「刷臉」軟體的數據合規風險

「刷臉」軟體的數據合規風險

來自專欄連通法律圈4 人贊了文章

本文作者為北大法學院18屆畢業生，即將入職某紅圈所。如果想與作者進一步交流（需要該律所的法律服務），可留言聯繫。

「就是因為是母校所以才要懟。我這份東西給別人可是要收錢的。在北大待了7年了，走前給免費出個法律意見吧。」

近日，朋友圈偶見《@北大師生們，可以『刷臉』入校啦》一文（「公號推廣」），了解到鄙校門禁系統也是用上了高科技；今天趁著返校辦理一些畢業生手續的機會，專程前往小西門見識了一番。作為一位即將入職的網路安全與數據合規律師（括弧「助理」，就是那種最底層的勞苦大眾），卻是在為鄙校技術進步感到高興的同時，略有一些擔憂，故有此文，也用以紀念在北大的七年時光吧。

說明：1.以下的法律規定、合規問題和風險分析僅從一名北大學生角度出發，不應被視作對於學校行為的任何控訴和指責，尤其不應被視為針對技術進步的抵制和頑固守舊；

2.本文中的所有觀點僅代表作者的個人觀點，以供學術討論和讀者消遣時光，不應視作任何個人/組織的法律意見，不應在任何情況下被任何組織/個人所依賴；

3.由於時（懶）間（到）限（窒）制（息），本文僅根據特定法律法規等相關規定（即指《網路安全法》及其配套措施）進行分析並且分析非常簡略，同時未對司法和執法案例進行全面梳理，因此不具有任何實踐層面的指導意義；

4.由於時（才）間（疏）限（學）制（淺），本文中對於法律法規的理解和立場、對事實情況的梳理、法律分析過程和結論在以下情況下可能發生改變或變化：(1)作者對於本問中涉及的事實、問題理解是不充分或不準確的；(2)在本文成文之後，中國的相關個人信息保護主管機關頒布了新的法律、法規、規章、通知、決定或判例；

5.最後，本文的出現並不代表作者偷懶沒去上（實）班（習），而是真的在辦畢業手續。

正文：

2018年6月27日起，北京大學計算中心與保衛部在西南門部署並投入試運行了第一套「刷臉入校」閘機，用以實現師生通過人臉識別判定身份的門禁系統（「刷臉系統」）。在公號推廣中，我們理解，目前刷臉系統使用的初始照片是師生員工的校園卡照片，並在不斷通過門衛室核實身份、重新採集照片的方式進行進一步地數據更新。

《網路安全法》（以下簡稱「《網安法》」）於2017年6月1日正式施行，成為了我國個人信息保護相關的核心上位法。據此，各部門規章、司法解釋、國家標準的出台與施行速度均隨之加快，從網路安全等級保護、個人信息保護、網路安全事件應急等各方面對網路安全和數據合規進行全面監管。

1.部署和運行刷臉系統行為應當受到《網安法》管轄

2.刷臉系統中涉及多種個人信息為此，刷臉系統中收集、使用、存儲、傳輸的師生面部識別特徵、系統賬號（如學號等）很可能屬於《網安法》體系下的個人敏感信息。此外，刷臉系統還涉及到用戶姓名、性別等和身份相關的個人信息。黃牌警告

1.北京大學至少屬於《網安法》下的網路運營者綜上所述，部署和運行刷臉系統的行為應屬於《網安法》的調整範圍，北京大學作為在中華人民共和國境內建設、運營、維護和使用網路的網路運營者，應當對刷臉系統中涉及的個人信息和個人敏感信息履行相應的數據保護義務。

