与股权投资 跨境投资 知识产权 破产重整与清算 国际贸易 合规 婚姻家事与财富管理 劳动与社会保障 刑事 海关法律事务 财税法律事务 国际移民与资产配置 特殊资产处置 跨境债务清收 反垄断与反不正当竞争 供应链
行业领域
农业与食品 工业及装备制造业 文化传媒与影视娱乐 环境与资源 医疗健康 国防军工 教育培训 数字经济
专业人员
法律观察
破产重整
详细了解
金融犯罪
详细了解
元宇宙
详细了解
公司与并购
详细了解
政府法律事务
详细了解
争议解决
详细了解
更多主题 不正当竞争 金融合规 股权激励 刑事犯罪 海关事务 公司治理 证券与资本 「双碳」法律研究 银行金融 影视娱乐 供应链行业 国际贸易
最新文章
文康资讯韩国民法面临时隔67年的全面修订
更多文章
了解文康
中文
menuclose
专业人员
法律观察
文康资讯
返回
业务领域
行业领域
银行与金融 财税法律事务 投资并购与公司治理 海关法律事务 国际移民与资产配置 商事诉讼与仲裁 刑事 知识产权 国际贸易 资本市场 婚姻家事与财富管理 私募基金与股权投资 房地产与基础设施 破产重整与清算 跨境投资 政府法律事务 海事海商 合规 劳动与社会保障 特殊资产处置 跨境债务清收 反垄断与反不正当竞争 供应链
农业与食品 工业及装备制造业 国防军工 医疗健康 环境与资源 数字经济 教育培训 文化传媒与影视娱乐
法律观察
更多专题
政府法律事务
详细了解
争议解决
详细了解
破产重整
详细了解
金融犯罪
详细了解
公司与并购
详细了解
地产与建工
详细了解
最新文章
更多文章
文康资讯韩国民法面临时隔67年的全面修订
数据合规

315持续追踪:谁悄无声息地偷走了我的“脸”?

2021-03-22
数据合规 315持续追踪:谁悄无声息地偷走了我的“脸”?
作者 马清泉
作者: 马清泉
转发


近年来,人脸识别技术作为成熟的商用落地人工智能技术,已在市场上分得足量的“蛋糕”,并培养出一批“独角兽”企业。


在上一周的315晚会上,人脸识别滥用问题又一次引起了广泛的讨论,本次晚会中不仅曝光了使用人脸识别系统的商户,而且曝光了提供人脸识别营销解决方案的供应商。这说明人脸识别技术应用场景下个人信息保护的法律问题已经从理论走向实践。


本文将首先结合315晚会中报道的人脸识别介绍相关现状进行介绍,随后着重从人脸识别技术特点出发,探讨人脸识别技术在应用中所存在的个人信息保护问题,通过考察介绍域外立法情况,并根据我国人脸识别技术应用场景下个人信息保护的现状提出建议。




315晚会第一弹:直击人脸识别


  
(一)曝光问题
· 科勒卫浴等多家商店安装人脸识别摄像头,未经同意搜集顾客海量信息。
· 悠络客电子科技股份有限公司(摄像头供应商)经理称,带有人脸识别功能的摄像头已经安装了几十个上百万个。
· 苏州万店掌网络科技有限公司经理称,其平台目前拥有的人脸数据量已经上亿。
(二)曝光企业
· 使用人脸识别系统的商户:科勒卫浴、宝马、Max Mara 等。
· 提供摄像头(具有人脸识别功能)的供应商:苏州万店掌网络科技有限公司、悠络客电子科技股份有限公司、广州雅量智能技术有限公司、深圳瑞为信息技术有限公司。
(三) 曝光事件
科勒卫浴利用全国上千家门店内的摄像头,无感采集顾客人脸数据并自动生成编号,每一编号的背后是进门顾客的精准个人信息,包括性别、年龄、人种,甚至到店时的心情。又因全国门店的人脸识别信息是共享的,后台可以同步显示该顾客去过哪家店,去过几次,以此利用人脸识别信息实现精准营销。
再有,无锡宝马汽车 4S 店安装的瑞为公司的人脸识别摄像头,港汇恒隆 Max Mara 专卖店安装的万店掌公司的摄像头更为高级,不仅可以自动收集人脸识别信息,还可以根据收的数据“打标签”。商家可以根据自己的利益所求,手动为消费者添加“标签”信息,建立自己的“白名单”和“黑名单”。
(四) 曝光后续
科勒中国于3月16日发出道歉声明,表示已经安排相关门店连夜拆除摄像设备,设备所采集的信息仅作到店人数统计,不进行保存。




人脸识别怎么证明“我是我”?



