网络安全动态 ·

“钉钉打卡”引发人脸识别安全问题的9个思考

前段时间,后台收到读者这样一则问题:

“公司突然要求员工转用钉钉人脸打卡。打卡获取的照片由钉钉委托蚂蚁佐罗识别后,再提供给公司管理员和部门主管等人(通过考勤表看到)。根据刑法、网络安全法、民法典、个人信息保护法等规定,钉钉/蚂蚁佐罗在识别完成后应立即删除照片。保存照片并提供给他人涉嫌个人敏感信息泄露。”

最后,该读者问,“员工能否由此拒绝公司人脸打卡?如果公司以此认定旷工,劳动仲裁时员工的理由是否足以辩护?”

读者提出的“钉钉打卡”中人脸识别隐私问题,目前法律是这样规定的:

1)目前中国个人信息处理的合法性基础是个人同意。员工有权拒绝,但可能面临其他劳动法、劳动纪律等方面的不利后果。但如以此认定旷工,员工需要保留好其他到岗上班的证据,能否反驳需要视具体案情而定。

2)如果员工不同意提供面部识别信息,员工最好能够向公司明确表示不同意把面部识别特征给第三方,并且妥善保存该意思表示。如果没有取得员工的同意,公司应停止通过钉钉收集该员工面部识别信息。还可以依据钉钉的隐私政策向钉钉主张删除等权利。

此外,2021年1月1日《民法典》正式生效后,员工(个人)在个人信息与隐私保护方面的选择更多,也更有利。

近期,因为疫情原因,已逐步应用的人脸识别得到大规模推广,被广泛应用于社区门禁、企业考勤等领域,引发的隐私问题也备受关注。

实际上,早在2019年,人脸识别就引发不断的争议。2019年11月,浙江理工大学副教授拒绝以人脸识别方式入园,一纸诉状将杭州野生动物世界告上法庭,被称为“中国人脸识别第一案”。

可能在这一事件影响下,今年10月,《杭州市物业管理条例(修订草案)》新增规定:不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备。

人脸识别的隐私问题不仅在我国受到关注。在注重个人隐私的西方更甚。美国加州旧金山市、奥克兰市对政府使用人脸识别技术进行了规制。2019年底,新西兰一位因拒绝使用面部扫描打卡而被解雇的电工,从前雇主获得了超过2.3万新西兰元(约合人民币10万元)的赔偿。

未来随着智慧城市建设的步伐加快,人脸识别将逐渐被各个行业青睐。目前,中国人脸识别相关企业突破10000家。人脸识别在考勤/门禁领域的应用最为成熟,约占行业市场的40%左右。预计未来五年,我国人脸识别市场规模将保持年均25%的增长速度,到2022年人脸识别市场规模将达67亿元左右。

但公众对于人脸识别的大规模应用存在一定疑虑,对是否会造成个人信息泄露存在一定担忧。政企机构在部署人脸识别方面也面对较为复杂的法律风险与纠纷。

人脸识别技术应用的法律风险与合规主要涉及以下9个问题:

1、人脸识别在个人信息保护领域更为敏感

人脸识别技术的敏感性,来自于我们几乎无法对我们的面部信息进行修改。而其他类型的个人信息,比如用户名、电子邮箱、手机号、甚至是姓名我们都可以较为容易地进行变更。如果不考虑《碟中谍》这样的电影,人脸识别技术收集的面部识别信息一旦被收集就可能是永久被收集。

伴随着公众隐私保护意识的觉醒,人脸识别技术的运用正在让越来越多的民众警惕。这种警惕一方面来自于被窥视所带来的不快,而且很多场景下民众并不知道自己的面部特征信息会被如何利用;另一方面也来自于在很多场景下民众除了提供面部特征以外别无选择,不得不将自己的“脸面”无条件奉上。

因此我们看到了有法学院教师发起“人脸识别第一案”起诉强制人脸识别的动物园,也看到了宿豫警方在对当地一家健身中心进行网络安全检查时对该健身中心违法采集人脸信息给予警告处罚。

2、我国法律:人脸识别不仅是个人信息,还涉及肖像权与隐私权保护

即将于2021年元旦生效的《民法典》将个人生物识别信息列为个人信息,面部识别特征就是生物识别信息的典型代表。此外,人脸识别技术还涉及肖像权及隐私权,这两项权利都是与个人信息并列的法益。也就是说,企业在运用人脸识别技术时,不仅需要考虑个人信息保护的问题,还需要考虑肖像权与隐私权保护问题

目前,我国个人信息、隐私权与肖像权的处理主要以“同意”为基本原则。在《个人信息保护法》通过后,可能会在个人信息层面增加更多的处理合法性依据,即不依赖同意也可以处理个人信息。但人脸识别技术在隐私权、肖像权仍然无法绕开“同意”。因此,获取“同意”在人脸识别技术的运用中扮演着重要的角色。

