个人信息保护丨高校应用人脸识别,这些分寸需把握
《中华人民共和国个人信息保护法》今起施行,其中明确规定:不得过度收集个人信息、不得滥用人脸识别技术、不得大数据杀熟等,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。
人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人人身财产安全造成极大危害,甚至可能威胁公共安全。
2021年7月28日,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》发布。“保护当事人合法权益,促进数字经济发展。”为司法解释核心宗旨。
这几年,很多高校都应用了人脸识别应用,如考勤管理,疫情防控,精准识别危险、异常行为,预防发现校园霸凌……不可否认,人脸识别技术的运用对于提升工作效率具有重要意义,但是安全问题也不容忽视,如人脸信息的处理规则很少披露,甚至出现强制使用人脸识别的现象。
如何从制度和技术两个维度上平衡好高校管理和师生个人权益保护之间的关系,值得高校重视与深思。
高校应用人脸识别的现状
相关信息显示,截至2021年7月28日,在137所“双一流”建设高校中,仅有2所高校尚无公开信息表明其已部署人脸识别技术,其余135所高校均在不同程度上引入了人脸识别。
数据表明,绝大多数高校(111所)早在2020年之前就已经部署了人脸识别,仅有24所高校是在2020年之后才开始引入的。
2014年,西南交通大学和西安交通大学先后引入人脸识别,分别用于员工考勤和迎新。此后至2018年,每年引入人脸识别的高校数量呈爆发式增长。仅2018年,就有49所“双一流”建设高校引入人脸识别。
在新冠疫情发生之前部署人脸识别的111所高校中,有54所高校存在强制使用人脸识别的现象,占比48.65%;在新冠疫情发生之后,共有135所高校引入了人脸识别,其中有106所高校存在强制使用人脸识别的现象,占比78.52%。
疫情防控期间,人脸的使用被摆到了更加突出的位置,如无接触式的“刷脸”进门、无感测温,在提高防控效果、提升工作效率方面具有重要意义,让社会各界进一步认识到了这一技术的重要作用。
在此背景下,人脸识别技术的应用越来越深入,被引入到社会公共生活的各个方面。一些高校为打造智慧校园也纷纷引进人脸识别技术,将其应用在高校门口、学生宿舍、教室、图书馆等场景,以提高安全保卫及教学工作的效率,强化校园管理。
归纳起来,人脸识别技术在高校的具体应用场景可分为四大类,即门禁类、教学行政管理类、安全管理类以及生活支付类。
其中应用频次较高的应用场景是校门及宿舍门禁、安防监控,防疫红外测温,远程考试,刷脸报到、注册、迎新,智慧教室和课堂管理等。
风险隐患分析
据统计,2020年,我国高等教育在学总规模4183万人,专任教师183.30万人。高校如何运用人脸识别技术,将影响到规模庞大的个人信息主体。高校的示范效应也将进一步影响中小学、社会企业等其他机构。
高校所采集的人脸识别信息(包含表情活动信息),由于为特定自然人独有,不可复制,且可直接体现特定自然人身份信息,因而属于公民个人信息。随着人脸识别滥用问题的凸显,高校运用人脸识别的行为也应当得到法律的审视。
从“2019年中国人脸识别第一案”、2020年售楼处头盔看房,到今年央视3.15晚会曝光人脸信息被偷偷采集,人们对人脸识别技术滥用的担心不断增加,强化人脸信息保护的呼声也日益高涨。
尤其是在教育领域,近年来,高校信息泄露事件时常发生,甚至有高校信息泄露导致学生被违规办理信用卡、虚开工资等。此外,2021年,重庆某大学一栋宿舍楼的学生在地震逃生时,排队刷脸引发拥堵,幸未造成伤亡。
在收集层面,师生常在被动情况下被收集人脸信息,另一种情况是将人脸识别作为唯一验证方式,强制收集师生尤其是学生人脸信息。
此外,还存在在公共场所针对不特定人设置人脸识别设备的情况。例如不少高校安装了人脸识别摄像头、含人脸识别功能的红外测温设备,这将使得未注册人脸识别的师生也会被人脸识别设备捕获分析。
部分人脸识别闸机可以远距离识别人脸,使得路过的不特定对象也会为闸机所捕获,甚至被存储,引发个人信息安全隐患。
当某个学生的表情活动信息累积到一定数量后,大数据通过推理,演算出这个人的性格特征、日常习惯等,然后结合其性格、习惯,可能存在专门针对此人制定的陷阱,通过巧合的方式,实施违法行为。
