人脸识别技术是指通过对人脸信息的自动化处理，实现人脸验证（将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行1：1比对，以确认特定自然人是否为其所声明的身份）、人脸辨识（将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行1：N比对，以识别特定自然人）或者人脸分析（不开展人脸验证或人脸辨识，仅对采集的人脸图像进行统计、检测或特征分析）等目的的一项生物识别技术。[1]

随着人脸识别技术在公共交通、金融安全领域的广泛运用，其应用场景逐渐丰富与多元化，如：门店使用无感式人脸识别技术擅自采集消费者人脸信息、公司使用人脸识别考勤机记录员工考勤信息、健身房通过人脸识别方式为会员激活健身卡、物业将人脸识别作为业主出入小区的验证方式等，相关案例虽未触及人脸识别技术的使用界限、人脸信息的处理规范等核心问题，但不得不承认，人脸识别技术存在被滥用的趋势，公众对于个人人脸信息被泄露、滥用的担忧也因此与日俱增。

广受关注的“人脸识别第一案”——郭兵与杭州野生动物世界有限公司（简称“野生动物世界”）服务合同纠纷一案中，郭兵的诉请之一是要求野生动物世界删除已收集的个人人脸识别信息。法院认为：由于本案是服务合同之诉，双方当事人签订的合同中并没有关于删除个人信息的约定，但是合同当事人在办理年卡时约定采用指纹识别方式入园，野生动物世界收集郭兵及其妻子的人脸识别信息，超出了必要原则的要求，不具有正当性。进而支持了郭兵的此项诉请，判决野生动物世界删除郭兵办理年卡时提交的包括照片在内的面部特征信息。本案中法院以合同为依据支持了原告的诉讼请求，保护了消费者对其个人信息享有的权利。[2]

近年来，国家回应大众关切，陆续颁布《数据安全法》、《个人信息保护法》、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》及《GB/T 35273—2020信息安全技术 个人信息安全规范》、《信息安全技术 人脸识别数据安全要求》（征求意见稿）等法律法规与规范，保护公民的个人信息权益，规范个人信息处理活动，促进个人信息的合理利用。

个人信息包括一般个人信息和敏感个人信息，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。其中生物识别信息又包括个人基因、指纹、声纹、掌纹、虹膜、面部识别特征等信息，人脸信息作为生物识别信息中社交属性最强、最易采集的个人信息，具有唯一性和不可更改性，一旦泄露将对个人的人身和财产安全造成极大危害，甚至还可能威胁公共安全，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。根据相关法律法规与规范，本文就“人脸识别技术”与敏感个人信息提出如下合规管理建议：

一、相对于一般个人信息，个人信息处理者在处理“人脸”等敏感个人信息的过程中需要注意：

1．征得个人同意。首先，该同意要由个人在充分知情的前提下自愿、明确作出；其次，必须就敏感信息处理活动单独取得个人的同意，不能通过一揽子告知同意等方式征得个人同意；最后，可能还需要根据法律、行政法规的规定取得书面同意。另外，处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的单独同意以及可能的书面同意。

2. 以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关信息。包括：个人信息处理者的名称或者姓名和联系方式；处理目的、处理方式，处理的个人信息种类、保存期限；个人行使权利的方式和程序；处理敏感个人信息的必要性以及对个人权益的影响等。

3. 事前进行个人信息保护影响评估。并且需要对处理情况进行记录，个人信息保护影响评估报告和处理情况记录应当至少保存三年。

4. 传输和存储敏感个人信息时，应采用加密等安全措施。匿名化处理个人信息，将个人生物识别信息与个人身份信息分开存储，采取应有的技术措施或者其他必要措施确保其存储的敏感个人信息安全，在发生或者可能发生信息泄露、丢失、篡改的情况时立即采取补救措施，及时处理，告知相关方，防止敏感个人信息泄露、篡改、丢失。

二、在一些具体应用场景中，个人信息处理者应注意：

1. 在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的。经营者在宾馆、商场、娱乐场所等经营场所、公共场所使用远距离、无感式的人脸识别技术处理人脸信息，无论是人脸验证、人脸辨识、人脸分析等均应征得自然人或者其监护人的单独同意。

2. 不得违背公序良俗处理人脸信息。主要针对信息处理者使用深度伪造等人脸生成技术，恶意毁损他人名誉等社会现象。

3. 移动互联网应用程序不得以不提供相关产品或服务、以及捆绑、强迫等形式要求用户同意处理其人脸信息。当在对应业务功能启动时，动态申请App所需的权限，不应强制要求用户一揽子同意打开多个系统权限，且未经用户同意，不得更改用户设置的权限状态。

4. 小区物业不得将人脸识别作为出入小区的唯一验证方式。物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式的，应为不同意的业主或者物业使用人提供其他合理验证方式。

三、此外，我们建议个人信息处理者在“人脸”等敏感个人信息处理活动过程中：1.建立便捷的个人行使权利的申请受理和处理机制；2.制定内部管理制度和操作规程；3.对个人信息实行分类管理；4.采取相应的加密、去标识化等安全技术措施；5.合理确定个人信息处理的操作权限，明确责任部门与人员，并定期对从业人员进行安全教育和培训；6.建立、维护和更新所收集、使用的个人信息处理活动记录；7.制定、组织实施并不断完善个人信息安全事件应急预案；8.依法委托专业机构开展审计工作等。

根据《个人信息保护法》，对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，还需要：1.按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；2.遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；3.对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；4.定期发布个人信息保护社会责任报告，接受社会监督。

[1]参见：《信息安全技术 人脸识别数据安全要求》（征求意见稿）

[2]参见：《(2019)浙0111民初6971号 郭兵与杭州野生动物世界有限公司服务合同纠纷一审民事判决书》

（本文作者：盈科王俊林、孔繁琳律师 来源：微信公众号 盈科知产与竞争法资讯）