适用场景
所有在业务中(无论线上或线下)涉及收集、使用或处理用户人脸等生物识别信息的中国出海企业,特别是在产品开发、上市前合规审查及融资阶段的企业。
核心要点
1. 人脸信息属于高敏感个人信息,面临严格司法保护
人脸信息具有唯一性、不可更改性及强社交属性,一旦泄露危害极大。中国司法解释已对其处理设立专门规则,这预示着其他生物识别等敏感个人信息也将面临趋严的司法审查。出海企业需将人脸信息合规视为数据合规的重中之重。
2. 司法成为重要监管力量,企业败诉风险与举证责任增加
新规显著降低了个人提起人脸信息侵权诉讼的门槛,并明确了多元化的诉讼请求类型。在诉讼中,企业需自行举证证明其处理行为的合法性(如已获有效同意),这给企业的日常合规证据留存提出了更高要求。
3. 合规缺陷直接影响资本市场活动与商业运营
涉及人脸信息处理的合规纠纷,极易暴露企业数据治理的系统性漏洞。这不仅可能导致IPO进程受阻或融资失败,也可能因格式条款被认定无效、面临高额赔偿(含合理律师费)而直接影响商业模式的可持续性。
4. 合规要求覆盖全场景与全生命周期
规则同时适用于线上应用和线下场所(如门店人脸识别)。企业需对人脸信息的收集、存储、使用、传输、删除等全生命周期环节进行审视,确保处理目的、方式、范围合法正当且必要,并采取充分的安全保护措施。
实务建议
- 立即开展合规自查:制作《人脸信息处理合规清单》,对照司法解释中列举的侵权情形(如强迫同意、捆绑授权、未明示规则等),逐项排查自身业务。
- 优化告知与同意机制:确保获取人脸信息前,以清晰易懂的方式单独告知用户处理目的、方式和范围,并获得用户或其监护人的单独、明确同意,杜绝一揽子授权。
- 审查并修订法律文本:全面检查用户协议、隐私政策中的相关格式条款,删除“无期限、不可撤销、任意转授权”等不公平条款,明确信息删除机制。
- 建立并固化证据留存体系:与法律顾问合作制定《诉讼风险防范手册》,系统性地留存能证明处理合法性(如用户同意记录、安全措施证明)的证据。
- 进行全生命周期安全评估:评估从采集到删除各环节的技术与管理安全措施,确保能防止信息泄露、篡改、丢失,并验证数据收集的必要性。
风险提示
- 误区:认为“用户点击同意”即万事大吉。注意:通过捆绑授权、不同意就不提供服务(非必需场景)等方式获得的同意可能被认定为无效。
- 误区:只关注线上APP,忽视线下场景。注意:在经营场所、公共场所使用人脸识别技术进行验证、辨识或分析,同样适用严格规定。
- 注意事项:处理未成年人(尤其是儿童)人脸信息需格外谨慎,必须获得监护人的明确同意,并实施更严格的保护措施。
- 注意事项:即便在用户同意范围内处理信息,也需遵循“合法、正当、必要”原则,过度收集或不合理使用仍会构成侵权。