南财《个人信息保护法企业合规启示报告》4:收集人脸信息需获单独同意
敏感个人信息迎强监管。
8月20日,《中华人民共和国个人信息保护法》由第十三届全国人民代表大会常务委员会第三十次会议通过,自2021年11月1日起施行。
纵观个人信息保护法立法路程,走过近二十年。这期间,互联网高速发展,大数据时代来到。伴随着高频、高速、高密度的数据交流传输,作为原材料的个人信息滥用问题相伴而至。
对个人信息保护的立法呼声越来越高,急需一部专门法律定分止争。个人信息保护法千呼万唤使出来。
南方财经全媒体集团合规科技研究院长期关注个人信息保护议题,持续跟踪报道立法进程、监管动态、公众呼声。借个人信息保护法落地之际,推出解读报告《个人信息保护法合规启示报告》。
该报告分为上下篇,第一篇“个人信息处理新变局”梳理立法路径与模式,聚焦个人信息处理逻辑的转变,第二篇“企业合规风险研判”则将目光放到企业合规的重点与难点,以及新的信息处理机制在数字经济发展中面临的新挑战。中国社会科学院法学研究所副研究员、中国法学会网络与信息法学研究会副秘书长周辉为报告的学术指导。
本篇报道为报告下篇的部门内容,聚焦个人信息保护法敏感个人信息的规定为企业带来的个人信息处理模式变革,并为处理人脸、医疗健康、不满14周岁未成年人三类敏感个人信息给出建议。
敏感个人信息迎强监管
个人信息保护法对处理敏感个人信息作出更严格限制,在定义、处理规则、事前影响评估、制定专门的个人信息保护规则、标准等方面进行规定。
人脸信息作为生物识别信息属于敏感个人信息,除敏感个人信息专节规制之外,第二十六条进一步强调在公共场所安装图像采集、个人身份识别设备的要求,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。只能用于维护公共安全的目的,取得个人单独同意的除外。
人脸识别正在迎来强监管时代。4月,信安标委就国家标准《信息安全技术人脸识别数据安全要求》征求意见;7月,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,提出7种处理人脸信息构成侵害人格权益的情形,为相关民事案件的审判提供裁判指引。
人脸信息的采集目的、范围、场所、处理方式、个人同意原则等具体内容正逐步完善,对人脸信息控制者提出了明确且严格的要求。
国家对人脸信息的重视程度不仅从个人信息保护出发,还在于人脸信息属于数据信息,是优化公共服务的数据支撑,具有公共资源属性。保护人脸识别信息,一定程度上是保护网络安全以及国家整体安全。
医疗健康信息,同样被个人信息保护法作为敏感个人信息实行更严格的保护。
近年来,医疗个人信息和隐私保护的法律规范,见于侵权责任法、精神卫生法、传染病防治法、网络安全法、《国家健康医疗大数据标准、安全和服务管理办法(试行)》《人口健康信息管理办法(试行)》《人类遗传资源管理条例》等法律法规中,特别对医疗健康信息的跨境传输进行更严格的规制。国家标准层面,2020年12月,信安标委发布《信息安全技术 健康医疗信息安全指南》,针对常见医疗健康应用场景提出安全措施建议。
对于医疗健康行业,在已有法律法规上,注重健康医疗企业的信息化建设,保障网络安全及数据保护,例如国家健康医疗主管部门制定明确的信息安全等级保护工作意见。立法趋势更关注互联网医疗的合规管理,以及与电子商务、广告营销、商保医保等不同渗透场景的规范化管理。
未成年人的个人信息保护一直是全球个人信息保护的重点之一。2019年10月出台的《儿童个人信息网络保护规定》,2020年10月二次修订后的未成年人保护法新增了“网络保护”章节和个人信息保护条款,凸显我国的高度重视。
个人信息保护法第三十一条将不满14周岁未成年人的个人信息作为敏感个人信息,要求个人信息处理者对此制定专门的个人信息处理规则。这一规定同样见于2021年7月出台的《深圳经济特区数据条例》及2020年10月施行的《信息安全技术个人信息安全规范》中。这也符合GDPR第三十八条中关于儿童因为不了解个人数据相关风险、后果、权利和保障措施,因而需要特殊保护的规定。