人脸识别技术是一种采集、识别和验证人类生物身份信息的新型技术,该技术主要是利用视频采集设备提取人像特征,再利用核心的算法对其脸部的五官位置、脸型和角度等特征信息进行计算分析,进而和本地数据库存储的范本进行比对,最后判断出每个人脸的身份。
(一) 人脸识别核心技术链
从人脸检测到人脸识别整个流程上来看,人脸识别技术一般包括:人脸图像检测、人脸活体检测、人脸属性提取(特征点提取)、人脸规整(图像处理)和人脸识别比对等。
 
图片来源:智慧芽&罗思咨询《人脸识别行业白皮书》

1.人脸检测
人脸检测是主要用于人脸识别的预处理,从视频和图像中检测出人脸的位置和大小,并过滤掉低质量的数据。人脸活体检测技术可以进一步判断人脸图像是来自真人还是来自攻击假体的技术。
2.人脸属性提取
人脸属性提取是基于知识的表征方法和统计学习的表征方法提取人脸特征,据此判断当事人的性别、年龄和表情等。
3.人脸规整(图像处理)
人脸规整(图像处理)是指在图像采集过程中,难免受到环境条件的限制和随机干扰,此时,将预处理的人脸图像做分类、聚类,进行光线补偿、灰度变换、集合矫正等处理。
4.人脸识别比对
人脸识别比对是将待识别的人脸信息与本地数据库中存储的特征模板进行比较,在比对开始前,设定一个阈值,若相似度超过阈值,将人脸信息输出展示。
(二) 人脸识别的优势
人脸识别技术之所以敏感,是因为人脸信息与指纹、DNA同等级的个人生物特征一样属于个人独有的生物识别信息,我们几乎无法对面部信息进行修改。
具体来说,人脸识别一大优势在于其自然性,这里的自然性可以简单理解为人与人之间识别、确认个体身份时使用的方式,如人脸识别、语音识别、体态识别等,而人类或者其他生物体并不通过指纹或者虹膜进行个体识别,因此不具有自然性。
再者,相较于指纹识别或者虹膜识别需要近距离接触传感器进行生物信息采集,人脸识别并不需要与摄像头接触,甚至可以在当事人不知情的情况下就可以远距离“偷”得人脸,也就是所谓的“无感抓拍”。


谁来保护我的“脸”?



就目前而言,我国个人信息保护的法律体系尚不完善,位阶较高的法律法规多属原则性规定,尚未细化到具体场景和具体信息类别,但关于人脸识别技术的限制性规定在立法中已有所体现。
2020年9月29日发布的《个人信息保护(草案)》规定,处理包括人脸在内的个人生物特征信息,必须取得个人的单独同意,并进行事前风险评估。在公共场所安装个人身份识别设备,应当为维护公共安全所必需。
另外,2020年12月21日,法工委发言人、立法规划室主任岳仲明在全国人大常委会法工委发言人记者会介绍到,《个人信息保护法(草案)》对处理包括人脸等个人生物特征在内的敏感个人信息作出专门规定,要求只有在具有特定目的和充分必要性的前提下,方可处理敏感个人信息,并在事前进行评估。由此可见,对人脸等个人生物特征在内的个人敏感信息的保护将“入法”。
以下是《民法典》与《信息安全技术 个人信息安全规范》在个人信息保护方面的相关规定:
1. 《民法典》
处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
· 征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
· 公开处理信息的规则;
· 明示处理信息的目的、方式和范围;
· 不违反法律、行政法规的规定和双方的约定。
2. 《信息安全技术 个人信息安全规范》
· 收集过程:收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式、范围以及存储时间等规则,并征得个人信息主体的明示同意;
· 传输过程:应采用符合国家标准的加密措施;
· 存储过程:人脸识别信息应该与个人身份信息分开存储,尽量不存储原始个人生物识别信息,同样需采用符合国家标准的加密措施;
· 使用过程:不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围,因用工管理需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。
· 管理和保护过程:
①应对已收集的人脸信息采取必要保护措施;
②处理大量个人信息的应有专人负责;
③个人信息的处理者为境外的,需专人负责;
④定期审计;⑤风险评估与记录;
⑥泄露事件的补救措施与通知。



