《个人信息保护法》即将于11月1日开始实施。而基于人的面部特征信息进行身份识别的人脸识别技术,在网络银行、物业管理、安全监控等领域已经得到了迅速普及和广泛使用,在带来便捷的同时,其泄露个人信息的风险也饱受诟病。随着《个人信息保护法》的实施,人们对其个人信息保护的意识将不断增强,收集处理的个人信息越多,个人信息处理者的责任也就越大。本文是针对物业公司或其他物业管理机构采用人脸识别门禁系统,对《个人信息保护法》所作的提示性解读,建议有关单位结合自身情况和实际需求,本着方便用户、安全第一、适度采集、审慎处理的原则,采用恰当的身份认证方式,做好有关个人信息处理工作。
那么,按照《个人信息保护法》的要求,物业公司采用人脸识别系统应注意哪些法律问题呢?
一是合法性判断,作为决定采用人脸识别系统的物业公司,需要对这一项目是否满足处理敏感个人信息的法定条件作出判断,即“具有特定的目的、具有充分的必要性、并采取严格保护措施”。我们知道,人脸识别系统需要对用户面部特征进行处理,根据个人信息保护法第二十八条的规定,这属于对敏感个人信息中的生物识别信息的处理,而敏感个人信息的处理,对处理者的要求更高,敏感个人信息处理项目依法需要满足以上三要素方可进行。
二是事前评估,作为敏感个人信息处理者,应按照个人信息保护法第五十五条的要求,事前进行个人信息保护影响评估,评估内容包括:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
三是告知-同意程序的履行,这是敏感个人信息处理中信息采集的法定流程,必须针对被采集信息的个人单独开展,不能采用一揽子笼统性的协议来囊括。
告知不仅要包括采集一般个人信息需要告知的内容(1.个人信息处理者的名称或者姓名和联系方式;2.个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;3.个人行使本法规定权利的方式和程序;4.法律、行政法规规定应当告知的其他事项。),还需要明确告知处理敏感个人信息的必要性以及对个人权益的影响;在对特定用户进行以上明确告知后,还应取得该用户对处理其敏感个人信息的单独同意。很多写字楼物业此前由用户所在单位代为提交个人信息办理出入凭证,应改为由用户本人申办,以单独签署告知同意书的方式收集相应的人脸数据/敏感个人信息。告知同意书应一式两联,并载明用户权益保护联络渠道,便于用户行使法定权利。
如果用户不同意,物业公司应采取其他可行的身份认证方式,对用户进出进行管理,而不能一拒了之。
四是规范信息管理,保障用户信息合法收集后能得到合法利用,有效防止泄露事件和滥用。需要做好两方面工作。
一方面内部信息管理,既要加强信息系统的技术安全防护,防范系统被入侵导致的信息泄露,也要防范内部有关人员泄露相关信息,导致公司承担不利后果。
根据个人信息保护法第五十一条的要求,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的措施,以确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。这些措施包括:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
同时,在发生或者可能发生个人信息泄露、篡改、丢失的的情形下,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。只有在个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的情况下,个人信息处理者可以不通知个人。
另一方面是做好第三方管理。绝大多数的人脸识别均需通过第三方门禁设备和信息处理软件进行,不可避免与第三方构成敏感个人信息的委托处理关系。根据个人信息保护法第二十一条,个人信息处理者委托第三方处理个人信息的,应当与该第三方受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对该第三方的个人信息处理活动进行监督。该第三方即受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
在此需要注意的是,在门禁安装合同中往往打包有人脸识别软件的授权使用,物业公司或其他物业管理机构需要针对人脸信息的接收或/和处理主体(软件供应商)进行筛选和评估,把好合同关,对相关的信息安全保障义务作出合理的安排和责任约束。(法律依据:第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。)
五是将个人信息处理工作纳入合规审计范畴,并做好相应的档案管理工作。根据《个人信息保护法》第五十四条规定,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。第五十六条规定,个人信息保护影响评估报告和处理情况记录应当至少保存三年。
以上是针对物业公司或其他物业管理机构采用人脸识别门禁系统,对《个人信息保护法》所作的提示性解读,建议有关单位结合自身情况和实际需求,本着方便用户、安全第一、适度采集、审慎处理的原则,采用恰当的身份认证方式,做好有关个人信息处理工作。
而其他收集大量用户信息的专业信息处理机构或平台,理应承担更为严格的个人信息保护义务。