.png)
.png)
.png)
.png)
作者:数据合规业务委员会
近年来,人脸识别的应用日益增多,其中人脸识别考勤已成为诸多公司一项非常重要的管理制度。部分人脸识别考勤机还具有测温功能,在疫情时代非常畅销。而每个人的脸都是独特的,这就决定了人脸识别信息具有唯一性、不可变性。这种生物识别信息一旦遭到泄露或者被他人非法使用,对个人将产生巨大影响,使个人人格尊严严重受损、人身财产安全受到侵害。
目前,社会公众对个人信息、隐私保护的意识逐渐加强,但由于人工智能等相关技术的发展日新月异,对于人脸识别技术的合理应用边界,相关的法律规定并不完善、有待进一步发展,但是也已经有了部分指导。总体而言,法律对于人脸识别信息的采集和运用有相当高的要求。
如果企业使用带有人脸识别功能的考勤设备对员工进行考勤,则必须考虑相关监管风险以及合规措施。笔者最近也收到多起相关咨询,现借此文对人脸识别考勤的监管要求和个人信息保护合规要点进行分析,供读者参考。
人脸识别考勤场景的监管要求
2021年4月22日发布的国家标准《信息安全技术 人脸识别数据安全要求(征求意见稿)》(下称“《人脸识别数据安全要求》”),将涉及人脸图像处理的场景分为三类:…… 2. 人脸辨识:将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行比对(1:N比对),以识别特定自然人。典型应用包括公园入园、居民小区门禁等……[1]
根据《人脸识别数据安全要求》,企业使用人脸识别考勤机对员工进行考勤的场景应当属于人脸辨识场景。《人脸识别数据安全要求》对人脸辨识场景情形下,数据处理者的各项数据处理活动作出了规定。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(下称“人脸识别司法解释”)规定,信息处理者在特定场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析,应当认定为属于侵害自然人人格权益的行为。[2]
经研究与人脸识别有关的法律、司法解释和标准,我们对人脸辨识场景的监管要求作出以下梳理:
人脸识别考勤场景的个人信息保护合规要点
根据上述法律、司法解释和标准的监管要求,我们认为,企业使用人脸识别考勤机器对员工进行考勤,存在较大的法律风险,对该应用场景,我们建议企业注意以下要点以满足合规要求:
01 对于具有测温和人脸识别复合功能的考勤机的使用,企业应将测温和考勤功能进行分离。单就测温这一目的而言,不具备收集员工人脸识别信息的合法必要性。企业可以采取其他方式对员工测温,比如测温枪。
02 企业应提供替代方案供员工出入并进行考勤,比如门禁卡等,不能以具有人脸识别功能的设备作为考勤打卡的唯一选择。在使用人脸识别设备供员工出入的情况下,在提供替代方案同时,企业还应向员工出具告知函,告知处理人脸信息的目的、方式、范围等,确保员工知情同意,并取得员工单独书面同意。
03 企业应采取安全措施以存储和传输人脸识别数据,包括但不限于通过加密方式存储和传输人脸识别数据,采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等,并特别注意不应保存原始人脸图像。
04 企业应当及时进行个人信息保护影响评估,评估企业处理员工人脸识别信息时的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。该影响评估报告和处理情况记录应当至少保存三年。
注:
[1]《信息安全技术 人脸识别数据安全要求(征求意见稿)》第4条;
[2] 《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条;
[3] 《信息安全技术 人脸识别数据安全要求(征求意见稿)》第3.5条,数据控制者指有能力决定人脸识别数据处理目的、方法等的组织或个人,来源GB/T 35273-2020。