在应用层面,存在直接从其他照片库导入人脸信息,径行用于人脸识别,以及授权不清不明、不按规定用途使用等情况,加大了个人信息安全管控的风险。
在数据存储层面,存在数据存储管理缺乏相应制度,不透明,不公开,应急预案缺失。或者存在没有相应安全措施对人脸数据加密存放和审计等措施。
更令人担忧的是,目前几乎未见有高校在采集和处理人脸信息时,对该技术的供应商进行公示。然而,供应商引发的个人信息安全风险不容忽视。
一旦供应商面临破产或遭遇信用危机,人员资产流失,便难以顾及人脸信息管理与设备维护升级。而高校如果选择将数据存储在第三方公司或进行云端存储,则供应商经营失败所导致的信息泄露风险更加显著。
此外,还存在部分高校在与人脸相关的应用系统中存在对等级保护不够重视,系统未定级或者定级走过场,安全措施不完善即投入使用;系统维护方不在高校,而是外包给第三方来做建设和维护;以及部分高校将数据存放在本地而有些高校存放在云端,技术上不规范,存在明显的安全漏洞等问题。
从法规角度看
司法解释对人脸应用的要求
人脸信息属于敏感个人信息中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。
《民法典》第1034条规定,自然人的个人信息受法律保护,所以高校对于信息的采集与妥善的管理使用必须合法,非法获取或提供公民个人信息将触犯《刑法》的第253条之一的侵犯公民个人信息罪。
我国目前主要有两种取得信息采集权限的方式。第一种是采集信息需要经过法律的许可,如公安部门对于公民户籍信息采集等。第二种是需要被采集者的事先同意。
2021年7月,最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》),这是最高人民法院在民事领域首部直接针对个人信息处理行为出台的规范性文件。
与此同时,《规定》从司法裁判的角度对各类信息处理者如何合法合规使用人脸识别技术处理个人信息作出了指引,对高校使用人脸识别技术处理个人信息的行为起到很好的规范作用。
1.单独同意规则要求
由于人脸信息属于敏感个人信息,处理活动对个人权益影响重大,因此,在告知同意上,有必要设定较高标准,以确保个人在充分知情的前提下,合理考虑对自己权益的影响而作出决定。
《规定》第2条第3项引入单独同意规则,即:信息处理者在征得个人同意时,必须就人脸信息处理活动单独取得个人的同意,不能通过一揽子告知同意等方式征得个人同意。
2.不得强迫同意否则无效的要求
基于个人同意处理人脸信息的,个人同意是信息处理活动的合法性基础。只要信息处理者不超出自然人同意的范围,原则上该行为就不构成侵权行为。自愿原则是民法典的基本原则之一,个人的同意必须是基于自愿而作出。
为强化人脸信息保护,防止信息处理者对人脸信息的不当采集,《规定》第4条对处理人脸信息的有效同意采取从严认定的思路。
对于信息处理者采取“与其他授权捆绑”“不点击同意就不提供服务”等方式强迫或者变相强迫自然人同意处理其人脸信息的,信息处理者据此认为其已征得相应同意的,人民法院不予支持。
第4条的规定不仅适用于线上应用,对于需要告知同意的线下场景也同样适用。
3.公开透明原则的要求
公开透明原则是指信息处理者在处理个人信息时应当公开处理信息的规则,并明示处理信息的目的、方式和范围,确保信息主体享有知情权。
根据《民法典》第1035第1款第2、3项规定,处理人脸信息应当公开、透明。
公开透明原则是信息主体知情同意的保障,只有让信息主体充分知悉和了解处理个人信息的规则、目的、方式和范围,了解个人信息被处理的后果和可能的影响,才可以确保信息主体的判断是自主、真实和合理的。
另外,公开透明原则也要求信息处理者的“公开”应采取通俗易懂、简洁明了的语言,确保信息主体充分的知悉和了解。
4.合法性原则与同意原则之例外要求
处理个人信息应当遵守合法性原则,合法性的依据主要来源于两个方面:一是法律法规的明确规定;二是信息主体的同意。
同时,《民法典》第1035条第1款第1项规定了例外情形,即在法律、行政法规另有规定的情况下,无需征得个人单独同意即可处理人脸信息。
这是指无需取得信息主体同意即可处理个人信息的例外情形,但这些例外必须由法律、行政法规作出明确规定,例如《民法典》第1036条规定的免责情形和《个人信息保护法》第13条第1款第2项至第7项规定的无需征得个人同意的情形。
