中欧美法域下人脸识别技术应用的合规路径和边界（下）

2021-04-16

上篇文章推出后不久，4月9日，浙江省杭州市中级人民法院就郭兵与杭州野生动物世界有限公司的服务合同纠纷二审案件，依法公开宣判。二审维持了一审判决，并增加了要求被告删除原告办理年卡时留存的指纹识别信息。接着在上篇的文章中介绍的人脸识别信息在中国隐私法、欧盟GDPR和美国主要州隐私保护法下的定义和人脸识别技术的主要应用场景，在下篇的文章中，笔者将主要介绍在这些主要法域中处理人脸识别信息的法律基础和合规路径。

三、处理人脸识别信息的法律基础和边界

（一） 中国法

中国《民法典》第1035条规定处理个人信息应当遵循合法、正当、必要原则，并符合四个条件，其中第一个条件为“征得该自然人或者其监护人同意。” 《个人信息保护法》草案第30条规定，当处理敏感个人信息时，应当取得个人的单独同意。同时，第31条还要求个人信息处理者向个人告知处理敏感信息的必要性以及对个人的影响。《消费者权益保护法》第29条规定，“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。” 2020年10月1日由国家市场监督与管理委员会和国家标准化管理委员会共同发布的《个人信息安全规范》第5.4条规定，“收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及储存时间等规则，并征得个人信息主体的明示同意。”

简言之，中国法下对人脸识别信息收集处理的法律基础，采用比一般信息收集更严格的“告知”加“同意”。一方面，《个人信息保护法》草案第18条对何为有效“告知”做出了明确规定，要求个人信息处理者以显著方式和清晰易懂的语言向个人告知信息处理者的身份和联系方式、处理目的、处理方式，处理的信息种类、保存期限以及个人行使数据主体权利的方式和程序。另一方面，草案第14条对何为有效“同意”也做出了明确规定，要求“同意”是在充分知情的前提下，由个人自愿、明确做出的意思表示。2020年3月全国信息安全标准化技术委员发布的《个人信息告知同意指南》征求意见稿第8条规定，收集敏感信息的，应“明确标识或突出显示”。

（二） 欧盟数据保护条例（GDPR）

GDPR对处理敏感类个人数据的态度是“禁止除非例外”，数据处理的法律基础也是告知加同意或在有限情况下基于数据控制者的合理必须目的。

GDPR第9条处理特别类别个人数据第1款规定，“禁止处理揭示种族或民族血统、政治观点、宗教或哲学信仰或是否为工会成员的个人数据，禁止处理以唯一识别自然人为目的的遗传或生物识别数据，或与健康、自然人的性生活或性取向有关的数据。”除非第2款列示的十种例外情况的其中一种满足。这十种例外情况通常可以被企业在日常运营中利用的可能只有以下两种，而其他八种情况主要与保护数据主体生命、非营利机构、已被数据主体明示公开、司法活动、实现公共利益、医疗和职业健康、公共健康、科学研究有关。

具体而言，第一种例外情形是第9条第2款（a）项规定的“数据主体已明确同意为一个或多个特定目的处理这些个人数据，除非欧盟或成员国法律规定数据主体不得解除第9条第1款的禁止。” 第二种例外情形是第9条第2款（b）项规定的“为了履行控制者或数据主体在雇佣、社会保障和社会保护领域的具体权利而必须，并且须得到欧盟或成员国法律或根据成员国法律达成的集体协议的授权。同时必须为数据主体的基本权利和利益提供适当的信息安全保障。”

（三） 美国数据保护相关立法

CCPA和CPRA第1798.121条赋予了消费者有限的自愿退出权（Opt-Out），即消费者可“随时要求企业将消费者敏感个人信息的使用限制在为提供符合普通消费者合理预期的服务或商品所必需的范围内” ，或者是为了提供第1798.140条第（e）款第（2）、（4）、（5）和（8）项下的商业目的，包括保证数据安全完整、短期暂时的不涉及数据画像的非个人定制广告、提供与订单交易、身份验证、付款等与提供的商品服务有关的服务和验证、确保及提高服务和设备的质量和安全。企业为除此以外的商业目的使用或披露消费者敏感个人信息的，应当向消费者发出通知表明具体目的。由此可见，CCPA和CPRA并没有要求企业在收集消费者敏感信息前需要得到其同意的意思表示。

VCDPA要求数据控制者在处理消费者的敏感数据之前获得同意 ，同意在VCDPA被定义为“明确的肯定行为，表示消费者自由、具体、知情和明确地同意处理与消费者有关的个人数据。” 这样的要求与GDPR几乎相同。

BIPA第15条对生物识别信息的保存、收集、披露和销毁做出了非常详细的规定。BIPA要求私人实体必须“书面告知数据主体生物识别标识或生物信息被收集和储存、收集、储存和使用的特定目的和时长，并须获得数据主体的书面同意，”并且“私人实体不能销售、租赁、交易或获取利润。”除非例外情况出现，“私人实体不能披露、再披露或传播生物识别标识或生物信息。”

四、合规路径

（一） 符合法律要求的“告知”加“同意”

“告知”加“同意”是目前企业在应用人脸识别信息时通常采用的合法路径，也是《个人信息保护法》草案确立的个人信息处理的核心规则。但企业需要注意的是，在拟定告知和同意书时应确保符合不同法域下个人数据隐私保护法律的要求。同时，无论是在中国法还是欧盟GDPR下，数据主体都有撤回同意的权力。企业需要妥善保存数据主体签署（电子或书面形式）的同意书，建立一套在数据主体撤回同意时能及时处理的路径，包括撤回同意和永久删除相应已存储的个人信息。

