人脸信息
出自 MBA智库百科(https://wiki.mbalib.com/)
目录 |
根据《民法典》等相关法律规定,“人脸信息”属于“个人信息”中的“生物识别信息”,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,受个人信息和隐私权的双重保护。
人脸信息是个人核心隐私,也是个人敏感信息。人脸信息不仅涉及个人肖像,还包括身体、健康、年龄、种族等信息,甚至可能包括个人的心理信息。
人脸信息属于个人信息。直接或间接可以识别到自然人身份的信息,就是个人信息,人脸属于生物识别信息,所以人脸识别属于个人信息。
人脸信息属于高度敏感信息,必须基于公共利益的需要或者权利人“明确同意”才能采集。《民法典》等法律中均明确了除法律另有规定外,对个人信息的收集要遵循“合法、正当、必要”的原则和征得当事人同意。个人对其信息被收集、使用有知情权、删除权、更正权。
人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。
人脸信息处理主要包括人脸识别和人脸分析等。
人脸识别的定义可参考国家标准《信息安全技术 远程人脸识别技术要求》第3.1.2条,是指以人面部特征作为识别个体身份的一种个体生物特征识别方法。人脸识别可分为人脸验证和人脸辨识。人脸验证是指对真实身份的认证(1:1比对),例如刷脸支付应用等。人脸辨识是指在指定范围内进行搜索比对(1:N比对),例如企业刷脸门禁应用等。
人脸分析即针对人脸信息进行属性分析。商业场景中不乏通过对人脸信息颜值、微笑值、年龄、性别等属性进行分析,进而提供娱乐互动营销、门店用户画像、精准广告投放等情形,以大幅提升用户体验,刺激消费。
根据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国电子商务法》《中华人民共和国民事诉讼法》等法律的规定,信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;
(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
(四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;
(六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
(七)违背公序良俗处理人脸信息;
(八)违反合法、正当、必要原则处理人脸信息的其他情形。
保护人脸信息,首先要认真遵守贯彻好《民法典》对人的信息保护的应用。《民法典》第1035条明确收集信息应当坚持合法、正当、必要原则,坚持最小化原则,能不收集尽量不收集,能少收集尽量少收集。这里自然也涉及人脸信息保护的规范问题。
同时,《民法典》第1038条也明确规定这些信息不得擅自转让、共享;在共享时要再次取得权利人的同意,除非已进行匿名化处理。但即便如此,相关方也要负起安全维护职责。
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》明确,基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息等,人民法院应当认定属于侵害自然人人格权益的行为。
未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;违背公序良俗处理人脸信息均认定为侵权行为。