人脸识别的监管立法趋势及主要法律问题

专家介绍

黄春林

黄春林律师，现为汇业律师事务所高级合伙人，主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务，常年为数十家境内外企业提供前瞻性法律服务解决方案，2020年初在人民法院出版社出版专著《网络与数据法律实务：法律适用及合规落地》。

黄律师先后被商法、Legalband、知产力、Lawfirm50等第三方评级机构推荐为数据与网络、知识产权等领域全国领先律师。现任上海律协互联网业务委员会副主任，中华全国律协信息网络与高新技术委员会委员，上海律协执业考核委员会、律所规范与发展委员会、信息化建设委员会委员，同济大学和华东师范大学实务导师、上海交通大学网络空间治理研究中心特邀研究员等职务。

目

录

人脸识别相关的法律、政策及标准概览

人脸识别系统的主要问题

人脸识别信息全生命周期合规

特殊领域人脸识别技术合规

企业现在到底要做什么？

一、人脸识别相关的法律、政策及标准概览

人脸 ≠ 人脸识别信息

与主体直接或间接关联的，可用于识别主体唯一身份的，包含且必须包含主体的身份参考和生物特征数据在内的任何信息。

注2：生物特征识别信息必须从属于一个特定的个体。如果生物特征数据没有和个体建立关联，则不是生物特征识别信息，如公共安全摄像头采集的未经处理的图像。

——《信息安全技术生物特征识别信息的保护要求》

人脸识别信息保护 & 肖像权 & 隐私权

人脸识别相关的法律、政策及标准概览

监管体系

~2015

萌芽阶段

2016~2018

包容性发展阶段

2019~

强监管阶段

法律

文件

《关于加强网络信息保护的决定》

《消费者权益保护法》

《电信和互联网用户个人信息保护规定》

《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》

《中国人民银行关于改进个人银行账户服务加强账户管理的通知》

《网络安全法》

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

《密码法》

《民法典 -人格权篇（征）》

《金融科技 (FinTech)发展规划（2019-2021 年）》

《中国人民银行金融消费者权益保护实施办法（征求意见稿）》

《个人信息保护法（草案）》

《数据安全法（草案）》

《网络安全等级保护条例》（送审稿）

《关键信息基础设施安全保护条例》（送审稿）

标准

其他

ISO IEC 24745-2011 《信息技术安全技术生物特征识别信息保护》

GB/T 26238-2010 《信息技术生物特征识别术语》

GB/T 27912-2011《金融服务生物特征识别安全框架》

GB/T 31488-2015 《安全防范视频监控人脸识别系统技术要求》

……

GB/T 32629-2016《信息技术生物特征识别应用程序接口的互通协议》

GB/T 33844-2017《信息技术生物特征识别用于生物特征十指指纹采集应用编程接口》

GB/T 33767.1-2017《信息技术生物特征样本质量第1部分：框架》等

GB/T 36460-2018《信息技术生物特征识别多模态及其他多生物特征融合》

……

《人脸识别线下支付行业自律公约（试行）》

《网络安全等级保护基本要求》

《个人信息安全规范（2020）》

《个人金融信息保护技术规范》

《移动金融客户端应用软件安全管理规范》

《网络银行系统信息安全通用规范（2020）》

《信息安全技术生物特征识别信息的保护要求（征）》

……

PISS2020版本关于人脸识别的最新变化

环节	PISS2017版本	PISS2020版本
收集	/	收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
存储	存储个人生物识别信息时，应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要。	个人生物识别信息应与个人身份信息分开存储；原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于: 1) 仅存储个人生物识别信息的摘要信息; 2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能; 3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
共享/ 转让	/	个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
披露	不应公开披露个人生物识别信息
岗位	/	设立专职的个人信息保护负责人和个人信息保护工作机构：处理超过10万人的个人敏感信息的

