本文来源:新京报
该案起诉状。当事人供图
【6月在线证书培训】《合规管理体系 指南》
陈立彤律师小鹅通直播:英语的正音与讲演
网络爬虫与大数据安全「往期沙龙回顾」
侵害公民个人信息刑事风险的识别与控制「往期沙龙回顾」
我们刚做的这个等保2.0,得分接近90
新京报讯(记者 王俊 徐美慧)“中国人脸识别第一案”今日(6月15日)开庭审理。因不愿意使用人脸识别,浙江某大学副教授郭兵以侵犯隐私权将杭州野生动物世界告上法庭。记者从该案代理律师、浙江垦丁律师事务所张延来处获悉,下午1时许庭审结束,案件将择期宣判。
2019年4月27日,郭兵在杭州野生动物世界办理了一张双人年卡。在一年有效期间,可同时通过年卡及指纹不限次数入园。
2019年10月17日,他收到杭州野生动物世界的短信,提示其园区年卡系统已升级为人脸识别,原指纹识别已取消,未注册人脸识别的用户将无法正常入园。
郭兵认为人脸信息属于个人隐私,不同意接受人脸识别,要求园方退卡。工作人员告知如果不注册人脸识别则既无法入园也无法办理退卡手续。
由于双方协商未果,2019年10月28日,郭兵向杭州市富阳区人民法院提起诉讼。同年11月3日,杭州市富阳区人民法院正式受理此案。
大数据时代,如何保护我们的脸成为一个迫切命题。
北京师范大学网络法治国际中心执行主任吴沈括认为,人脸识别技术必须在法律和有关部门的监管之下。如果没有相应法律和机构“主持公道”,个人信息保护只能无限被迫向技术妥协。
目前,《个人信息保护法》的立法已经启动。郭兵称,希望该案能对这部涉及个人敏感信息的立法有影响。
追问1:人脸识别技术是否被滥用?
目前,人脸识别应用场景遍布日常生活,机场安检、刷脸支付、不少学校也采用人脸门禁。去年,北京地铁内部小范围测试面部识别技术也引起了不小争议。
郭兵的“动物园刷脸案”将这一问题置于公共讨论:人脸识别技术是否存在滥用?谁能收集、使用我们的生物信息?
全国政协委员、重庆静昇律师事务所主任彭静分析,在实践中,可以使用个人信息的主体主要分为三种,首先是公安机关等基于刑事侦查、犯罪打击等进行的个人信息收集及使用;其次是政府部门基于特定公共利益,比如此次疫情防控,防控部门收集个人信息并用于疫情防控;最后是金融、教育等服务,在符合个人信息保护的前提下取得同意后可以使用个人信息。
对于近年来出现过一些学校、宿舍、图书馆等场所安装人脸识别门禁,并在教室安装人脸识别系统用于日常考勤和课堂纪律管理。“我认为上述行为构成对学生个人生物识别信息的滥用。”彭静说。
她指出,这一方面违反了《网络安全法》关于目的限制和最小化原则,而且处理和使用类似敏感个人信息缺乏合法正当的告知及明示同意程序。“如果换成小学,小学生即使签字也不构成法律上的同意。”
“个人信息的使用必须遵循正当、合法、必要原则。”北京志霖律师事务所副主任、中国政法大学知识产权研究中心特约研究员赵占领表示,尤其对于人脸等个人敏感信息,收集、保管等环节应该有更高的要求。
比如,在收集环节对“必要性”的理解应该有更严格标准,和业务直接相关才能收集, 一般软件不能随便搜集脸部等个人敏感信息。保管的环节,应当采取更严格的技术加以保障,保证个人信息不被非法盗取、泄露、未经同意使用。
吴沈括认为,目前没有相关法律明确哪些机构有权使用人脸识别技术,亟需建立行业准入制度,将以非法盈利为目的、不具备保障人脸信息安全能力等不应或不宜使用人脸识别技术的机构排除,如此才能从源头上保障人脸识别技术的规范使用。
追问2:如何平衡便利和个人信息保护?