（二） 最小必要原则

三个法域隐私保护法都体现了最小必要原则的规定。《个人信息保护法》草案第6条规定“处理个人信息应当具有明确、合理的目的，并应当限于实现处理目的的最小范围，不得进行与处理目的无关的个人信息处理。” 第31条要求个人信息处理者处理敏感个人信息时，“还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。” 《个人信息安全规范》第5条从收集个人信息与实现产品或服务的“关联性”，“自动或间接获取个人信息的频率和数量” 方面明确了收集个人信息的最小必要原则。GDPR第5条规定了处理个人数据的六大原则，其中包括第1条（b）款的目的限制和（c）款的数据最小化。CCPA、CPRA和VCDPA都有关于数据最小化的规定，其中VCDPA 明确将“个人数据控制者的收集和处理限制在合理必要且符合先前向消费者披露的目的范围内。”

（三） 提供使用替代方案的可能性

文章上篇开头提到的“人脸识别第一案”中，被告杭州野生动物世界起初在消费者购买年卡时可以通过验证年卡及指纹方式入园，但在三个月后，原告在安装了人脸识别检票系统后，就完全拆除了原来的指纹检票系统，没有保留任何替代方式。

但由于数据主体有权利不同意个人敏感数据被收集和处理，若数据主体拒绝提供人脸识别信息，有可能导致双方民事合同无法履行，比如劳动合同，则企业应在考虑应用人脸识别技术的同时，保留传统的不涉及个人信息收集的合同履行路径，而不应“一刀切”。比如上海有些小区已开始使用人脸识别系统应用于小区门禁系统，但仍然保留了传统的刷卡进出小区的方式。

（四） 数据储存期限和删除机制

各法域数据保护立法打破传统诸多概念之一就是数据永久保存不是默认选项。《个人信息保护法》草案第20条规定，“个人信息的保存期限应当为实现处理目的所必要的最短时间。” GDPR下数据主体有“遗忘权（Right to Forgot）”。GDPR第5条第1款（e）项规定个人数据储存“不得超过处理该个人数据所需的时间。” CCPA、CPRA和VCDPA也赋予了数据主体要求数据控制者在提供服务完毕后或在消费者要求下删除数据的权力。所以，企业必须建立一个合适的、能被业务目的支撑的数据存储和删除机制，并确保这样的删除机制能在运营中切实履行。

（五） 确保数据安全

企业应切实做好网络安全保障工作。近年来，随着“一案双查”制度的落实，在网络安全事件发生后，执法部门不仅会追查发动网络攻击的不法分子，同时会对企业履行网络安全义务的情况进行检查。特别是在企业储存了大量如人脸识别等敏感信息的情况下，一旦发生数据泄露事故，会增加与数据主体发生纠纷的可能性。并且，在数据安全无法保障的情形下，一旦发生重大数据泄露，很容易遭到执法机构的严厉处罚。比如2020年10月，英国数据隐私监管机构宣布最终确定对万豪酒店集团因在2014年发生的数据泄露进行处罚，罚款金额高达1,840万英镑。

（六） 欧盟GDPR下额外需要考虑的问题

1.禁止除非例外

由于在欧盟处理人脸识别信息的规定是“禁止除非例外”，所以并不是只要企业履行有效的“告知”加“同意”后就可以进行敏感信息的收集，而是会审查企业处理敏感信息是否能符合GDPR第9条第2款中的十种特殊情况。在实务操作中，除非出于非常强的合理目的驱动，不建议收集处理人脸识别信息。

实际上，即便是使用不涉及捕捉生物信息的常规监控设备，在GDPR下也要求数据控制者履行更为严格的义务。在欧盟数据保护委员会发布的《通过视频设备处理个人数据的第3/2019指引》中，为保证数据控制者履行信息披露责任的透明度，建议使用双层的告知结构。即，数据控制者可以在第一层告知中通过披露相关信息“提供警示信号，同时提供显示信息和图标，以易于查看、易于理解和清晰可读的方式，对预期处理活动进行有意义的概述。”并在第二层告知中提供详细说明,“必须在数据主体易于访问的地方提供更为详细的说明，比如可于前台获取完整信息列表。” 此外，若企业采取“告知”加“合理目的”为路径的方案，必须用事实数据支撑合理目的。比如安装监控摄像头是为了减少财产损失，那么企业必须提供实际发生财产损失的数据作为支持，这些评估必须形成记录存档的数据隐私影响评估。

2.雇佣法律关系

欧盟GDPR第88条对于在雇佣关系下雇主处理员工个人信息设立了特殊的规定。要求“确保在雇佣背景下处理雇员个人数据的权利和自由，特别是为了招聘、履行雇佣合同...”也就是说，在履行劳动合同的背景下，获取员工的同意比通常的同意有着更为严格的要求。企业要避免这样的风险，即员工是为了继续履行合同，而迫于雇主压力签署同意，特别是在同意提供敏感信息的数据处理活动中。

五、结论

欧盟GDPR已经生效近三年，中国《个人信息保护法》草案已于2021年3月提请全国人大常委会审议，美国也有十几个州正在进行个人信息保护的立法。中国企业，特别是已经或正走在跨海经营路上的企业，在合理运用人脸识别技术的过程中，必须充分考虑数据处理活动所在法域法律法规的具体要求，以作为实施对应合规路径的基础。在人脸识别数据应用的场景下，有效告知加同意、保留替代方案、符合最小必须原则、制定合理的数据储存机制、确保数据安全，以及充分注意欧盟GDPR下的特殊要求，正是保证合规的关键。

本文作者：

孙琳，美国纽约州律师、中国律师和中国注册会计师。深诣企业海外经营下合规体系的搭建。有极为丰富的合规、内控和审计经验。

指导合伙人：