在《个人信息保护法(草案)》中,拟规定在公共场所安装图像采集、个人身份识别设备,在目的上应当为维护公共安全所必需,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。在推荐性标准《个人信息安全规范》(GB/T 35273-2020)中,建议:

1)收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;

2)个人生物识别信息应与个人身份信息分开存储;

3)原则上不应存储原始个人生物识别信息(如肖像照片),仅存储算法处理后的摘要信息。此外,在另一部推荐性国家标准《远程人脸识别系统技术要求》(GB/T 38671-2020)中,对人脸识别技术的安全性标准提出了建议。

3、目前人脸识别三大应用场景

人脸识别技术通过面部特征实现对不同个人身份的识别,通常用于个人身份的识别、验证,以替代身份证、门卡、用户名密码等身份验证手段。比较常见且容易产生纠纷的人脸识别技术运用场景有以下几种:

门禁系统,主要用于小区、公园、写字楼物业使用人脸识别系统替代传统的IC卡、门禁卡对住户、访客进行身份验证,确保进入限制区域的人员具有相应的权限。在杭州的“人脸识别第一案”中,便是因为野生动物园使用人脸识别替代身份证导致产生纠纷。清华大学劳东燕教授也因为所居住的小区安装人脸识别门禁系统进行维权。

行为分析,商场可能会为了提升商场的运营效率部署人脸识别系统,对消费者在商场内的购物路径、消费情况进行精准统计,并对会员进行精准画像。如杭州某商场人流密集区域部署摄像头进行人脸抓拍,通过智能摄像头识别会员信息,精准统计客流,并通过云端的人脸识别,完成会员身份的确认。在此基础上基于设备识别到的会员数据及第三方系统数据,从多维度分析商圈、门店与顾客画像,让购物中心全面了解客户,实现AI辅助导购进行销售决策。此外,像广告屏也可能使用人脸识别系统,准确判断不同用户对广告屏中广告的表情反馈。

App人脸识别,主要用于各类App的身份验证,比如刷脸支付、上班打卡等场景。相对于其他场景下人脸识别技术的运用,App人脸识别技术的运用会存在更多相关方。比如某公司如果要求员工使用钉钉人脸识别进行打卡签到,那么会涉及员工、用人单位、钉钉的开发者钉钉(中国)信息技术有限公司,以及人脸相关服务北京蚂蚁佐罗科技有限公司等多方主体。数据如何在这些主体中流转、处理会是一个复杂的问题,深究起来会涉及劳动法、个人信息保护等多层次法律关系。

4、部署人脸识别存在三大法律风险

人脸识别的法律风险一方面来自于“同意”难以有效获得。人脸识别技术的使用者在公众场所往往并不愿意公众知道相关技术的运用,以减少“不必要”的麻烦,更谈不上有效获取个人信息主体的同意。这直接导致通过此等方法采集的面部识别信息若用于商业用途很难具有合法性基础。

人脸识别技术的另一方面风险是运用过程中容易走极端,不提供替代方案。比如在杭州“人脸识别第一案”中,游客购买了一张杭州野生动物世界的年卡,有效期内通过同时验证年卡及指纹方式入园。但在三个月后,动物园方面将人脸识别检票系统引入,拆除了原来的指纹检票闸门,必须进行人脸识别验证年卡才能继续使用,所以被告上法庭。因此,如果经营者未经充分评估,贸然引入人脸识别技术而又没有提供替代方案,可能导致原有协议无法继续履行,或需要收集原约定范围之外的个人信息或数据才能继续履行协议。如果经营者仅以用户不同意收集面部识别特征为由拒绝继续提供服务,则可能违反双方已有的服务协议。

此外,人脸识别技术的精准度有赖于大量数据对算法进行训练。而训练所需要的素材往往很难通过自我积累,需要从外部购买获得。而出售、购买面部识别特征数据具有极高的法律风险,有可能触犯刑法,构成侵犯公民个人信息罪。

5、有什么好的方法可以在公共场所获取“同意”?

公共场所是人脸识别技术最难取得“同意”的场景,具体分为“告知”与“同意”两个环节。

在《信息安全技术 个人信息告知同意指南(征求意见稿)》附录D“公共场合场景下的告知同意”中,建议在汽车站、火车站、地铁站、机场、商场等公共场所收集个人信息时,建议个人信息控制者以显著方式向个人信息主体进行展示告知。比如在商场内张贴告知:“本商场安装有人脸识别系统,以便进行客流分析或进行个性化推荐。我们承诺会保护您的人脸等信息安全,详情可向询问台咨询或扫描二维码。”而“同意”则是通过提供不收集个人信息的选择方案实现,例如,设置不成为会员的购买方式;不通过人脸识别的支付方式等。

此外,在欧盟数据保护委员会发布的《关于通过视频设备处理个人数据的指引3/2019》中,推荐使用双层的告知结构,第一层在使用视频处理个人数据公众场合张贴告示,提供简要说明,并通过二维码等渠道提供指向第二层说明的访问途径;第二层进行详细的说明。具体示例如下:

“钉钉打卡”引发人脸识别安全问题的9个思考 网络安全动态 第1张

当然,获取“同意”需要在具体的业务场景下根据实际情况进行设计,在法律合规与商业需求中找到平衡。

6、如何应对使用人脸识别技术导致的法律风险?