关于域外个人信息保护的参考



人脸识别作为一种生物特征识别技术,以下特别就欧盟和美国对生物特征识别相关的规范进行简要汇总,以供参考。
(一)欧盟
《通用数据保护条例》(General Data Protection Regulation,简称GDPR)将人脸数据认定为生物识别数据,并进一步认定为特殊类型个人数据(Special Categories of Personal Data)。GDPR原则上禁止处理特殊类型个人数据,但是具有10种例外情形,大致可以归纳为“数据主体明确同意”、“保护数据主体切身利益”、“服务于公共利益”三种情形,具体来说:
· 获得数据主体明确的同意;
· 在有法律明确授权的情况时,在劳动雇佣、社会保护、社会安全等法律领域,数据控制者或数据主体为行使权利或履行义务,有必要进行处理时;
· 数据主体因缺乏生理或法律上的行为能力而无法作出有效的同意时,为保护数据主体或其他自然人的重大利益,有必要进行处理时;
· 处理数据主体已经明确公开的数据;
· 在非盈利机构的正当活动中,非公开处理其成员、前成员、经常接触人的数据;
· 在司法活动中,有必要进行处理时;
· 在有法律明确授权的情况时,为重大公共利益而有必要处理时;
· 在有法律明确授权的情况时,为预防医学或临床医学的目的而有必要处理时;
· 在有法律明确授权的情况时,为公共健康目的而有必要处理时;
· 在有法律明确授权的情况时,为公共利益的存储、研究、统计而处理时。
再者,对于“数据主体的明确同意”的数据,数据控制者在收集和处理的过程中,仍需满足GDPR第7条规定的“同意”的前提条件。
(二)美国
1.美国伊利诺伊州
《伊利诺伊州生物特征隐私法》
· 初次收集某自然人的生物特征识别符或生物识别信息时,须告知该自然人其生物数据被收集的情况、收集目的、数据的保留时间,并获得该自然人的书面授权。
· 拥有生物特征识别符或生物识别信息的任何企业均不得出售、租赁、交易或以其他方式从个人或客户的生物识别符或生物识别信息中获利。
· 应以行业内合理的注意标准,并应使用与个人存储,传输和保护该人所拥有的任何其他机密信息相同或更强的保护方式,传输和防止该生物特征识别符泄露。
2.美国华盛顿州
《华盛顿修订法典》“RCW” 第19节生物识别符
· 出于商业目的将生物特征识别符纳入数据库,必须事先通知,征得同意或提供一种机制,以防止出于商业目的对这些生物特征识别符进行后续使用;
· 为提供个人要求或明确授权的产品或服务所必要的、为完成个人要求或授权的金融交易、应联邦或州的法律或法院要求、第三方通过合同保证不会进一步披露的、为准备诉讼时,可以向他人出售,租赁或披露个人的生物特征识别符。


如何缓解“偷脸”恐慌



(一)人脸识别应用现状
目前,人脸识别技术的安全性、可靠性及接受度,已经得到了极大的提高,人脸识别技术被用于支付转账、实名登记、解锁解密、换脸娱乐、政府办事、交通安检、门禁考勤、校园/在线教育、公共安全监管等场景,几乎贯穿于我们的日常生活。
除此之外,人脸识别在公安机关发挥着至关重要的作用,例如张学友“逃犯克星”的背后,正是人脸识别技术发挥的奇效。
 
