电子邮件 网上办公

邀兵请将  

史蕾:人脸识别技术在智慧社区中应用的个人信息保护要点

发布日期:2020-03-27




2020年突如其来的冠状病毒疫情凸显了社区这一基层社会细胞的重要性,也让“智慧社区”再次吸引普罗大众的眼球,企业紧抓风口进行智慧社区管理一揽子信息化解决方案推广。智慧社区解决方案中的人脸识别技术应用既有无接触式快捷便利又面临个人隐私保护的诸多质疑,让潜在的采购者和使用民众有不安和疑虑。为此,我们将结合现有的法律法规有关人脸识别应遵守的隐私保护要点分析应用开发和部署时的注意事项,供采购者选择与部署相关应用参考,亦有助于终端用户在隐私是否交换便利的选择中做出决定。



一、智慧社区的概念与数据安全要求


智慧社区是社区管理的新理念,是充分利用物联网、云计算、移动互联网等新一代信息技术的集成应用,为社区居民提供安全、舒适和便利的现代化和智慧化的生活环境。智慧社区不仅仅是简单的小区管理概念,它是集政务服务、公共服务与商业服务于一体的智能管理体系。根据住建部2017年8月发布的《智慧社区建设指南 (试行)》,智慧社区的建设包括保障体系、基础设施与建筑环境、社区治理与公共服务、小区管理、便民服务和主题社区六大领域,其中在保障体系明确列出“数据安全”作为控制项级别的建设要求,要求数据安全保障体系符合相关法规及标准,无信息安全事故发生。



二、人脸识别在智慧社区中的应用


人脸识别技术是人工智能的细分领域,近几年广泛应用于公共安全管理的视频监控领域,门禁、支付或的认证系统,甚至于诸如ZAO换脸软件或“找到世界另一个你”的娱乐场景下,其细分功能不外乎人脸认证、人脸识别或人脸检测与行为追踪或这些功能的多项叠加。在智慧社区中的具体应用体现在:

1、门禁与访客系统

小区大门或楼道使用人脸识别门禁系统,需要通过物业管理后台事先录入人像和身份信息,经过门禁时经过比对判断为小区内人员则予以放行。访客系统是由业主发出访客邀请,由访客录入人脸信息,到访时可直接通过人脸识别放行。在门禁与访客系统里,人脸识别应用是识别某一人脸数据为白名单库的“1:N”比对的人脸辨识(Face Identification)机制。

2、公共便民服务的身份验证系统

在享受社区公共便民服务时有很多场景下,人脸识别技术被用在证明我是我的验证目的,即“1:1”比对的人脸验证(Face Verification)机制中。比如集成各种在线服务的APP可采用人脸识别进行登录使用,小区快递收发服务,居家养老服务等,通过一次注册后人脸识别减少忘记携带身份证件的烦恼。

3、金融支付领域

“刷脸支付”是较为常见的支付方式,在智慧社区中各种便民缴费、社区商业服务在线支付均可应用,其本质也是人脸验证机制。

4、社区治安的视频监控

视频监控出发点是日常治安管理,在智慧社区的解决方案中经常运用人脸识别技术赋能提供危险人群的防控,该领域既有公权力的介入要求,已有小区自治中对已知危险人群分类防控预警需求,可能涉及肖像权和隐私保护的其他问题。



三、人脸识别中的个人信息保护要点


人脸识别是以面部特征作为识别个体身份的一种个体生物特征识别方法,所以人脸识别应用中将会收集使用“生物识别信息“这类个人敏感信息。而且,由于面部信息的采集存在隐蔽无接触场景下收集可能性,会面临更大的滥用风险,因此,如何贯彻个人敏感信息的保护是人脸识别技术应用规制的重中之重,国际国内层面都是通过个人数据保护的法律法规进行。