金融账户也作为敏感个人信息被明确严格保护,同时,个人信息保护法规定个人信息处理者违反本法规定处理个人信息、侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。考虑到金融领域个人处理具有高度的复杂性、专业性,且涉及主体众多,因此个人信息中涉及金融数据收集、存储、确权、使用、转让、处置、清算产生的纠纷,可由金融法院这类专门法院集中管辖。
南财合规科技研究院建议:
1、人脸信息保护
(1)密切关注行业立法与监管态势
当前,人脸信息受到多部法律法规及监管部门的规制,后续,国家层面也将出台针对人脸识别、人工智能等新技术、新应用而制定专门的个人信息保护规则、标准。企业需积极应对相关主管部门对人脸识别技术应用有关的规范出台情况,及时调整自身处理人脸识别信息的制度规范。
例如在小区物业的人脸识别上,杭州、四川等地方相继修订发布物业管理条例草案,拟将“不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备”纳入条例。此类立法动向值得智慧安防、智慧社区业务的企业重点关注。
相较于地方性立法,最高人民法院2021年7月出台的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》已经直接规定物业不得将人脸识别作为进出小区的唯一方式,需要特别关注。
(2)改变一揽子告知同意的方式
浙江宁波20家房企被罚203万则释放监管讯号——即便设置了采集人脸信息的提示标识,但未经消费者同意仍不能免罚。
特别注意针对APP处理人脸信息时,需取得用户的单独同意。APP可能需要依据使用功能设置多个用户同意界面,在使用人脸信息页面由用户逐一勾选同意。这一规定将倒逼APP产品功能设计,合规管理海量用户的同意范围。如何精细化管理收集的信息,对企业也是较大挑战。
(3)合规的关键是赋予个人选择权
从多起人脸识别的案例来看,对企业在信息收集场景下的合规设计提出了更高的要求,强制索取及捆绑索权问题也需高度重视并完善改进。不得要求用户同意处理其人脸信息才提供产品或者服务,除非处理人脸信息属于提供产品或者服务所必需;不得以授权捆绑、强迫或变相强迫等方式要求用户同意处理其人脸信息。
2、医疗健康信息保护
(1)注重数据类型的监管体系
当前,从医疗行业看来,不同法律法规界定差异显著,部分采取囊括式的界定方式,涵盖医疗行业经营过程中可能涉及的相关数据,如“健康医疗大数据”与“人口健康信息”,体现国家对医疗行业数据整体的监管态势。从信息安全监管出发,与个人信息、网络安全、信息安全等相关的法律法规中,医疗健康信息或数据同样保护严格。
(2)明确数据来源的合规性
开展医疗数据的商业合作中,涉及医疗健康信息的流转,应确认数据提供方收集、共享相关个人信息的合法合规性,或是否已进行充分的脱敏处理。企业利用患者个人信息进行人工智能算法训练时,同样应注意是否已获得充分的患者知情同意或已进行充分的脱敏处理。
3、未成年人信息保护
(1)建立儿童专门的个人信息保护规则及专岗
企业应建立儿童或未成年个人信息专门的个人信息处理规则,设置专门的儿童个人信息保护负责人。明确应用主要面向儿童的年龄段以及所属的常规应用类别,并且发出准确声明。特别说明监护人应履行的监护职责,对征得监护人的同意后收集和使用儿童个人信息制定规范;在收集信息的评估风险阶段,必须考虑对儿童产生任何影响的可能性和严重程度;在信息存储时,将相应儿童个人信息分割独立存储。
(2)以儿童的最大利益原则设计产品功能
由于年龄的特殊性,对于面向全年龄段用户的产品及服务建议设置儿童模式,在儿童身心健康发展及权益保障上有更多考量。
英国的《适龄设计法规》(Age Appropriate Design Code,AADC)提到限制使用“轻推技术”。“轻推技术”指刻意引导或鼓励用户在决策时遵循设计者首选路径而采用的策略,例如设计者希望获得用户授权的场合,其通常把同意授权的选项做得更为显眼。这可能导致儿童被鼓励允许平台获取比他们自愿提供更多的个人数据,或引导儿童在个性化隐私设置时选择较少的隐私增强选项。
(3)广告符合面向儿童的标准
如果应用中投放广告,必须对广告产品及服务、营销手段及呈现方式上进行重点评估,可以在儿童模式下提供一键关闭广告的选择。
(作者:张雅婷 编辑:曹金良)
21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权,任何人不得以任何方式使用。详情或获取授权信息请点击此处。