图片来源:智慧芽&罗思咨询《人脸识别行业白皮书》

但是这并不代表着,社会公众可以接受自己的一举一动都被悄然无声地窥视,企业在面对“脸”时,应时刻牢记有所为有所不为。
(二)人脸识别场景下的个人信息保护
1.划定“最小必要”红线
首先,建议根据法律法规之规定划出“最小必要”的红线,在红线之上结合商业目标、区域覆盖范围等因素确定相称的人脸采集目标,尽可能将隐私侵害可能性降到最低。除上文列举的法律合规要求外,企业还可以关注即将于2021年6月1日正式实施的《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020)以及《远程人脸识别系统技术要求》(GB/T 38671-2020),该等国家标准对人脸识别技术的安全性标准提出了详细的合规建议。
2.将合规嵌入数据全生命周期
其次,将法律合规要求嵌入到数据全生命周期,在采集人脸数据前,必须确保为数据主体提供了充足的通知,说明如何收集、使用、保护、共享等信息,并且需要获得数据主体的有效同意,如果发现未获得数据主体同意,则必须立即停止处理和删除不匹配结果中的所有数据。在传输和存储过程中,需要确保数据的安全性,例如采取加密技术、特别认证技术、访问权限、分开存储等方式。
3.定期进行“数据体检”
最后,应定期进行“数据体检”,做好数据安全影响评估。由于面部识别信息属于敏感数据,可能会对个人的权利和自由造成高风险,无论是出于试运行或是其他运营目的,都应定期评估对数据主体可能带来的风险、是否符合目的相称性、风险处理方案是否排除对隐私侵害最小的替代方案等,并根据审查评估结果定期更新记录材。

作者介绍

马清泉


maqingquan@wincon.cn

0532-68972937


马清泉的主要业务领域为民商事诉讼/仲裁、公司与并购以及科技与互联网,特别在新经济和创新技术产业方面(涵盖互联网电信、数字娱乐、海洋科技、医疗健康和基础设施等)具有一定的研究与积累。多次参与企业融资、破产重组、公司并购、外商直接投资及其他资本市场业务,提供有关法律尽职调查、合规建议、投资结构设计、重组、谈判、起草文件及交易交割等多方面服务。

 

马清泉已与新型信息技术企业及技术专业人才间建立深度合作关系,可围绕基础电信、互联网/电子商务和其他增值电信业务、大数据、物联网、人工智能、云计算项目、个人信息和数据保护、数据跨境传输、网络安全合规、互联网金融等业务领域提供针对性法律服务。


作者往期文章推荐:

1.文康法评丨互联网“强监管”时代下的“头腾”之争:腾讯的“短视频整治”是否构成垄断?

2.数据合规丨关于“健康宝”照片泄露事件的数据合规思考

3.TMT行业丨双十一狂欢前夕,直播带货监管意见正式出台


王译萱

wangyixuan@wincon.cn

0532-85773167


王译萱的主要业务领域为民商事诉讼/仲裁,房地产,公司与并购,科技与互联网。可围绕基础电信设施的建设和开发,大数据、个人信息及隐私保护、数据收集与跨境传输及数字娱乐等方面提供相关法律服务。


王译萱具有数据合规官资格,工作语言为中文、德文与英文。

文康-君益诚

大合规应用研究中心

这是一个“大合规”的时代。近年来,随着不合规受罚事件的频繁发生和风险防控意识的增强,作为舶来品的“合规”概念在国内得到空前重视并开始生根发芽。从最初的反腐败/商业贿赂合规,到现今的数据合规、环境保护合规、人力资源合规、税务合规等,合规的适用领域可谓“全面开花”,竞相登场。


不可否认,合规具有无可替代的价值,毕竟在一个充满风险的社会中,最能给人带来力量的无疑是安全感,而合规则是安全感的另一种表达。在此大背景下,为了能更好地适应时代潮流与为客户提供更好的服务,文康-君益诚律师联盟将正式设立“大合规应用研究中心”,致力于将合规概念拓展应用到实务中,将之场景化,探索建立符合国家导向、包含可操作性措施的全生态合规应用体系。


本文作者

马清泉合伙人
投资并购与公司治理 商事诉讼与仲裁 合规

专栏文章

 显示更多