中欧美法域下人脸识别技术应用的合规路径和边界

央视3.15晚会曝光的科勒卫浴、宝马4S店和国际品牌MaxMara门店收集顾客人脸信息事件将个人信息保护,特别是人脸识别信息使用这一敏感话题再次推向合规的风口浪尖。

2019年11月,因不同意杭州野生动物世界擅自改变入园方式,导致游客只能通过人脸识别方式入园,浙江理工大学副教授郭兵以违反合同约定为由,起诉杭州野生动物世界。2020年11月,杭州地方法院一审判决被告败诉,赔偿原告合同损失及交通费用共计1,038元,并删除原告办理指纹年卡时提交的包括照片在内的面部特征信息。该案也成为国内消费者作为原告起诉商家的“人脸识别第一案”。

本文将围绕这一热点,分上、下两篇针对人脸识别技术应用和个人信息保护合规这一话题,讨论在中国、欧盟和美国法律框架下的合规路径和重点关注领域。


一、人脸识别信息的法律定义

(一) 中国法

2021年1月1日生效的中国《民法典》第1034条将自然人的个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。” 其后列举的个人信息分类中即包括“生物识别信息”。2021年3月进入人大审议的中国《个人信息保护法》草案第29条将敏感个人信息定义为“一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息” ,并以列举的方式将包括“种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息”在内的信息定义为敏感信息。由此,由于人脸识别信息包含“个人生物特征”,应被包括在敏感个人信息之列。

(二) 欧盟通用数据保护条例(General Data Protection Regulation,GDPR)

2018年5月25日开始施行的欧盟《通用数据保护条例》(GDPR)第4条第1款将个人数据定义为“任何指向一个已识别或可识别的自然人(‘数据主体’)的信息。” 第4条第1款定义“生物识别数据”为“通过对自然人的物理、生物或行为特征进行特定的技术处理而得到的个人数据。这类数据生成了自然人的唯一标识,比如人脸图像或指纹识别数据。”

(三) 美国法

美国尚未存在联邦层面的综合性的个人信息保护法,对于个人信息的保护主要来自于普通法和一些走在前沿的州的成文法,并在金融、保险和儿童等特定领域制定了隐私保护法,。目前仅有两个州,以广泛的保护个人信息为立法目的,制定并通过了隐私保护法,即2020年1月生效的《加州消费者保护法》(California Consumer Protection Act,CCPA)(将于2023年1月被《加州隐私权保护法》(California Privacy Rights Act,CPRA)取代)和弗吉尼亚州于今年3月通过、将于2023年1月1日生效的《消费者信息保护法》(Virginia Consumer Data Protection Act,VCDPA)。。此外,值得一提的是,伊利诺伊州虽然没有一部综合性的个人信息保护法,但其2008年10月生效的《生物识别信息隐私法》(Biometric Information Privacy Act,BIPA)却是一部专门规范“收集、使用、保护、处理、存储、保留和销毁”生物识别信息的州法。

加州CCPA将“个人信息”定义为“识别、关联或可以合理地与您或您的家庭联系的信息。” 与GDPR不同,CCPA第1798.140条(o)款将“公开可被获取的个人信息”剔除出个人信息的范畴。CCPA第1798.140条(c)款定义并列举了生物信息,其中就包括脸部图像。第14条(ae)款将生物信息划入敏感信息的范围。CPRA延续了CCPA对个人信息和生物信息的定义。

弗吉尼亚州VCDPA将“生物信息”定义为“自动测量个人生物特征生成的数据” 并进行了列举,包括“指纹、声纹、眼视网膜、虹膜或其他用于识别特定个体的独特生物模式或特征。” 同时,VCDPA将生物信息纳入敏感信息范畴。但是,VCDPA将由联邦《健康保险可转移和责任法》(Health Insurance Portability and Accountability Act,HIPAA)调整的个人信息排除在外。