2.《網安法》下刷臉系統的法律風險分析1.合法、正當、必要原則：

2.公開收集、使用規則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意

3.不得收集與其提供的服務無關的個人信息

4.不得違反法律、行政法規的規定和雙方的約定收集、使用、處理、保存個人信息

5.最少夠用原則：只處理滿足目的所需的最少個人信息類型和數量

6.確保安全原則：採取足夠的管理措施和技術手段，保護個人信息的保密性、完整性、可用性

7.權責一致原則：個人信息控制者對其個人信息處理活動對個人信息主體合法權益造成的損害承擔責任。

（1）刷臉系統的用戶同意問題

為此，就刷臉系統中基於校園卡照片進行的人臉識別過程，應當屬於對於師生員工的校園卡照片的另行使用，則根據這一單獨的目的，按照《網安法》及其配套措施的要求，應向個人信息主體——師生員工明確告知收集和使用的目的、方式和範圍，並獲得個人信息主體的同意。

而從目前了解的事實看，師生員工在此前並沒有得到明確的告知，尤其是告知內容上存在極大的缺失；同時，從作者本人的經歷來看，此刷臉系統也並沒有在任何情況下事前取得師生員工的同意，並且目前也尚未了解到保衛部和計算中心提供給師生員工的退出機制。

就用戶同意問題上，一個典型的案例是支付寶和芝麻信用此前在年度賬單事件中對收集使用規則和目的告知不充分引起的國家網信辦對其的查處和責令整改。

並且，由於面部識別特徵屬於個人敏感信息，在《規範》第5.5條中更進一步要求其收集過程需要個人信息主體的明示同意，對告知的詳細程度和獲得同意的標準提出了更高的要求。

綜上，刷臉系統的個人信息使用行為從收集環節上即可能不符合《網安法》體系下的合法性要求，即個人信息的收集和使用很可能未經用戶同意，而個人敏感信息的收集和使用同樣可能未經用戶的明示同意。

此外，嚴格而言，刷臉系統的個人信息收集行為屬於從第三方（即校園卡照片系統）中獲得用戶個人信息，並且可能涉及未成年人個人信息的收集和使用，這些更為複雜和細節的問題，由於作者很懶，就不進一步分析了。

（2）刷臉系統可能違反最少夠用原則

在這些應用場景中，以外國語學院新樓大門為例，門禁系統的存在和作用，一方面可能是出於師生員工進出的考勤等員工側考慮，另一方面則可能是出於訪客控制等對外側安全考慮（目前還沒想到其他考慮）。此時，根據最少夠用原則，為實現前述兩方面目的，面部識別特徵從敏感程度上很可能存在不匹配，即收集和處理的個人信息類型超過了最少的限度，畢竟如果僅為實現員工考勤或訪客控制，前台的身份信息登記或身份查驗即完全可以滿足相應需要，收集、處理並存儲個人面部識別特徵的行為，用通俗的語言來講是「大炮打了蚊子」。

類似的，經濟學院教室、附小體育館和會議室等場景均不同程度的存在最少夠用原則方面的疑惑，在此方面典型的案例例如央行杭州分行此前對支付寶違反必要性原則收集使用用戶金融個人信息而處以罰款等。

因此，刷臉系統作為涉及個人敏感信息收集和處理的信息系統，應當用於且僅用於和使用此類信息必要性相當的場景，例如危險化學品倉庫的出入管理，其他類型場景中可能存在違反《網安法》下最少夠用原則的風險。

（3）刷臉系統可能不符合確保安全原則需要事先聲明的是，就刷臉系統的安全保障措施，作者並未進行詳盡、準確地了解和調查，僅基於公號推廣中的照片，保安人員在協助採集照片過程中使用的電腦看上去屬於一般電腦設備，並非為該系統專門設計、使用和維護。

並且，如公號推廣中所述，刷臉系統所使用的：N實時人臉識別技術，每次開門均將即時從數萬張照片中進行快速比對。這些描述透露的事實可能是目前刷臉系統中涉及的用戶數量已經過萬，並且使用的是普通的校園網路和普通的電腦設備，具體是否採取了專門的傳輸加密措施不得而知，是否採取了存儲前的技術處理同樣不得而知。