二、人脸识别系统的主要问题

人脸识别系统的主要应用场景

验身

零售

金融

安防

医疗

……

人脸识别系统示意图

是否云端处理人脸识别信息的合规影响

如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集。

例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体位置信息的收集。

——《个人信息安全规范》

收集人脸信息仅用于与设备本地已存储的人脸信息进行比对或进行本地化处理而没有回传服务器的，不属于人脸信息的收集行为。

——《信息安全技术个人信息告知同意指南》

第三方人脸识别供应商的法律地位

个人信息控制者应对委托行为进行个人信息安全影响评估，确保受委托者达到11.5的数据安全能力要求。

——《个人信息安全规范》

电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。

——工信部24号令

应对个人金融信息生命周期过程中相关的外包服务机构与外部合作机构进行审查与评估。评估其个人金融信息的保护能力是否达到国家、行业主管部门与金融业机构的要求。

——《个人金融信息保护技术规范》

第三方人脸识别系统的资质问题

供应商应当依法取得增值电信业务经营许可（在线数据处理与交易处理）：

供应商通过网络采集不特定顾客的人脸数据信息；
供应商在线处理、分析顾客的人脸数据信息（云端算法模型）；
供应商通过网络向不特定的商户/门店提供基于人脸信息的数据报告/报表；
供应商向商户/门店收取服务费；等等。

供应商的其他资质要求：

网络安全等级保护三级；
ICP备案及公安联网备案；
新业务安全评估；
商用密码认证及测评；
信息安全认证、测评；
其他信息安全能力资料；等等。

三、人脸识别信息全生命周期合规

爬取公开人脸信息是否会入刑？

2018年7至8月间，被告人周昊向付志强购买了一款针对百度贴吧网页端口的非法软件，后利用该软件获取百度贴吧用户昵称和手机号码对应的公民个人信息869927条。

——(2019)苏02刑终528号

信息持有人根据各自的用途在网络上公开个人信息，被告人未经信息持有人同意搜集信息后非法向他人提供，超出了信息持有人发布个人信息用途的预期，是侵犯公民个人信息的行为，具有社会危害性。

——（2018）苏0302刑初43号

谁公开？向谁公开？爬虫方式？后续行为定性？

存储最小化：摘要存储、本地存储、期限最小化

存储隔离原则：与身份信息隔离；避免采取身份信息标识

存储数据可溯源：数字水印技术

加密技术合规：商用密码认证与测评

跨境存储合规：本地化 & 安全评估

备份与归档合规：同等原则

缓存机制

违法缓存数据是否会入刑？

原则不得提供+单独告知/同意

委托处理 ≠ 对外提供
业务外包 ≠ 对外提供

API OR SDK ？

信息主体控制权利保障

查询、撤回、更新、删除及注销、安全事件通知

相对性原则

《负责任地使用人脸识别技术的政策框架》

避免偏见和歧视
合比例使用
隐私保护
问责制
风险评估与审计
性能
知情权
同意
通知
儿童权利
替代选择和人工介入

（2018）粤0306民初23342号：

被告东航股份公司作为实际出票人和承运人，同样掌握了原告的姓名、身份证号、手机号、行程信息等个人信息，其应举证证明已采取有效措施保护乘客的个人信息。

被告东航股份公司提交了一系列证据证明其针对可查看订单信息的“东航B2C会员专区后台管理系统”进行了数据脱敏设置，确保任何人都无法通过该系统查询到订单信息所对应的订票人身份证号、手机号及联系人手机号；并制订了严密的安全管理制度，对数据存储安全进行专门认证、执行个人信息保护和数据安全方面最严格的国际规范等等。

基于被告东航股份公司已充分举证，故本院认为被告东航股份公司在自身掌握信息阶段不存在泄露原告信息的事实。

东航提交证据情况：

信息系统安全等级测评报告、安全保护登记认证年度测评情况说明、信息系统的登记保护备案证明、公安部第三研究所网站介绍、《网络安全合作协议》、东航NGFW选型测试报告、委托贝克进行合规的合同、委托安永进行合规的合同、东航个人信息保护政策的测评报道、2018年度常用APG隐私政策透明度排行报告

四、特殊领域人脸识别技术合规

新零售

显著处张贴告知：

注意：
该区域设有人脸识别设备，您的面部信息可能被收集。详情可咨询服务台或扫描二维码。

在不特定人群进入的公共场所收集人脸等个人敏感信息的，明确标识信息采集设备的性质和目的。

客流/热区统计

• 性别、年龄、到店时间、店内轨迹等

• 成果：人群统计报告

刷脸支付

• 刷脸支付：替代方式

• 交易绑单

• ……

熟客识别

• 成果：精准识别

• 模板数据实现1:1或1:N验证.

