“人臉”算個人信息嗎？ 進社區(qū)，需要先合規(guī)

在江蘇省南通市崇川區(qū)學田街道，小區(qū)居民通過人臉識別設備經過小區(qū)的出入口 　 

近日，《杭州市物業(yè)管理條例(修訂草案)》引發(fā)網絡熱議，其中規(guī)定了物業(yè)服務人不得強制業(yè)主通過指紋、人臉識別等生物信息方式使用共用設施設備，保障業(yè)主對共用設施設備的正常使用權。隨著智慧社區(qū)建設的推進，越來越多的小區(qū)開始安裝人臉識別門禁，點贊者稱人臉識別方便小區(qū)安保管理，拍磚者則認為隨意采集個人信息程序違法，甚至擔心數據信息泄露造成不良后果。眾說紛紜的背后，是對收集個人信息的合理性與合法性的討論。秦鵬博 據《北京日報》

個人敏感信息包括“人臉”

個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

2020年10月1日實施的《信息安全技術個人信息安全規(guī)范》，進一步區(qū)分了一般個人信息和個人敏感信息。個人敏感信息指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。個人信息控制者通過個人信息或其他信息加工處理后形成的信息，如一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的，也屬于個人敏感信息。

因此，將“人臉”界定為個人敏感信息是合理的。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等，社區(qū)推廣人臉識別引發(fā)爭議的焦點集中于信息的收集行為。

“人臉”采集的合法性與合理性

民法典將收集行為列為處理個人信息的一種，應當遵循合法、正當、必要原則，不得過度處理，并遵循四個條件：一是征得該自然人或者其監(jiān)護人同意;二是公開處理信息的規(guī)則;三是明示處理信息的目的、方式和范圍;四是不違反法律、行政法規(guī)的規(guī)定和雙方的約定。

因此，對于人臉識別進社區(qū)，其合法性是在個人信息保護的多層法律框架內討論，即是否符合民法典及《信息安全技術個人信息安全規(guī)范》等相關法律的規(guī)定。例如不應以欺詐、誘騙、誤導的方式收集個人信息;不應隱瞞產品或服務所具有的收集個人信息的功能;不應從非法渠道獲取個人信息。今年10月首次亮相的《個人信息保護法(草案)》中，規(guī)定了個人在個人信息處理活動中的權利，即個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理。

而人臉識別進社區(qū)的合理性，是在法律上常用的比例原則內進行討論，即生活日常的場景下是否有必要收集、利用個人敏感信息。我們應當堅持收集個人信息的最小必要原則，一方面收集的個人信息的類型應與實現產品或服務的業(yè)務功能有直接關聯，直接關聯是指沒有上述個人信息的參與，產品或服務的功能無法實現;另一方面，自動采集個人信息的頻率應是實現產品或服務的業(yè)務功能所必需的最低頻率。再者，間接獲取個人信息的數量應是實現產品或服務的業(yè)務功能所必需的最少數量。

人臉識別進社區(qū)的正確方式

首先，業(yè)主知情同意是前提。依據《信息安全技術個人信息安全規(guī)范》的要求，收集個人敏感信息前，一方面，應征得個人信息主體的明示同意，并應確保個人信息主體的明示同意是其在完全知情的基礎上自主給出的、具體的、清晰明確的意愿表示;另一方面，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意。

其次，給予業(yè)主充分的決定權。無論采用何種方式進行社區(qū)建設，其目的都是為業(yè)主營造舒心、溫暖的居住環(huán)境，社區(qū)管理只是營造居住環(huán)境的手段而不能作為目的。人臉識別進小區(qū)的同時，要為有異議的業(yè)主提供其他身份核驗的選項，例如NFC卡、出入證、手動登記等多元化的選擇。

最后，明確人臉識別的責任主體。民法典明確了個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等，任何一個環(huán)節(jié)出現問題，都將導致數據泄露，將權利人置于未知風險之下�，F有的人臉識別進社區(qū)活動牽頭者眾多，招標標準不同，對外宣稱的數據保管方式也千差萬別，因此需要加快立法明確責任主體。在法律保護框架不完善的現實情況下，是否可以參照產品質量責任中銷售者與生產者連帶責任的方式，確定所有環(huán)節(jié)責任主體連帶責任，以提高上游收集者對于下游進一步處理者的選擇門檻，提高數據安全性。

新華社/發(fā)