【隐私合规】人脸安全合规风险梳理

一、人脸信息为何如此重要

生物识别信息（例如虹膜、指纹、人脸识别信息、掌纹、基因信息等）具有永久性、不可更改性等特点，不能像账号密码一般 泄露后及时修改，从安全角度讲安全性更高；本文主要讲的人脸信息，还具备隐私权、肖像权甚至是人格权等个人权益，都应得到相应的保障。

法律法规中涉及的安全要求：

• 《个人信息保护法》

  第二十八条说到 ”敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。“，生物识别信息中包括了人脸识别信息（详细参考见《信息安全技术 个人信息安全规范》附录2 敏感个人信息）。

• 《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定（法释〔2021〕15号）》

  第二条  信息处理者处理人脸信息有下列情形之一的，人民法院应当认定属于侵害自然人人格权益的行为：　　

  （二）未公开处理人脸信息的规则或者未明示处理的目的、方式、范围；　　

  （三）基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意；　　

  （四）违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等；　　

  （五）未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改、丢失；　　

  （六）违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息。

  第四条  有下列情形之一，信息处理者以已征得自然人或者其监护人同意为由抗辩的，人民法院不予支持：　　

  （一）信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；　　

  （二）信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的；　　

  （三）强迫或者变相强迫自然人同意处理其人脸信息的其他情形。

  第十一条  信息处理者采用格式条款与自然人订立合同，要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利，该自然人依据民法典第四百九十七条请求确认格式条款无效的，人民法院依法予以支持。

• 《民法典》

  • 第六章 隐私权和个人信息保护
  • 第四章关于肖像权的阐述：私密信息属于隐私，自然人的隐私权受到法律的保护。此外，在一定载体上所反映的特定自然人可以被识别的外部形象属于肖像，自然人的肖像权受到法律的保护。

• 《消费者权益保护法》

• 《电子商务法》

  第一章第五条，电子商务经营者从事经营活动，应该遵循网络信息安全和个人信息保护相关的规定。

二、人脸图像处理场景分类

关于人脸处理的场景有哪些呢？

根据2021年4月发布的国家标准《信息安全技术 人脸识别数据安全要求（征求意见稿）》，涉及人脸图像处理的场景可以分为三类：

1、人脸验证

将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对（1：1比对），以确认特定自然人是否为其所声明的身份。典型的应用场景包括，机场、火车站的人证比对，移动智能终端的人脸解锁功能等。此类场景下，人脸识别设备会将实时抓取的人脸信息与身份证所关联的人脸信息进行比对，以识别身份证所关联的身份是否与进站人一致。

2、人脸辨识

将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行比对（1：N比对），以识别特定自然人。如公司的考勤打卡软件会将实时获取的人脸图片与库中存储的所有员工人脸图片进行比对后，识别“刷脸”人员的身份，以及公园入园、居民小区门禁等。

3、人脸分析

不开展人脸验证或人脸辨识，仅对采集的人脸图像进行统计、检测或特征分析。例如统计数量，分析年龄、性别、皮肤状态、微表情等。典型应用包括公共场所人流量统计、体温检测、图片美化等，也有智能汽车安装摄像头用于判断车主的驾驶行为是否适当，比如判断

此外，在公共场合的监控摄像头，虽然可能不具备上述三种类型场景中的功能，但也可能会收集人脸图像。

三、安全要求

1、前提

1）采集的充分必要性

非人脸识别方式安全性或便捷性显著低于人脸识别方式；例如：火车站、机场出入场景，使用人脸识别方式显著提高便利性；

2、采集阶段

1）明示告知、单独同意

个人信息主体（比如APP用户）通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。对生物信息采集需要单独征得用户同意。

不得以如下形式取得同意：

a. 非服务必需信息：信息处理者要求个人同意处理其人脸信息才提供产品或者服务的，但是处理人脸信息属于提供产品或者服务所必需的除外；

b. 捆绑授权：关于人脸识别的功能的授权需要提供单独的同意选项，避免与其他授权绑定取得个人人脸授权；

c. 强迫或者变相强迫自然人同意处理其人脸信息的其他情形；

2）应同时提供非人脸识别方式，供数据主体选择；

3）不能采集未成年人人脸信息

原则上不应使用人脸识别方式对未满十四周岁未成年人进行身份识别，如确需采集，需要制定专门的未成年个人信息处理规则

4）人脸信息仅用作身份识别，不可另做他用

3、传输

1）第三方资质审核

和第三方传输时，对第三方资质进行审核，必要时需要签订保密协议；

2）加密传输、禁止明文传输

4、存储

原则上禁止存储，企业原则上不应存储原始个人生物识别信息（如样本、图像等），可采取的措施包括但不限于：

1）仅存储个人生物识别信息的摘要信息；

2. 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；

3）在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像；企业确需存储个人生物识别信息的，应当与个人身份信息分开存储。

4）应将人脸图像数据、人脸特征数据、人脸关联数据进行逻辑或物理隔离；

5）数据文件名称不应包含个人身份信息；

6）加密存储；

5、数据访问

身份认证、访问控制、流程审批、审计留痕

6、数据展示

1）获得数据主体同意，特殊情况除外（例如公检法场景）

2）去标识化

2）水印

7、 禁止共享、转让、公开披露

企业原则上不应共享或转让、公开披露个人生物识别信息，确需共享和转让的，仍应当单独向用户告知目的、信息类型等内容，并征得个人信息主体的明示同意。

8、删除/销毁

在发生以下情况时，应删除人脸识别数据或进行匿名化处理：

1）数据主体明示提出停止使用功能、服务，或撤回权限；

2）数据主体授权存储期限到期；

3）数据控制者无法提供或停止服务

Referer

攻击案例

参考律师事务所分析：

http://www.zhonglun.com/Content/2022/01-06/1636573305.html

http://www.junhe.com/law-reviews/1530

http://www.junhe.com/legal-updates/1153?locale=zh

国标：

《信息安全技术 人脸识别数据安全要求》

《信息安全技术 个人信息安全规范 》

《信息安全技术  个人信息去标识化指南》

《信息安全技术 SM4 分组密码算法》

信息安全技术 人脸识别数据安全要求（征求意见稿）

团标：

《安全防范 人脸数据安全管理规范》

研究报告：

《人脸识别数据安全标准化研究报告》2021版