• 线上线下数据融合

• 前端店员用于熟客营销

• ……

授权同意：如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域。

金融科技

应用场景：身份识别、身份验证、活体检测、双录、OCR、风控与反欺诈、线下支付、智慧网点（例如VIP客户识别、客流分析）、智能安防（例如押运、金库、预警及安防黑名单等）、网点员工管理等。

人脸识别信息是否属于个人金融信息？
保险、基金、信托等产品合同签署环节的“双录”，属于收集人脸识别信息吗？
金融机构的人脸识别模块是否可以外包？
金融场景使用人脸识别鉴身的证据效力如何？

司法层面
电子证据效力判断

监管层面
表达意愿、多重认证

智能安防

供应商资质审查
人脸识别数据存储
黑名单机制
微表情技术应用合规

五、企业现在到底要做什么？

威科先行®·法律信息库是威科集团依托多年全球信息服务经验、卓越的技术实力及资深的本土专家团队，精心打造的双语法律信息整体解决方案。该数据库以智能检索为贯穿，集法规、案例、实务指南、法律速递、专业文章，实用模板、在线问答等功能于一体，为中国法律专业人士精准决策、高效工作提供坚实支持。

法律信息库特点：

• 专业的信息系统架构

• 基础信息资源 Primary Resources（法律法规，判决案例）的多样性、准确性、及时性

• 基础信息资源 Primary Resources（法律法规，判决案例）分类的的合理性、多样性

• 丰富的文章以及加工信息资源 Secondary Resources，覆盖新闻、实务解读、实用工具、咨询问答等

• 高质量的法规翻译

• 先进的全文检索技术

• 提供智能信息链接，大幅提高信息查询效率

• 便捷的文档管理功能

• 完善的客户服务

• 提供完整的用户使用报告

• 支持 HTML5，移动设备轻松浏览

汇业是一家全国领先的、以商业法律服务见长的综合性律师事务所。近年来汇业荣获了众多奖项和行业资质：ALB亚太律所50强、ALB中国律所30强、ALB中国十佳成长律所、《商法》 “备受关注律所”、“卓越律所”大奖、LEGALBAND最佳网络安全与数据律师事务所、上海市优秀律师事务所、上海市司法行政系统先进集体、上海市高级人民法院一级破产管理人、浙江省高级人民法院省外破产案件管理人、专利代理资质、上海市重点服务贸易单位（法律类）、中国银行间市场交易商协会会员单位等。

汇业具有优秀的法律与商业资源整合能力，总部位于上海，并在北京、广州、深圳、重庆、兰州、南京、成都、太原、宁波、武汉、西安、合肥、青岛、苏州、杭州、长沙、浙江自贸区、无锡、常州、大连、香港、美国亚特兰大以及洛杉矶等地设立办公机构；在加拿大、法国、瑞士、瑞典、塞浦路斯、澳大利亚、日本、韩国等地拥有战略合作伙伴，以为全球客户提供个性化的、创造性的法律服务方案为宗旨。

汇业成员始终以强烈的社会责任感为荣，已经协助数十个中国社区建立了成熟的、制度化的基层矛盾化解机制；同时，多个汇业慈善基金和公益活动赢得了社会的广泛关注，并在为帮助中国贫困地区发展教育事业发挥着日益重要的作用。

以上内容不构成法律意见，作者以及“威科先行”均不为内容获得者由此采取的任何行为承担法律责任。
以上内容仅为作者观点，不代表“威科先行”立场。
未经授权，不得转载。

Go to My Markups

Text Highlighter

Annotations