以美国为例,美国在联邦层面没有统一的法律规制人脸识别数据的收集和使用,而是通过各州的独立立法进行管理。目前共有六个州或城市制定了与生物识别数据相关的法案,分别为伊利诺伊州、华盛顿州、德克萨斯州和俄勒冈州和新汉普郡以及加利福尼亚州旧金山市。其中,伊利诺伊州2008年颁布的《生物信息隐私法案》是美国境内第一部旨在规范“生物标识符和信息的收集,使用,保护,处理,存储,保留和销毁”的法律。欧盟地区对人脸识别应用进行规制的核心法律,即史上最严的《一般数据保护条例》(“GDPR“)。GDPR第9条规定,生物特征数据属于特殊类型的个人数据,除非某些特殊情况外,禁止以识别自然人身份为目的处理。人脸识别技术的商业应用可适用的唯一例外是“数据主体已明确表示同意”,同意须“自由给予、明确、具体、不含混”。此外,GDPR第9(4)条允许欧盟各成员国规定在特定情况下不适用GDPR中对处理生物识别的数据的限制。

在中国,《网络安全法》已明确将个人生物识别信息纳入个人信息范围,但对于此类敏感性个人信息的收集、使用、存储、传输、共享管理仍散见于推荐性国家标准《个人信息安全规范》中,甚至仍在征求意见的标准中,如《信息安全技术个人信息告知同意指南》、《信息安全技术 基于可信环境的远程人脸识别认证系统技术要求》,《信息技术 安全技术 生物特征识别信息的保护要求》,《信息技术 安全技术 生物特征识别信息的保护要求》等。这些标准虽然缺乏强制力,但已基本建立了人脸识别信息作为敏感个人信息保护的框架,包括:

第一,收集阶段严格遵守个人信息主体的知情同意和最小必要原则。收集阶段是保护个人敏感信息的最重要的一环,首先必须保证在公开透明的情况下由个人信息主体自愿主动的做出同意收集的意思表示,包括充分了解收集主体是谁,收集的敏感信息的类型和数量,用于什么目的,保留多长时间等等。收集和使用人脸信息进行识别是否是实现产品核心功能所必须,个人信息主体是否可以放弃使用或者有其他可替代方案。

第二,使用阶段应严格在授权范围和授权目的内使用。

第三,传输时应采取加密等安全措施,确保传输安全。

第四,存储时应采取技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要,为减少个人信息安全影响,应与其他个人信息进行逻辑或物理隔离,可采用相应的技术方案来应对追踪非法分布或滥用生物特征样本。

第五,在个人敏感信息的废弃处置应有适当的程序和措施保障及时、安全且不可逆。

第六,个人敏感信息如需共享时,要进行安全影响评估,应充分告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。

第七,个人敏感信息的控制者应有完善的个人信息保护机制和能力,包括满足个人信息主体查询、撤回同意或删除权利行使的保障,以及对个人信息保护的投诉处理能力等。

值得注意的是,前述对人脸信息的保护在视频监控领域存在维护公共秩序等合法利益作为例外考虑。根据《北京市公共安全图像信息系统管理办法》,住宅区和停车场属于人员聚集的公共场所,属于应当安装公共视频监控系统的单位和区域,需要满足公共视频监控系统的规划、建设、备案、运行和管理要求。个人信息主体的知情权的实现主要通过设置标识被告知,而无法给与单独明确的同意;对个人信息主体的保护主要通过查看、调取监控图像信息的程序限制和保密要求来实现,还缺乏对此类信息处理和应用场景开发的限制要求。随着高清摄像头的普遍应用和人脸识别技术的发展,对于通过视频监控设备获得和处理个人信息时应做出更多要求。但如何平衡公共利益和个人隐私保护在国际国内都是一个需要持续探讨的问题,限于篇幅我们将不再赘述。



四、物业部门采购和部署
人脸识别应用应考虑的问题


基于以上人脸识别技术的应用介绍和隐私保护要点的分析,当一个小区的物业管理部门拟采购和部署人脸识别应用时,建议从如下几个角度考虑后做出单独的个人信息安全影响评估建议提交业主委员会讨论决策:

