近年来个人信息保护的问题受到了越来越多的关注,并日渐成为社会的前沿问题。近日,上海市某游泳馆以办理业务、提升服务质量的为名收集消费者人脸信息而受到网信部门的监管。本文从该类信息的收集环节切入,分析企业经营者该如何处理敏感个人信息的问题。
一、个人信息的特征
《个人信息保护法》在第一条便开门见山地阐明:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”《个人信息保护法》同时规定:“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等,不包括匿名化后处理的信息”。
《个人信息保护法》中的“个人信息”不同于民众通常的理解,其强调在数字社会的大背景下拥有内在算法的识别性及外在的可记录性,而隐私权更侧重追求“生活的宁静”以及“不被打扰的状态”。《民法典》在第一千零三十四条阐述了隐私权与个人信息权之间的关联,即“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”可见,在数字经济高速发展的时代,隐私权仍然发挥其独特效力,并对个人信息起到补充、兜底的作用。
涉案游泳馆收集的大量人脸信息可以形成“0”和“1”的二进制数据,具有快速传播、不可更改以及精准匹配自然人主体等特性,故本案优先适用《个人信息保护法》。
二、人脸信息系敏感个人信息
消费者的人脸信息,因其具有高度的敏感性,从而适用更加严苛的监管规定,消费者的单方同意同样存在重大的合法合规性问题。
其中典型案例为2019年杭州富阳法院审理的郭某与杭州野生动物世界有限公司服务合同纠纷案。富阳法院虽驳回了郭某包括赔偿各项损失在内的大部分诉请,但郭某要求野生动物世界删除收集的其个人的人脸识别信息被认定为理由正当,并予以了支持。原因在于野生动物世界在合同履行期间将原指纹识别入园方式变更为人脸识别方式,郭某对此明确表示不同意,野生动物世界继续收集、存储郭某的人脸信息缺乏正当性。
公众号“网信上海”近期发布的整改情况来看,涉案游泳馆依据的是《个人信息保护法》第二十九条进行整改,该法第二十八条至第三十二条均属于《个人信息保护法》第二章第二节敏感个人信息的处理规则,其中第二十八条则列举了敏感信息的类型。而通过人脸识别及具体姓名的匹配,显然可以具体地将人物画像同“张三”“李四”等消费者进行匹配,这使得游泳馆所收集的信息构成了敏感个人信息。而敏感个人信息的收集,需要“特别同意”,简单地在摄像头前贴告示等常规做法显然不足。
三、相关企业如何应对敏感个人信息
1.正确识别敏感个人信息的种类
《个人信息保护法》第二十八条列举了敏感个人信息的表现形式,并使用了“等”字加以兜底。全国网络安全标准化技术委员会出台的《网络安全标准实践指南》中的第3条、第4条及附录进一步列举了各类常见敏感信息,建议信息收集企业仔细比对、判断所涉信息是否属于敏感个人信息。尤其当信息收集者对于可能导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息均要加以警惕和小心,在边界模糊之时,应及时请示监管机关并留意监管口径的调整与变化。必要之时,做好征询程序。
2.减少不必要的敏感个人信息的收集行为,更不能图经营管理便利而随意采集个人敏感信息
《个人信息保护法》第二十八条强调了敏感信息处理应具有特定目的、充分必要以及严格保护措施的前置性规定。换言之,实务中大部分企业对于敏感个人信息的收集、处理以及传输等行为欠缺正当性。国家市场监督管理总局及中国国家标准化管理委员会发布的《信息安全技术 个人信息安全规范》在第5条也特别强调了收集个人信息的合法性及必要性。结合本案,游泳馆受到处罚其原因之一便在于强制“刷脸”行为并非必要,用手牌、手环等也可替代,这使得人脸采集信息的行为欠缺必要性基础。根据“网信上海”的后续报道,涉案游泳馆在合规整改时采用手环、微信扫码、手机号密码等方式替代了“人脸识别”,放弃了敏感个人信息的收集及采集行为,从而降低了该领域的合规风险。
3.敏感个人信息收集前应重点突出地单独告知
不同于《中华人民共和国民法典》第一千零三十三条中所规定的明示义务,《个人信息保护法》作为特别法着重强调了个人的“单独同意”。所谓“单独同意”,区分于“概括同意”,经营者应当单独并重点突出地向消费者书面征询是否同意收集敏感个人信息,而不应用“公安已经备案”“已经在摄像头下方张贴告示”等为由敷衍了事。国家市场监督管理总局及中国国家标准化管理委员会发布的《信息安全技术 个人信息处理告知和同意的实施指南》从各个角度规定了“告知和同意”。信息收集者往往关注的是各种免于取得同意的情形,却容易忽略收集个人信息的目的、方式、范围不得超出合同范围。其他处理个人信息的合法事由,例如履行合同所必需,虽不需单独同意,但同样应注意合同范围的边界及可能触发的违约及合规风险。
4.人脸信息的特别要求
如前所述,人脸信息大多属于敏感个人信息,也属于该领域侵权案件的高发情形。为了便于消费者维权及严格规范信息收集者的行为,2021年最高人民法院出台了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,该规定第六条规定了“举证责任倒置”。这对于信息收集企业而言,应该秉持随时坐上“被告席”的心态,做好证据的留存与备份工作。
企业经营者应当谨慎对待敏感个人信息事宜,切不可“图方便”,而埋下巨大的合规隐患。
注释
[1]《民法典》第一千零三十四条,自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
[2]《中华人民共和国个人信息保护法》第二节,敏感个人信息的处理规则。第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
[3]《中华人民共和国民法典》第一千零三十三条,除法律另有规定或者权利人明确同意外,任何组织或者个人不得实施下列行为:
(一)以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁;
(二)进入、拍摄、窥视他人的住宅、宾馆房间等私密空间;
(三)拍摄、窥视、窃听、公开他人的私密活动;
(四)拍摄、窥视他人身体的私密部位;
(五)处理他人的私密信息;
(六)以其他方式侵害他人的隐私权
[4]《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,第六条 当事人请求信息处理者承担民事责任的,人民法院应当依据民事诉讼法第六十四条及《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第九十条、第九十一条,《最高人民法院关于民事诉讼证据的若干规定》的相关规定确定双方当事人的举证责任。信息处理者主张其行为符合民法典第一千零三十五条第一款规定情形的,应当就此所依据的事实承担举证责任。信息处理者主张其不承担民事责任的,应当就其行为符合本规定第五条规定的情形承担举证责任。