梆梆资讯

梆梆资讯

最高法发布司法解释 明确App人脸信息处理规则

2021-07-28

7月28日,最高人民法院发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。解释明确规定,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析,应当认定属于侵害自然人人格权益的行为。

在答记者问环节,最高法有关负责人就物业不得强制将人脸识别作为出入小区唯一验证方式、处理未成年人人脸信息须征得监护人的单独同意、应用程序不得强制索取非必要个人信息等问题进行详细解答。

应用程序不得强制索取非必要个人信息

最高法表示,由于人脸信息属于敏感个人信息,处理活动对个人权益影响重大,因此,在告知同意上,有必要设定较高标准,以确保个人在充分知情的前提下,合理考虑对自己权益的后果而作出同意。

最高人民法院研究室民事处处长陈龙业:《规定》第2条第3项引入单独同意规则,即:信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,而不能通过一揽子告知同意等方式征得个人的同意。

最高法介绍,基于个人同意处理人脸信息的,个人同意是信息处理活动的合法性基础。只要处理者不超出自然人同意的范围,原则上该行为就不构成侵权行为。自愿原则是民法典的基本原则,个人的同意必须是基于其自愿而作出。

最高人民法院研究室民事处处长陈龙业:特别是对人脸信息的处理,不能带有任何强迫因素。如果信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等模式,会导致自然人无法单独对人脸信息作出自愿同意,或者被迫同意处理其本不欲提供且非必要的人脸信息。

为强化人脸信息保护,防止信息处理者对人脸信息的不当采集,《规定》第4条对处理人脸信息的有效同意采取从严认定的思路。对于信息处理者采取“与其他授权捆绑”、“不点击同意就不提供服务”等方式强迫或者变相强迫自然人同意处理其人脸信息的,信息处理者据此认为其已征得相应同意的,人民法院不予支持。

人脸信息落实最小必要原则早有据可依

《GB/T 35273-2020 信息安全技术 个人信息安全规范》已于2020年10月1日正式实施,规范针对个人生物识别信息安全方面的要求进行细化与完善。

《规范》规定在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。

而对于生物识别信息的存储,《规范》也提出了具体的解决措施。

第一,个人生物识别信息要与个人身份信息分开存储;

第二,原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:仅存储个人生别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

《T/TAF 077.7-2020 App收集使用个人信息最小必要评估规范 人脸信息》中规定了人脸信息落实最小必要原则,对人脸信息收集、使用、存储做作出针对性规定。

首先,在收集方面,规范提出“不应强制或欺骗误导人脸信息主体进行人脸识别,当人脸信息主体不进行人脸识别时,不应禁止人脸信息主体的正常使用”。

另外,强调收集人脸信息应遵循“最小必要”原则,并在收集前应通过隐私协议等方式向人脸信息主体告知人脸信息处理方式的描述,如:仅本地收集、远程核身等。

在存储方面,应将人脸信息与人脸信息主体的身份信息分开存储,人脸模板应进行加密存储,并采用授权访问方式读取,存储人脸识别比对信息时,可通过密码技术、假名标识符等方式生成不可逆、可更新的人脸参考,并进行加密存储。

针对人脸信息不同的处理方式,也提出了不同的要求。

在使用方面,规范要求不应基于人脸信息生成用户画像,且不应基于人脸信息进行定向推送,且不应共享或转让人脸信息。

人脸识别信息规范化处理实践

近年来,一方面,梆梆安全在深刻理解法律法规相关要求的基础上为用户提供个人信息保护咨询服务,另一方面,基于技术积累实现了对人脸识别绕过等安全问题的实时监测,在企业个人信息安全保护中取得了良好的实践效果,实现了技术与业务双轮驱动的业务风控升级。

(一)人脸识别信息处理应取得用户明示同意

1、在隐私政策中向用户告知采集目的、方式和范围,取得用户的明示同意;如需要重复或多次采集人脸信息识别信息,应单独向用户告知并取得用户明示同意;

2、确保原则上不存储原始用户人脸识别信息,在采集终端直接使用人脸识别信息实现身份识别、认证等功能,在使用人脸识别特征实现识别认证等功能后删除原始信息;如确需保存信息的,应进行加密存储,并与人脸信息主体身份信息分开存储;

3、原则上不共享、转让人脸识别信息,如确需共享、转让,应事先对个人信息安全影响进行评估,向用户告知采集、共享、转让的使用目的、方式和范围,取得用户明示同意,多次共享转让时应单独向用户进行告知并取得用户明示同意;

(二)第三方SDK接入管理

当前业务中由于第三方SDK的引入,用户很难对共享、转让人脸识别信息进行把控,因此需要掌握第三方SDK必须且需要获得的权限,并进行严格管理。建议企业对接入的第三方产品或服务进行核查管理,及时发现第三方SDK需要收集、使用的人脸识别信息收集范围、使用方式等,提前向用户告知且取得明示同意授权;必要时应对第三方SDK使用进行限制。

(三)加强个人信息保护制度,识别分析滥用、大数据分析等标记用户现象

分析应用各场景下的底层技术行为,核查在业务运行中是否对个人信息进行了匿名化处理;核查业务运行中是否存在使用大数据分析技术对人脸信息进行分析对用户进行特征标记的情形等。

梆梆安全可以帮助企业梳理App检测流程及检测点解读,为企业提供安全合规问题修复咨询服务及复查服务,提供专业安全工具深度分析App各项行为,采用数据驱动的方式,提供标准化的评估选项对每个业务场景进行检查,最大程度降低隐私数据泄露及合规的风险,满足监管部门的评估要求,确保个人信息数据安全流转及使用。

友情链接:

京公网安备 11010802024511号

Copyright ©2022. All Rights Reserved 京ICP证160618号  京ICP备11006574号-1