观韬视点 | 头盔哥来了,开发商咋办——售楼处使用人脸识别系统的问题与建议
作者 | 北京办公室 郑华 梁淞亮
近日,一名男子佩戴头盔在售楼处看房的照片,引起公众对于售楼处使用人脸识别系统获取来访者信息的关注,配合新鲜出炉的“人脸识别第一案”判决[杭州市富阳区人民法院就郭兵与杭州野生动物世界有限公司服务合同纠纷的一审判决,(2019)浙0111民初6971号],吸引了更多眼球。该照片走红,反映出公众对于个人信息保护的重视与日俱增。据报道,不少房地产开发企业在售楼处配置和使用人脸识别系统。售楼处通常不主动提醒购房者存在该系统。购房者进入该系统摄像头工作范围时,面部信息会被获取、比对、识别、储存。开发商配置该系统的目的,主要是区分成交客户是否通过中介渠道,避免后期与销售代理机构就客户来源问题扯皮,减少不必要的营销支出。在当前人脸识别系统遭受质疑增多的情况下,开发商有必要重新审视在售楼处应用人脸识别系统的法律风险。
面部识别特征属于个人生物识别信息。因此,人脸识别系统涉及个人信息处理。就售楼处应用人脸识别系统而言,目前适用的法律法规主要是《民法总则》和《消费者权益保护法》(若有关情形符合该法关于消费者、经营者的界定)的相关规定。
《民法总则》第111条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
《消费者权益保护法》第29条规定:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
除上述法律外,国家市场监督管理总局、国家标准化管理委员会发布并已于2020年10月1日实施的《信息安全技术 个人信息安全规范》(GB/T 35273—2020,下称“《个人信息安全规范》”)规定:个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则,具体包括权责一致(采取技术和其他必要的措施保障个人信息的安全,对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任)、目的明确(具有明确、清晰、具体的个人信息处理目的)、选择同意(向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意)、最小必要(只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息)、公开透明(以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督)、确保安全(具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性)、主体参与(向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法)。《个人信息安全规范》并就个人信息的收集、存储、使用、安全事件处置和个人信息主体的权利等作出了具体、可操作的规定。《个人信息安全规范》尽管不是法律法规或者规章,但其作为国家标准,在国家机关的行政执法和司法活动中较大可能被参考。
明年1月1日将生效的《民法典》,除重申《民法总则》第111条的规定外,对个人信息处理事宜也提出了明确要求:1、处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:A、征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;B、公开处理信息的规则;C、明示处理信息的目的、方式和范围;D、不违反法律、行政法规的规定和双方的约定(第1035条)。2、自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除(第1037条)。3、信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告(第1038条)。
基于上述目前有效的法律规范和即将生效的《民法典》的相关规定,我们认为,售楼处在未获来访者同意的情形下获取、保存其面部识别特征,存在法律风险。对于开发商防控使用人脸识别系统的风险,我们有以下几方面建议:
一是遵循合法、正当、必要的原则和征得个人信息主体的同意。推荐方案是按照《个人信息安全规范》第5.4.c)条的要求,房地产开发企业在收集售楼处来访人员的个人生物识别信息前,单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
二是建立健全个人信息安全内部管理制度。比如,明确责任部门和人员,将有权调取人脸识别信息的人员限定在最小范围,加强内部管理,强化安全保密责任;定期检视个人信息储存时间的合理性;形成工作机制,有效处理个人信息主体的要求和投诉。
三是与设备供应商加强合作,防范信息泄露风险。比如,审视与人脸识别系统供应商签订的有关合同条款,对信息安全保障方面内容给予更多关注,厘清双方责任,必要时可商对方签署补充协议。
本文仅为我们对相关法律、法规及政策的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:郑华律师为观韬中茂国际投资与贸易业务线、金融业务线的合伙人,主要执业领域为诉讼仲裁和资本市场相关法律事务。郑律师是北京市律师协会台港澳与涉侨法律专业委员会副秘书长,北京市律师协会涉外律师人才库入库律师,中国国际贸易促进委员会/中国国际商会调解中心调解员。
Email: zhenghua@guantao.com
作者简介:梁淞亮为观韬中茂金融业务线实习律师,毕业于华东政法大学国际法学院,主要提供争议解决、公司、金融等领域法律服务。
Email:liangsl@guantao.com