媒体报道

政府监管|当3.15后人脸识别监管真正敲响我的门...

2021-05-07 09:45:46 吉布斯科技 2







|政府监管|

当3.15后人脸识别监管真正

敲响我的门...








作者:张晨 

             尤白璐



2021.5.6





人脸识别
人脸识别
人脸识别

Zero

人脸识别

风口浪尖

很快,市场监督管理部门的人脸识别专项执法行动敲响了我们客户的门......


今年央视“3.15晚会”将人脸识别问题推向风口后,全国各地市场监督管理部门陆续开展起人脸识别问题的专项监管执法行动,比如最近宁波市场监督管理局率先从房地产领域开展人脸识别专项执法,开出首批3张罚单;再比如从我们近期协助客户应对监管的实际案例发现,上海市场监督管理部门也已对新零售/快消等行业开展执法


上位法紧锣密鼓的立法节奏,国标、行标、行业指引指南的不断发布,最高法对“人脸识别第一案”的官方评析,行政罚单的持续产生,网络安全与数据合规的强监管信号已经鲜明强烈。从网信部门的“清朗”专项行动、公安部“净网 2020”专项行动,到四部门联合的APP专项治理行动、市场监督管理部门近期的人脸识别专项执法,可以感觉到网数合规的监管大幕已经拉开,相信未来会呈现更大的曝光与处罚力度、更强大的标准规范支撑、更严格的责任追究的监管局面。

人脸识别


人脸识别
人脸识别
人脸识别

ONE

监管重点

人脸识别

结合我们团队应对政府监管的实务经验和近期监管呈现的特点,总结以下几个实践问题,供各位参考:


一、人脸识别的监管重点会在哪里?


目前我们看到执法对象主要包括购买人脸识别相关软硬件的商户直接出售人脸识别技术的服务供应商。对于处于产业上下游不同位置的主体,监管重点也会各有侧重。


1.合法收集是关键


“合法收集”其内含两个环节:告知+同意


横观这次宁波市场监管部门开出的3张罚单,被处罚原因皆源于“合法收集”阶段。3个案件主体的合规程度各不相同:A公司——抓取行为完全未告知客户;B公司——虽告知被采集信息,但并未明示收集、使用信息的目的、方式和范围,并未经客户同意;C公司——仅明示收集、使用信息的目的、方式,并未明示收集、使用信息的范围,且并未实际获得消费者的同意。三种情形均受到行政处罚。


由此我们可清晰感知到目前“合法收集”环节的监管深度:收集、使用信息的目的、方式、范围、存储时间等要素需要无一遗漏地明示,且获得个人信息主体实质性的明示同意(正面同意途径和反面拒绝途径皆应考虑)


由于执法部门在执法时适用法律的侧重点不同,市场监督管理部门对个人信息的执法主要依据《消费者权益保护法》,其他相关法律法规、标准指南等对此问题也已给出了合规标准,可为我们设计合规方案提供参考。


比如在《信息安全技术 人脸识别数据安全要求(征求意见稿)》中要求——:

6.1 收集

数据控制者:

a)收集人脸识别数据时,应向数据主体告知收集规则,包括但不限于收集目的、数据类型和数量、处理方式、存储时间等,并征得数据主体明示同意。


《信息安全技术 个人信息安全规范》中要求——

5.4 收集个人信息时的授权同意

c) 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;

注:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。


2.存储隔离与及时删除

尽管目前公开的罚单集中体现在收集环节,但是可以预见,人脸识别信息的存储问题(特别是人脸识别技术服务商搭建产品和业务流程时)也会是一大重点合规控制项。一般来说,应采用物理或逻辑隔离方式,分别存储人脸识别数据和个人身份信息,且原则上不应存储人脸图像,除经数据主体单独书面授权同意。


《信息安全技术 个人信息安全规范》中要求——

6.3 个人敏感信息的传输和存储

b) 个人生物识别信息应与个人身份信息分开存储;

c) 原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:

1) 仅存储个人生物识别信息的摘要信息;

2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;

3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后

删除可提取个人生物识别信息的原始图像。

注1:摘要信息通常具有不可逆特点,无法回溯到原始信息。

注2:个人信息控制者履行法律法规规定的义务相关的情形除外。


3.原则上不共享、不转让、不出境

考虑到人脸识别数据的敏感度,原则上该类数据不应共享、转让。因业务需求确需共享、转让的,应及时开展个人信息安全影响评估。若涉及委托处理,则应在委托处理前审核受委托者的数据安全能力,并对委托处理行为开展个人信息安全影响评估。此外,应注意在我国境内收集或产生的人脸识别数据的本地化存储要求。


《信息安全技术 个人信息安全规范》中要求——

9.2 个人信息共享、转让

i) 个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的, 应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。

人脸识别


人脸识别
人脸识别
人脸识别

TWO

人脸识别

企业应对

二、企业如何快速有效应对监管?


由于人脸识别技术在国内商用比较广泛,较多企业均有使用该类技术的实际情况。面对此次的专项监管行动,相关企业应快速启动排查行动,对企业现有人脸识别设备所覆盖的范围、数量、类型、具体功能、使用目的、数据全生命周期运行情况、系统运维等情况进行逐一统计


以新零售/智慧泛商业领域为例。该领域使用人脸识别技术比较普遍,一般商家采购了人脸识别技术服务后,会用于门店的客流量分析、热区统计、熟客识别、顾客行为分析、刷脸支付等应用场景。企业决定开展数据合规专项审计后,我们通过协助其实施上下游供应商评估、第三方数据合作方评估、数据生命周期合规审查和流程跟踪等,执行数据影响评估(DPIA)。同时,通过进一步的数据保护执行差距风险评估,对现有数据收集和使用情况进行梳理、盘点,并根据相关法律法规和内部管理要求评估数据处理活动的合规差距,快速形成合规落地建议,为应对类似的监管做好自我合规准备。

人脸识别



人脸识别
人脸识别
人脸识别

THREE

持续合规

人脸识别

三、企业如何做到持续性合规?


强监管的局面打开意味着网数合规监管执法将成为常态。面对企业对自身提出持续性合规的要求时,我们借助隐私与数据保护管理体系(往往境内外机构形成联动),新建网数合规体系或与现有合规体系深度融合,从组织+制度+流程+技术+监控+外部协助,形成一套组织内部的完整标准体系,旨在组织内部形成更好的“技术和组织措施”。


例如,企业的业务数据新产生如人脸识别信息所属的敏感信息,已有合规框架对于敏感信息泄露问题没有充分考虑与设计,我们根据《信息安全技术 个人信息安全规范》等要求,建议我们的客户通过增加该类别个人信息泄露事件的安全事件告知程序,完善现有合规流程。


《信息安全技术 个人信息安全规范》中要求——
     10.2 安全事件告知

对个人信息控制者的要求包括:

a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;

b) 告知内容应包括但不限于:

1) 安全事件的内容和影响;

2) 已采取或将要采取的处置措施;

3) 个人信息主体自主防范和降低风险的建议;

4) 针对个人信息主体提供的补救措施;

5) 个人信息保护负责人和个人信息保护工作机构的联系方式。

 

监管的这次敲门,一切,才刚刚开始......

人脸识别
人脸识别

关于作者

人脸识别

人脸识别

人脸识别

人脸识别


版权归作者所有,如需转载,请注明作者及文章来源为【盈科数据跨境合规团队】公众号

公众号刊登文章不代表北京盈科(上海)律师事务所对任何问题发表的法律意见,如您需要交流或帮助,欢迎联系我们进行咨询!


首页
产品
新闻
联系