适用场景
计划或正在海外市场(尤其是对数据隐私保护严格地区)运营,且业务中涉及采集、使用人脸识别技术(如智能安防、无人零售、移动支付、门禁考勤、个性化营销等)的中国出海企业。
核心要点
1. 人脸信息的法律定性:高敏感度的生物识别信息
根据中国最高人民法院的司法解释,人脸信息被明确界定为“生物识别信息”,属于高度敏感的个人信息。这意味着处理此类信息将面临比处理一般个人信息更为严格的法律要求和更高的合规标准。企业需特别注意,不仅原始人脸图像受规制,从图像中提取的、可用于识别的特征数据同样在监管范围内。
2. 获取同意的核心要求:单独同意与有效告知
处理人脸信息必须获得信息主体的“单独同意”,这比一般性同意要求更高,通常意味着需要独立、醒目的授权环节,不能与其他授权捆绑。同时,企业必须在经营或公共场所进行清晰、有效的告知,确保用户知情,并为拒绝授权的用户提供可行的替代方案,避免“强制刷脸”。
3. 处理行为的根本原则:必要性原则
企业必须证明其人脸信息处理活动对于其提供的产品或服务是“必需”的。以“增值服务”或“提升体验”为由的处理模式可能面临合规挑战。为满足必要性要求,企业应为用户提供非人脸识别的替代选项(如密码、刷卡、人工通道),不能将刷脸作为唯一方式。
4. 举证责任倒置:企业需自证合规
一旦发生相关民事纠纷,法律倾向于要求人脸信息处理者承担主要的举证责任,即需要企业主动证明其处理行为合法、正当、必要且已获有效同意。这要求企业必须建立并完整保存所有合规流程的记录,包括告知内容、同意凭证、数据处理日志等,以备核查。
5. 多方合作下的责任划分与合同约定
在人脸识别应用场景中,常涉及技术提供方、部署运营方等多个处理者。法律规定各方需根据过错程度承担相应责任。为避免责任不清,合作各方必须在协议中明确划分数据处理的角色、权利义务、合规责任以及发生侵权时的内部追偿机制,并以可追溯的方式记录数据处理活动。
实务建议
- 在采集人脸信息前,设置独立、醒目的弹窗或页面,明确告知处理目的、方式、存储时间,并获取用户的“单独同意”,保留同意记录。
- 评估业务场景,确保人脸识别非唯一选项,提供至少一种同等便捷的非生物识别替代方案,以满足“必要性”原则。
- 建立并严格执行内部数据合规流程,系统化记录从告知、同意到数据处理、存储、删除的全生命周期日志,确保可追溯、可审计。
- 与技术合作方、业务合作伙伴签订协议时,明确约定各方在数据保护方面的责任、义务及违约赔偿条款,特别是事故响应和责任分配机制。
- 定期审查用户协议、隐私政策中关于人脸信息处理的条款,避免出现“无期限、不可撤销、任意转授权”等可能被认定为无效的格式条款。
- 对员工进行专项培训,确保一线业务人员(如商场、门店工作人员)了解合规要求,能正确引导用户并处理相关咨询。
风险提示
- 误区:认为仅处理低精度人脸图像或不进行特征提取就不受规制。警告:只要信息能用于识别特定自然人,就可能被认定为受规制的“人脸信息”。
- 误区:在公共场所仅张贴模糊或不易察觉的告示即视为已履行告知义务。警告:告知必须显著、易懂,并能确保进入该区域的个人有效知悉。
- 误区:将人脸信息处理同意条款隐藏在冗长的用户协议中。警告:此举无法满足“单独同意”要求,相关条款可能被认定无效,导致同意不成立。
- 注意事项:人脸信息一旦泄露,危害巨大且不可更改。企业需投入比保护一般信息更高的安全防护等级,并制定专门的泄露应急预案。
- 注意事项:随着全球隐私立法趋严,中国的人脸识别合规实践可能成为其他司法辖区(如欧盟、美国部分州)监管机构的参考,影响出海业务的全局合规。