人臉信息
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄[隱藏] |
根據《民法典》等相關法律規定,“人臉信息”屬於“個人信息”中的“生物識別信息”,是生物識別信息中社交屬性最強、最易採集的個人信息,具有唯一性和不可更改性,受個人信息和隱私權的雙重保護。
人臉信息是個人核心隱私,也是個人敏感信息。人臉信息不僅涉及個人肖像,還包括身體、健康、年齡、種族等信息,甚至可能包括個人的心理信息。
人臉信息屬於個人信息。直接或間接可以識別到自然人身份的信息,就是個人信息,人臉屬於生物識別信息,所以人臉識別屬於個人信息。
人臉信息屬於高度敏感信息,必須基於公共利益的需要或者權利人“明確同意”才能採集。《民法典》等法律中均明確了除法律另有規定外,對個人信息的收集要遵循“合法、正當、必要”的原則和徵得當事人同意。個人對其信息被收集、使用有知情權、刪除權、更正權。
人臉信息的處理包括人臉信息的收集、存儲、使用、加工、傳輸、提供、公開等。
人臉信息處理主要包括人臉識別和人臉分析等。
人臉識別的定義可參考國家標準《信息安全技術 遠程人臉識別技術要求》第3.1.2條,是指以人面部特征作為識別個體身份的一種個體生物特征識別方法。人臉識別可分為人臉驗證和人臉辨識。人臉驗證是指對真實身份的認證(1:1比對),例如刷臉支付應用等。人臉辨識是指在指定範圍內進行搜索比對(1:N比對),例如企業刷臉門禁應用等。
人臉分析即針對人臉信息進行屬性分析。商業場景中不乏通過對人臉信息顏值、微笑值、年齡、性別等屬性進行分析,進而提供娛樂互動營銷、門店用戶畫像、精準廣告投放等情形,以大幅提升用戶體驗,刺激消費。
根據《中華人民共和國民法典》《中華人民共和國網路安全法》《中華人民共和國消費者權益保護法》《中華人民共和國電子商務法》《中華人民共和國民事訴訟法》等法律的規定,信息處理者處理人臉信息有下列情形之一的,人民法院應當認定屬於侵害自然人人格權益的行為:
(一)在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定使用人臉識別技術進行人臉驗證、辨識或者分析;
(二)未公開處理人臉信息的規則或者未明示處理的目的、方式、範圍;
(三)基於個人同意處理人臉信息的,未徵得自然人或者其監護人的單獨同意,或者未按照法律、行政法規的規定徵得自然人或者其監護人的書面同意;
(四)違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、範圍等;
(五)未採取應有的技術措施或者其他必要措施確保其收集、存儲的人臉信息安全,致使人臉信息泄露、篡改、丟失;
(六)違反法律、行政法規的規定或者雙方的約定,向他人提供人臉信息;
(七)違背公序良俗處理人臉信息;
(八)違反合法、正當、必要原則處理人臉信息的其他情形。
保護人臉信息,首先要認真遵守貫徹好《民法典》對人的信息保護的應用。《民法典》第1035條明確收集信息應當堅持合法、正當、必要原則,堅持最小化原則,能不收集儘量不收集,能少收集儘量少收集。這裡自然也涉及人臉信息保護的規範問題。
同時,《民法典》第1038條也明確規定這些信息不得擅自轉讓、共用;在共用時要再次取得權利人的同意,除非已進行匿名化處理。但即便如此,相關方也要負起安全維護職責。
《最高人民法院關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若幹問題的規定》明確,基於個人同意處理人臉信息的,未徵得自然人或者其監護人的單獨同意,或者未按照法律、行政法規的規定徵得自然人或者其監護人的書面同意;違反法律、行政法規的規定或者雙方的約定,向他人提供人臉信息等,人民法院應當認定屬於侵害自然人人格權益的行為。
未採取應有的技術措施或者其他必要措施確保其收集、存儲的人臉信息安全,致使人臉信息泄露、篡改、丟失;未公開處理人臉信息的規則或者未明示處理的目的、方式、範圍;違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、範圍等;違背公序良俗處理人臉信息均認定為侵權行為。