5.履行人脸信息安全保护义务之要求
《规定》第1条第2款根据《民法典》第1035第2款关于个人信息处理方式的规定,明确人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。
根据《民法典》第1038条第2款规定,人脸信息处理者应履行安全保护义务,采取技术措施和其他必要措施确保其收集、存储的个人信息安全。信息处理者未尽到安全保护义务应承当相应的侵权责任。
第2条第5项是信息处理者未履行人脸信息安全保护义务情形下构成侵权的认定标准。实践中,因为信息处理者未履行对个人信息的安全保护义务,导致个人信息泄漏的事件时有发生。
应对策略与建议
1.坚持以人为本,在收集和使用人脸数据前严格执行“告知——同意”原则
在收集信息时应向被采集者公开收集的方式、范围、使用目的等。同时这些信息还要满足正当性、必要性,也就是说高校管理过程中确有必要的信息才可以进行收集。
最重要的是必须经过被收集者的同意,不能再“默认同意”“默认授权”“告知不等于同意”,可以通过与师生签订相关书面协议的方式来进行。
在未经同意的情况无权采集更无权使用,这种“默认同意”可能存在侵权(侵害自然人人格)法律风险,严重的可能存在涉嫌侵犯公民个人信息罪的风险。
事前已经投入使用的,应该在事后完善和补充相关协议。始终牢记收集和使用应遵循合法、正当、必要的原则这根红线。
2.重视和严格落实等级保护等法律法规要求的相应技术标准和规范
《数据安全法》第二十七条规定开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
等级保护的意义之一便是满足合法合规要求,明确责任和工作方法,让安全防护更加规范。同时明确整体安全目标,改变以往单点防御方式,让安全建设更加体系化。
牢记“动态安全”观,正确对人脸识别应用此类系统进行定级,对其技术要求必须严格落实,因为等级保护是最基本的要求。
3.采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全
一般情况下,除非数据主体明确同意,不应存储人脸信息。获得同意后,在存储环节,信息处理者应将原始人脸信息加密存储,并对其他个人隐私进行安全隔离。在使用环节,某些中间环节不得归集或截留原始人脸信息,实现端到端的人脸信息保护。
用好审计监督,对收集的人脸数据进行全生命周期管控。数据存储应当全部存放在本地,并做好异地备份。
数据存储和数据使用应采用流程管理,明确职责边界,采集、处理、使用等环节应注重保留操作审计记录,对个人信息的重要操作设计内部审批流程;对数据全面审计,保证数据活动的所有操作可追溯,有专人审计更好,做到数据安全自主可控。
如学生毕业后存放在人脸识别设备中的人脸数据及时销毁,对不同意使用人脸识别的师生提供其他便捷的服务认证识别方式等。
4.落实保障删除权之制度与技术实现
《规定》第12条规定明确了自然人的删除权,与撤回同意权类似,删除权也是《个人信息保护法》拟赋予个人信息主体的一项重要权利。
在有约定的情形下(比如信息处理者公布且经用户同意的个人信息处理规则),信息处理者违反约定处理用户的人脸信息的,考虑到双方的信任已经丧失,为了更好的保护人脸信息的安全,不论是否有约定,信息处理者都应当予以删除。
5.重视安全技术人才培养
高校信息部门缺人是一个不争的事实,但是随着高校信息化深入,高校各个部门对信息化依赖越来越大,部分高校将信息系统建设、信息安全等业务全部外包,外包确实有效缓解了人手不足而信息化需求大的压力,在某些方面更为专业等优势;但安全隐患也明显。因此大力培养和吸纳优秀技术人才势在必行。
人脸识别技术是个人信息保护领域的重中之重,《规定》在民事领域划定了使用人脸识别技术的合法性边界,也留下了技术发展的空间。
整体而言,《规定》与《个人信息保护法》高度契合,对今后涉及人脸信息以及其他个人信息的民事案件审理和企业合规工作开展均具有较强的指引作用,值得引起高校管理与从业人员的高度重视。
我国已正式建立起以《网络安全法》《数据安全法》和《个人信息保护法》三部法律为核心的网络安全、数据安全与个人信息保护法律体系。
随着相关配套法规政策的日臻完善,我国对个人信息、数据安全以及网络安全的保护将迈上一个崭新的台阶,与此同时,对于高校的合规要求也将随之大幅提高,建议高校业务必提前做好准备。
作者:范江波(西南财经大学信息与教育技术中心)