经营者引入人脸识别这样的新技术,有必要开展个人信息安全影响评估。使用人脸识别技术对原有服务进行升级,可能导致突破原协议的范围,将新的个人信息、肖像权、隐私权引入原本相对简单的法律关系,让原本不必收集的面部识别特征成为必不可少的数据。如果原先协议对新需要的面部特征信息未有覆盖,则可能构成违约。因此,在服务技术升级的同时,需要考虑如果个人不同意提供新的数据,能否继续使用已有服务,确保协议能够在原框架下继续履行。因此《杭州市物业管理条例(修订草案)》拟要求物业不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权。

此外,引入人脸识别技术可能让新的第三方主体加入合同关系。比如当企业决定使用钉钉人脸打卡功能,这意味着钉钉的开发者钉钉(中国)信息技术有限公司,以及人脸相关服务北京蚂蚁佐罗科技有限公司等多方主体会加入法律关系,数据的流转与法律协议将变得复杂。直接的后果是当个人要求行使如查阅、修正、删除、合同解除等权利时,需要各方主体同步响应,这会对企业间个人信息保护能力的协同提出更高的要求。

7、购买数据训练人脸识别可以采取哪些合规措施?

数据购买具有极高的法律风险。购买面部识别信息时,有必要对供应商数据的数据来源进行严格审核,对自然人向供应商提供的授权文件进行逐一审核或抽查,确保授权文件真实有效。

此外,购买面部识别信息可以参考其他领域数据购买的合规方案。在北京慧辰资道资讯股份有限公司(“慧辰资讯”)2020年6月首次公开发行股票所提交的法律意见书中,详细介绍了慧辰资讯购买数据的合法性基础与相应的内控措施。慧辰资讯所采集的数据,主要为消费者态度数据。慧辰资讯通过《个人信息授权书》的方式,获取被采集者的同意。慧辰资讯向数据供应商购买数据的,会要求供应商确保在采集过程就授权第三方使用相关数据取得个人信息主体出具的明确授权文件。慧辰资讯还通过供应商管理制度,对数据供应商的资质、合规性、重点数据进行供应商核查,并通过数据处理协议、合规经营承诺函的形式对数据供应商进行管理。

8、通过默认设计保护个人信息

在推荐性标准《个人信息安全规范》(GB/T 35273-2020)中,建议:原则上不应存储原始个人生物识别信息(如肖像照片),仅存储算法处理后的摘要信息。即根据“最小化”的个人信息保护原则,缩短面部识别特征的生命周期,通过减少数据的收集达到降低人脸识别技术的法律风险的目的

在法国数据保护机构CNIL发布的题为《机场的面部识别:有哪些挑战和需要遵循的主要原则?》报告中,在技术措施领域要求:

1)只有在相关乘客做出动作后,才会启动面部识别摄像头;

2)通过技术配置,模糊背景中其他乘客的脸;

3)通过面部识别区分控制区和传统控制区的广告牌和地面标记。

这些技术措施和规划要求企业在使用人脸识别技术伊始就考虑个人信息等权益的保护问题,通过默认设计保护个人信息等权益。

9、前瞻关注新技术的隐私问题风险

2020年9月,美国斯坦福大学计算机系教授李飞飞联合斯坦福医学院教授阿诺·米尔斯坦等科研人员在《自然》发表了题为《利用环境智能照亮医疗的黑暗空间》的论文中,强调了环境智能技术的潜力。环境智能,即通过机器学习和非接触式传感器能够对人类存在做出敏感反应和反馈的电子空间。人脸识别技术是环境智能的重要组成部分。

环境智能技术除了运用摄像头,还会综合运用深度传感器、温度传感器、无线传感器、声音传感器等设备。环境智能可以运用于重症监护、临床护理、甚至是老年人独立生活。因为环境智能的本质是全面监控,收集数据的深度与广度都远超人脸识别技术,所以环境智能技术必须更加注重隐私和数据安全性设计。

人脸识别技术、环境智能技术、自动驾驶等技术近年来高速发展,背后是对海量数据的收集与处理。这些数据的处理深刻地影响着每个人与技术的关系。

我们在享受技术进步带来便利的同时,需要关注新技术对个人信息、隐私、肖像的保护予以警觉;经营者在享受技术进步带来利润的同时,需要关注如何降低自己处理数据的法律风险。

关于作者

史宇航,法学博士,执业律师,注册信息安全专业人员(CISP),汇业律师事务所顾问律师。

声明:本文来自虎符智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 2018288588@qq.com。

参与评论