在此前提下，作者腦補的結論是刷臉系統很可能如計算中心在公號推廣中自稱的「人臉識別技術還不是十分成熟」，甚至可能僅完成了功能部分的開發，缺乏加密措施和存儲隔離等相應的安全保障措施，也很可能缺乏等級保護制度下的相關制度建設。

為此，刷臉系統中存儲的大量個人信息和個人敏感信息很可能存在各種系統漏洞和數據泄露風險，這種情況下刷臉系統可能不符合《網安法》下對網路運營者確保安全的原則性要求。

除上述原則性問題以外，個人信息主體的權利保障，例如《網安法》體系下的個人信息主體的訪問權、被遺忘權、修改權等，目前作者也並未了解到相關部門對此有明確的申請途徑設置，這與《網安法》第二十八條、第四十三條等相關要求不符。

綜上所述，這些風險在《網安法》下可能存在侵犯個人信息的問題，進而需要承擔相應的法律責任，包括民事、行政和刑事三個層面。

目前全世界（包括我國）都在加大力度保護個人信息安全，關於刷臉技術的訴訟，也不是沒有發生過。比如，Facebook就曾被其用戶Nimesh Patel告上法庭，原因是：Patel認為Facebook的人臉識別技術侵犯了伊利諾斯州的生物信息隱私法案（BIPA）。

其他訴訟或處罰寫出來就太多了而且作者對於刷臉系統還不了解所以這個部分就不寫了（其實就是懶得寫了，畢竟事實也都是作者腦補的）。

（隨口一說的）建議1.針對用戶同意的獲取針對新入學學生：以知情同意書、隱私政策、學生手冊附錄等方式，告知刷臉系統的個人信息收集和使用目的、方式、安全保障措施、個人信息主體權利和救濟途徑等；

針對在校學生/教職工：採用郵箱發送、公眾號公告推送、簡訊發送、宿舍樓公告等方式，補充向在校個人信息主體的告知，並為其提供退出機制（即提供途徑，保證已被收集和使用個人信息的主體—例如作者本人—可以申請刪除個人信息、拒絕服務等）；

此外，還可採取在試運行閘機前張貼公開，告知可能存在的個人信息收集和使用過程、目的、方式等，則師生如選擇使用閘機，即可視為對收集和使用其個人信息的同意。

2.針對必要性問題

根據刷臉系統的應用場景，分析採取面部識別來判斷個人信息主體身份的必要性，並根據必要性進行最終部署和應用場景的選擇。

例如就危化品倉庫的安全保障而言，由於需要嚴格控制進出人員的身份，基於公共安全等考慮，刷臉系統的應用即可能存在相應的必要性，而對進出校門、經濟學院教室、計算中心機房會議室、附小體育館等地點時的應用而言，刷臉系統所收集和使用個人信息的類型和方式即可能不存在相應的必要性。

3.針對安全保障義務

在傳輸和存儲師生照片過程中採取加密等安全措施，並且由於面部識別特徵屬個人生物識別信息，請採用技術措施處理後再行存儲，例如《規範》中提出的存儲個人生物識別信息的摘要，或者採取去標識化措施後將去標識個人信息和標識信息物理隔離存儲等；

此外，納入學校整體網路安全制度體系的構建，或針對刷臉系統單獨補充建立網路安全事件應急預案、處理記錄、等級保護等文本制度。後記：

此文屬於一時興起，隨手而作，想到哪裡寫到了哪裡，難免存在邏輯混亂和缺漏之處，大家隨意批評（反正我也不會修改）；而為了避免杠精出沒，特別聲明，作者對於技術進步沒有任何敵意，對於給用戶帶來便利的技術應用秉承最為開放和包容的心態，尤其沒有炮轟母校的想法；最後，感謝能看到這裡的讀者，都能堅持到這裡了，你要不試試考個法碩？

感謝本文作者的賜稿。

歡迎其他大佬砸稿件過來，投稿詳情請見：

連通法律圈向「法律人」約稿啦

推薦閱讀：