适用场景
本指南适用于在业务运营中(如用户认证、支付、门禁、客户分析等)涉及收集、处理或使用人脸识别等生物识别信息的各类出海企业。随着全球对数据隐私和生物识别信息保护的监管趋严,企业需明确相关信息的法律属性及刑事风险边界,以建立有效的合规体系。
核心要点
1. 人脸信息属于受法律保护的公民个人信息
人脸信息作为能够单独识别特定自然人身份的独特生物特征,属于法律意义上的“公民个人信息”。在刑事法律框架下,其被纳入“侵犯公民个人信息罪”的保护范围。同时,根据《民法典》及《个人信息保护法》,人脸信息被明确归类为“生物识别信息”,属于需要严格保护的“敏感个人信息”。
2. 人脸信息在刑法中被归类为“可能影响人身、财产安全的公民个人信息”
在刑事司法实践中,并非所有个人信息受到同等力度的保护。根据相关司法解释,公民个人信息根据敏感度和风险被划分为不同层级。人脸信息因其与身份认证、支付安全等紧密关联,一旦泄露可能直接导致诈骗、盗窃等犯罪,故通常被认定为“其他可能影响人身、财产安全的公民个人信息”,适用相应的入罪量刑标准。
3. 非法处理人脸信息可能构成侵犯公民个人信息罪
根据司法解释,违反国家有关规定,非法获取、出售或者提供人脸信息,数量达到500条以上的,可能构成“情节严重”,从而触犯侵犯公民个人信息罪。若数量达到前述标准十倍以上,则可能构成“情节特别严重”,面临更重的刑罚。
4. 获取“知情同意”是关键的违法阻却事由
处理人脸信息必须以取得信息主体的明确同意为前提。该同意需满足“自愿、明确、知情”的要求,且针对人脸信息处理活动,必须遵循“单独同意”原则,不能通过一揽子格式条款获取概括性授权。合法有效的同意可以成为阻却相关行为刑事违法性的抗辩理由。
实务建议
- 实施严格的分类与分级管理:在企业内部数据治理中,明确将人脸信息标识为最高级别的敏感个人信息,并采取比一般个人信息更严格的加密、访问控制和安全存储措施。
- 遵循“单独同意”原则获取授权:在收集或使用人脸信息前,必须通过独立于其他隐私政策的提示、弹窗等方式,清晰、具体地告知用户处理目的、方式和范围,并获取其单独、明确的书面或电子同意。
- 控制信息处理范围与最小化收集:严格遵循目的限定原则,仅在实现特定、必要目的所必需的范围内处理人脸信息。避免超范围收集,并定期评估和清理不再需要的数据。
- 建立刑事风险应急预案:制定数据泄露事件应急响应预案,明确在发生或疑似发生人脸信息泄露事件时的内部报告、调查、评估及向监管机构报告和与用户沟通的流程,以减轻潜在的法律后果。
相关法规
- 《中华人民共和国刑法》第二百五十三条之一
- 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
- 《中华人民共和国民法典》第一千零三十四条
- 《中华人民共和国个人信息保护法》
- 《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》