李松林/摄 资料图
近日,《杭州市物业管理条例(修订草案)》引发网络热议,其中规定了物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权。随着智慧社区建设的推进,越来越多的小区开始安装人脸识别门禁,点赞者称人脸识别方便小区安保管理,拍砖者则认为随意采集个人信息程序违法,甚至担心数据信息泄漏造成不良后果。众说纷纭的背后,是对收集个人信息的合理性与合法性的讨论。那么,“人脸”是否属于个人信息?法律对于“收集”行为是如何规定的?人脸识别进社区的正确方式是什么?
1、个人敏感信息包括“人脸”
人脸识别是基于人的面部特征进行身份识别的一项生物识别技术,这项技术通过采集人像、关键点提取,对人像进行预处理、特征提取、人脸识别对比,实现个人身份识别验证的目的。人脸识别技术始于20世纪60年代,随着大数据、互联网时代的到来,目前广泛应用于安保、移动支付、公司管理等领域。各地多个社区推广人脸识别,正是在安保、物业管理场景下的应用。
即将实施的民法典详细明确了个人信息的具体内容。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
2020年10月1日实施的《信息安全技术个人信息安全规范》,进一步区分了一般个人信息和个人敏感信息。个人敏感信息指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,具体可包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,也属于个人敏感信息。
“因此,将‘人脸’界定为个人敏感信息是合理的。”北京市海淀区人民法院法官介绍,区分类型之后,按照不同的类型采取不同的保护措施与保护力度。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等,社区推广人脸识别引发争议的焦点集中于信息的收集行为。
2、“人脸”采集的合法性与合理性
上述杭州市物业管理条例修订草案中所规定的“物业服务人不得强制业主通过指纹、人脸识别等生物信息方式使用共用设施设备,保障业主对共用设施设备的正常使用权”,属于新增条款,多家媒体将其解读为全国首部将小区人脸识别纳入物业管理的法定条例,与全国其他省市“来势汹汹”的人脸识别潮形成明显对比。
北京市海淀区人民法院法官表示,物业服务合同双方权利义务受合同法的约束,合同法并没有对“收集个人信息”的行为进行规定,且民法典也没有明确“收集行为”的具体含义,所以杭州市将物业服务人收集业主个人信息的行为纳入条例内容难能可贵。
《信息安全技术个人信息安全规范》对个人信息的收集行为进行了明确。收集是获得个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人信息等行为。如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本规范所称的收集。例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,不属于个人信息主体位置信息的收集。