1、应用开发者资质能力和信息安全承诺,这将决定信息系统安全开发和建设的能力以及后续保障能力;

2、应用是否移交做物业公司做本地化部署还是由开发者提供部署服务,这将决定应用中的个人数据的控制者和个人信息保护的责任人;

3、应用中的个人信息保护设计,全面了解个人信息在收集、使用、传输、共享、存储、废弃处置等环节的实践,特别是隐私政策的完整披露,用户明示同意的授权页面,用户要求注销或放弃使用等权利实现的便利性设计等;

4、应用使用人脸识别技术所在的行业是否足够成熟,是否有可遵循的技术标准或市场准入要求。



五、最终用户隐私交换便利的抉择


当含有人脸识别技术的应用通过小区物业的评审投入使用后,最后选择是否使用该功能的决定权还应在最终用户的手里。当然,物业部门考虑的问题亦会是最终用户所需考虑的,但真正起决定因素的,仍然是技术带来的便利需求与隐私安全的权衡。人脸识别技术带来的便利性有目共睹,而能在隐私安全保证上加码的更多的是完善有效的隐私保护要求的行业标准和法律法规层面的外部监管和处罚震慑。人脸识别技术之所以在支付验证领域得到了较多信任,这背后是支付行业准入的极高安全和技术门槛,人脸识别在支付领域的技术标准相对完善,信息一旦泄露有支付赔偿保障,还有严格的行政监管处罚和国家刑事惩处打击,让用户看到了个人敏感信息在支付类应用的安全性。由此可见,人脸识别技术在智慧社区的应用并不是洪水猛兽,让最终用户明明白白了解应用带来的便利,放心自己的个人信息在使用中可以获得应有的保护,再结合自己的需求和性格特点做出自主选择,才是应有之道,而这方面,我们更期待现有标准的提速、细化以及标准法律效力的提高!

或许您还想看

【律师视点】舌尖上的地中海数据合规风味大餐 | 品味西班牙的精细

【律师视点】史蕾:网络安全法下的企业合规义务清单

【律师视点】史蕾:信息保护标准解读系列之三 |《信息安全技术个人信息安全规范》解读

【律师视点】史蕾:电商平台“公示”义务有几多?

【律师视点】史蕾:网络安全法下漏洞披露规制及美国立法借鉴

史蕾,德衡律师集团合伙人,互联网与TMT业务中心秘书长。曾就职于环球资源(NASQ:GSOL)和奇虎360公司法务部,拥有十多年的公司内部法务工作经验。擅长股权激励、公司治理及互联网产品合规风控;专注互联网游戏、直播、互联网教育与出版、大数据和网络安全等行业领域;新三板挂牌及公司治理。主要业绩:为某大数据公司提供用户隐私保护项目提供专项合规筛查服务,并提供整改建议和员工培训;为多家科技类创业公司提供股权激励方案制定;为互联网公司搭建海外融资架构;互联网教育科技企业新三板挂牌项目;代表多家挂牌公司完成新三板定向增发;担任多家互联网或高科技公司日常法律顾问。

联系方式

电话:15810040811

邮箱:shilei@deheng.com

质控人:辛小天 互联网与TMT业务中心总监

本文仅代表作者观点,如需转载、节选,请在后台留言联系小编

无人驾驶和人工智能专委会

  • 刘刚华

    主任

    复杂商事争议,银行专业委委员会,专利

    更多 》

团队其他成员

  戎燕茹       杨光明       许惠茹       温贵和       刘良勇       李国聪       张雪莲       朱伟琳       陶光辉       宋蕾       江智茹       余婵婷    

Copyright@2016    版权所有    德衡商法网    免费服务监督热线:    800-8600-880    400-1191-080

ICP备案号:鲁ICP备05011736号    网站统计