編輯導(dǎo)語：人臉識別技術(shù)當(dāng)下已經(jīng)被普遍使用，不過相應(yīng)的，從業(yè)者在使用人臉識別技術(shù)、進(jìn)行人臉數(shù)據(jù)采集時，則應(yīng)當(dāng)遵循合理且規(guī)范的限度。本篇文章里，作者從互聯(lián)網(wǎng)從業(yè)者的角度，分享了有關(guān)人臉識別的要求和注意事項，一起來看一下。

最近有關(guān)個人信息保護(hù)、數(shù)據(jù)安全、網(wǎng)絡(luò)安全的新聞和動態(tài)很多，你都關(guān)注過嗎？

• 滴滴、Boss直聘等先后遭遇網(wǎng)絡(luò)安全審查；
• 微信暫停個人帳號新用戶注冊；
• 工信部啟動互聯(lián)網(wǎng)行業(yè)專項整治行動；
• 《個人信息保護(hù)法》草案將在2021年8月17日至20日三審；
• 最高人民法院發(fā)布首個人臉識別司法解釋；
• ……

今天我主要站在互聯(lián)網(wǎng)從業(yè)者的角度，給你分享梳理最新有關(guān)人臉識別的要求和動態(tài)。無論你是產(chǎn)品經(jīng)理、運營、開發(fā)、市場等人員，都需要了解的哦。

一、人臉數(shù)據(jù)是什么？

人臉數(shù)據(jù)屬于我們的生物識別信息，就像我們的指紋，這些信息是敏感個人信息。

但人臉數(shù)據(jù)跟其他個人信息又不一樣，比如我們不輕易之間就被“盜走了”人臉，采集起來還是很容易的。

另外，人臉數(shù)據(jù)也是唯一性和不可替代性，不像其他手機號、地址信息等可以變更，這個可沒法代替。

所以，人臉數(shù)據(jù)就顯得非常重要，但保護(hù)起來又很難，難在面對這樣的新興事物，法律法規(guī)和市場還不是很健全和規(guī)范，部分互聯(lián)網(wǎng)從業(yè)者侵犯用戶的人臉數(shù)據(jù)，帶來了很多安全隱患，我們接下來就來講講這些。

二、什么時候能采集人臉數(shù)據(jù)？

1. 合理、必要限度

這就需要先回答一個問題，就是這款A(yù)PP為什么需要這個時候采集人臉數(shù)據(jù)？

這里面需要遵循合理、必要限度的原則，也就是用不到人臉數(shù)據(jù)的時候就不能采集，超過必要限度的也不能采集，不能濫采集、濫用。

2. 提供替代驗證方式

這次“人臉識別司法解釋”第十條規(guī)定，人臉識別可以作為進(jìn)出物業(yè)的方式，但不能是唯一方式，也就是物業(yè)服務(wù)企業(yè)須提供其他替代選項。

同理，我們的APP、互聯(lián)網(wǎng)平臺在人臉識別不是業(yè)務(wù)功能所必需的情況下，應(yīng)告知并提供替代驗證方式，不能把人臉識別作為唯一的驗證渠道。

3. 告知，用戶同意、知情

這個是必須要做的，首先是告知。

處理人臉識別信息的，除應(yīng)告知處理者身份、聯(lián)系方式、目的、方式和種類等通用的告知事項外，還應(yīng)當(dāng)告知：處理人臉識別信息的必要性以及對個人的影響。

告知往往是大家忽視的，也就是用戶都搞不清為什么要被采集人臉數(shù)據(jù)，采集了用到哪里干什么用的？等等。

同時，采集用戶的個人信息那必須得到用戶的同意，尤其是采集敏感的人臉數(shù)據(jù)的時候，不能不知情的情況下就采集完成了。

那么如何征得用戶的同意呢？

這里面特別重要，下面著重講解。

三、怎么征得用戶同意，才能用人臉數(shù)據(jù)？

簡單的征求同意不行的！

特別是在一大堆密密麻麻的文字里面讓用戶同意的，這些都不行的。

收集人臉識別信息，須征得個人單獨同意。

“人臉識別司法解釋”第四條第二款，特地從反面強調(diào)：將對人臉識別，與其他信息一并捆綁獲得同意的，將被為是無效的同意。

很多APP和網(wǎng)絡(luò)平臺都是上述這樣的方式讓用戶同意，那么從2021年8月1日起，一攬子協(xié)議將帶來巨大的法律風(fēng)險。

那什么是單獨同意呢？

就是在隱私政策外，應(yīng)通過單獨彈窗等方式征得對處理人臉識別同意。之前沒有這么做的，那現(xiàn)在需要重新補充單獨通知。同時針對不需要用人臉數(shù)據(jù)的，要停止使用并清除掉已收集的全部信息。

四、不同意就不讓用？無效！

這種情況還是比較多的，特別是在剛下載后第一次授權(quán)使用的時候，必須全部點同意，不然就沒法用。

根據(jù)“人臉識別司法解釋”第四條第一款、第三款的規(guī)定，若平臺以“不同意收集處理人臉識別信息，就不讓用”的方式征得同意（必需除外），或強迫（變相強迫）個人同意的，均屬于無效同意。

既然是無效同意，那平臺該承擔(dān)的責(zé)任還是要全部承擔(dān)的。

五、未成年人的人臉數(shù)據(jù)不要亂采集！

如果平臺涉及到采集未成年人的人臉數(shù)據(jù)的，那這時候必須要得到其監(jiān)護(hù)人的同意，一般是孩子的父母同意。

父母通過書面、視頻、電子等方式同意，這些都必不可少。

這是對未成年人的個人信息的保護(hù)，特別是很多學(xué)習(xí)娛樂類型的APP，要特別注意！

六、采集好的人臉數(shù)據(jù)注意防范風(fēng)險

經(jīng)合法采集的用戶數(shù)據(jù)，仍然屬于用戶的個人信息，非經(jīng)用戶同意，不能轉(zhuǎn)賣給其他人，更不能從事違法犯罪的活動。

在平臺內(nèi)部的數(shù)據(jù)，要設(shè)立健全規(guī)范的管理規(guī)則，嚴(yán)禁數(shù)據(jù)的外漏和篡改等情形發(fā)生，只能在特定既定用途使用，不能用作其他目的。

管理層要高度重視數(shù)據(jù)的保護(hù)和合理使用。

同時，大家還應(yīng)當(dāng)注意有關(guān)個人信息保護(hù)的違法犯罪活動。

【侵犯公民個人信息罪】

《刑法》第二百五十三條：

違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，

情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。

違反國家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。

竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰。

單位犯前三款罪的，對單位判處罰金，并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰。

此外，違法所得5000元以上，“非法獲取、出售或者提供行蹤軌跡信息，被他人用于犯罪”“知道或者應(yīng)當(dāng)知道他人利用公民個人信息實施犯罪，向其出售或者提供”都被規(guī)定為“情節(jié)嚴(yán)重”。

以上，是唐老師給互聯(lián)網(wǎng)從業(yè)者分享的有關(guān)人臉數(shù)據(jù)保護(hù)的相關(guān)內(nèi)容，希望對大家防范網(wǎng)絡(luò)安全和法律風(fēng)險有幫助。如你有任何問題，歡迎關(guān)注并留言評論！

本文由 @唐樹源老師丨網(wǎng)絡(luò)數(shù)據(jù) 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理，未經(jīng)作者許可，禁止轉(zhuǎn)載。

題圖來自Pexels，基于CC0協(xié)議。