2008年生效的BIPA,与VCDPA对生物信息的定义相近,同时定义了“生物识别标识(Biometric Identifier)”和基于生物识别标识而定义的“生物信息(Biometric Information)”。此外,BIPA较VCDPA排除的范围更大,不包括书写样本、签字、照片、人口统计信息、由伊利诺伊州《器官捐赠法》、《基因信息隐私法》,以及联邦HIPPA调整的个人信息和医学检测信息。由于BIPA主要规制的是生物信息,其在第10条另外定义了保密和敏感信息。

不难看出,无论是在中国法、欧盟GDPR还是美国的多部州隐私法下,人脸识别信息均被纳入“可识别生物信息”的范畴,并被列为“敏感信息”的一种。BIPA在第5条立法目的中明确提到,“生物识别信息与自然人之间存在生物上的唯一性,所以一旦被侵害,个人将没有救济途径。” 可识别生物信息,包括人脸识别信息几乎无法被自然人随意修改,其唯一性自然不言而喻,这更揭示了生物识别信息的保密和敏感性。


二、人脸识别技术的应用场景

(一) 门禁系统

作为传统工卡、指纹的替代,人脸识别技术被广泛运用于员工上下班打卡和根据权限进出不同办公场所的门禁系统中。通过面部信息进行身份验证,可以记录上班、下班的考勤,或确保进入授权区域的人员具有相应的权限。除了大规模的人员进入管理系统,人脸识别技术还可以应用在私人住宅的电子门禁系统中。

(二) 监控摄像设备

在监控系统中,通过利用人脸识别技术,以识别进入特定区域的未授权人员。安装特殊人脸识别摄像设备的企业或单位,可以将识别到的自然人面部信息与数据库中已被授权人员的面部信息进行比对,一旦特定区域有非授权的人员进入,监控系统立刻报警。这项技术可以应用在高级别的保密区域或安全要求程度较高的场所,比如幼儿园、特殊类型的工厂。

(三) 安全认证、身份核实

在需要严格身份认证的应用场景下,人脸识别技术被运用在提供远程服务的手机应用(App),比如金融服务、电子支付、政府办事、电信服务中,甚至有些航空公司将人脸识别技术应用在登机检查中。在这些应用场景中,人脸识别被作为最高级别和不可替代的认证方式,往往是为了达到一个高安全度的身份验证目的。

(四) 无人商店

无人商店集上述多项应用于一体,既可以通过人脸识别赋予的严格身份认证功能保证商店货物、购物环境的安全,还可以同时实现电子支付的功能。在这一特定场景中,人脸识别的应用可以实现完全的无人工(无需店员)和无工具(没有POS机,也不用带手机)辅助。

(五) 消费者行为分析

将人脸识别技术运用到产品和服务的应用中,比如驾驶座舱的设置,从而记录用户的产品或服务体验、使用习惯和偏好设置。在这样的场景中,使用人脸识别信息通常是在消费者有意识并能主动察觉的情形中存在。而在智慧商业情境下的应用,往往是在消费者没有察觉的情况中,比如本篇开头提到的央视3.15晚会的几个案例。由于人脸信息识别过程的非接触性特点,很容易被提供零售产品和服务的行业用来记录个人的消费行为,通过多维度的数据收集勾勒出数据主体的数据画像、消费者偏好分布、熟客访问率等,提升企业对用户针对特定产品或服务体验的认知,以进行大数据分析,从而达到调整门店布局、营销策略、改进产品或服务的目的。

在下篇中,笔者将分别从中国隐私法、欧盟GDPR和美国主要州隐私保护法,分析处理人脸识别信息的法律基础,并提供我们认为合适的合规路径和关键考量因素。


本文作者:

琳,美国纽约州律师、中国律师和中国注册会计师。深诣企业海外经营下合规体系的搭建。有极为丰富的合规、内控和审计经验。

指导合伙人:

王亮,德恒上海办公室合伙人、律师;在保险、公司合规业务以及争议解决领域执业多年,在合规体系构建、保险等方面具有极为丰富的经验。




编辑:Shawn
来源:德恒律师事务所授权转载

分享到微博
分享到微信
    分享到领英

相关文章