适用场景
计划或正在海外市场(尤其是欧美)提供或使用人脸识别技术、智能安防、AI互动娱乐、智慧零售等产品或服务的中国出海企业,在产品研发、市场准入及运营阶段均需关注。
核心要点
1. 人脸识别数据属于敏感个人信息
人脸信息作为生物识别数据,在全球主要法域均被界定为敏感个人信息,受到严格保护。企业处理此类数据必须遵循比一般个人信息更高的合规标准,包括更强的合法性基础、更严格的同意要求和更严密的安全保护措施。
2. 欧美监管趋严,合规要求各异
欧盟GDPR将人脸数据列为特殊类别数据,原则上禁止处理,需满足严格例外条件(如明确同意)。美国则呈现联邦与州法并行的碎片化监管,伊利诺伊州等地的生物识别信息隐私法(BIPA)处罚严厉,赋予私人诉讼权。企业需针对目标市场进行具体分析。
3. 合法性基础与同意是关键
收集和使用人脸数据必须有坚实的合法性基础。在多数情况下,尤其是面向消费者(B2C)场景,必须事先获得数据主体的“明示同意”(explicit consent)。同意必须是自由、具体、知情且清晰的,并允许用户随时撤回。
4. 承担更高的数据安全与透明义务
企业需对人脸数据实施高级别的安全保护,防止泄露。同时,必须履行透明化义务,向用户清晰告知数据收集的目的、范围、使用方式及存储期限。在公共场合使用人脸识别技术时,通常需要设置显著的通知标识。
5. 特定应用场景风险高
在公共场所进行大规模监控、用于员工考勤管理、结合自动化决策(如信用评估)等场景,极易引发侵犯隐私、歧视等法律与伦理争议,是监管执法的重点领域,企业需格外审慎并开展影响评估。
实务建议
- 在产品设计阶段即嵌入隐私保护原则(Privacy by Design),默认不收集非必要的人脸数据。
- 制定并对外公开清晰、易懂的隐私政策,专门说明人脸信息的处理规则,获取用户有效同意(如独立的勾选框)。
- 对存储的人脸原始信息进行脱敏或匿名化处理,仅保留必要的特征摘要信息以降低风险。
- 在进入欧盟市场前,若处理人脸数据风险较高,务必进行数据保护影响评估(DPIA)。
- 若业务涉及美国,重点审查是否落入伊利诺伊州BIPA等州法的管辖范围,并确保符合其书面同意、数据保留与销毁政策等要求。
- 建立严格的数据访问权限控制和加密存储机制,定期进行安全审计。
- 如向第三方(如云服务商)传输或共享人脸数据,需签订严格的数据处理协议(DPA),明确安全责任。
风险提示
- 切勿默认“公共场合无隐私”,即使在商场、街道等场所采集人脸,也可能需要告知并获得同意,否则面临诉讼与处罚。
- 避免将用户协议或隐私政策中的同意条款设置为“一揽子”同意或默认勾选,这在欧美法下很可能被视为无效同意。
- 警惕“换脸”等娱乐应用的法律风险,用户上传他人照片可能引发肖像权、版权及数据来源合法性问题。
- 不要忽视数据跨境传输的合规要求,从中国向境外传输人脸数据,需同时满足中国《个人信息保护法》下的出境安全评估等要求。
- 避免将人脸识别技术用于基于种族、性别等敏感特征的自动化分析或决策,这可能构成非法歧视,引发重大法律与声誉风险。