大数据时代,无法完全回避提供个人信息以获取一些服务。
赵占领介绍,提供个人信息一种是国家管理需要,比如社交软件实行实名制。另一种则是获取经营者提供的服务。“不提供地理位置信息,那么导航软件、打车软件无法提供服务。个人信息保护需要在商家利益之间寻找平衡点。”
“我们要获得服务都需要让渡一定的个人信息。”赵占领说,但人脸信息属于高度敏感的个人信息,安全风险高、隐患大,一旦泄露很难补救。“我们可以更改账户密码,但我们能换脸吗?”
目前,个人信息保护的法律散见于《网络安全法》《刑法》第二百五十三条、即将生效的《民法典》第一千零三十八条,以及全国人大发布的《加强网络信息保护的决定》等。
彭静介绍,目前针对人脸识别信息的保护,采取的是信息的全周期保护,比如在收集阶段,要遵守知情同意和最小必要原则。新版《个人信息安全规范》要求收集个人生物识别信息的合规更加严格,要采取单独告知的方式和明示同意,不能默许同意;存储阶段,原则上不允许存储原始的个人生物识别信息,而且要求身份识别及认证后要删除。
在共享转让阶段,原则上也不允许共享或转让,确需共享转让要履行单独告知、告知目的类型及接收方身份及数据安全能力等,而且也是明示同意。
吴沈括认为,应该有一套针对人脸信息采集、使用、存储的行业标准确保公众合法权益得到保护,同时防止技术滥用。“除了外部监管,人脸识别机构内部也应当加强自律,在事前、事中、事后采取相应措施,化解公众对于个人信息保护的担忧。”吴沈括说。
追问3:个人信息保护立法还需做什么?
今年5月14日,全国人大常委会法工委表示,《个人信息保护法》正在研究起草中,目前草案稿已经形成。
“如果说这个案子对立法要有什么影响的话,但愿能对这部立法涉及个人敏感信息的相关规定有影响吧。”郭兵称。
刚刚表决通过的《民法典》未对个人敏感信息作出明确界定。彭静认为,需要在《个人信息保护法》中明确界定个人信息、个人敏感信息和隐私之间的边界。法律难以界定时,允许当事人之间在法定范围内约定个人敏感信息,让敏感信息应用更加灵活。
吴沈括认为,应当建立分级管理制度,根据使用目的、使用主体、使用能力、必要性等因素,对人脸识别机构进行分级管理,授予不同权限。
例如,可将人脸信息储存时长分为永久储存、固定期限储存、一次性储存三个等级,国家安全部门和公安部门等机构可永久性储存人脸信息;学校、工作单位等机构可在固定期限内储存人脸信息;公园、动物园等盈利机构只能一次性储存人脸信息。
“突破分级限制,必须取得采集对象和监管机构的双重同意。”吴沈括说。
在实施层面,彭静认为要确定政府、企业、社会、个人等多维度的保护体系。尤其是涉及个人敏感信息的主要主体,即企业,可以考虑对涉及个人敏感信息的收集使用,通过评估、认证、许可等方式加强管理。
“《个人信息保护法》是一个良好的开端,从法律层面奠定了个人信息保护的制度基础,向外界释放出了强烈的信号。”吴沈括说。
新京报记者 王俊 徐美慧
编辑 陈思 校对 赵琳
本栏目由大成律师事务所陈立彤、赵云虎、刘骥、赵中星、张建民、马朗、朱海斌律师等组成的网络安全与数据治理团队主持。
陈立彤律师
陈立彤律师为中国律师、美国纽约州律师、福特公司前亚太区合规总监;香港国际仲裁中心仲裁员、国际风险与合规协会副会长、国际标准组织ISO技术委员会TC309相关工作组成员,作为中国代表团成员参与制定组织治理、合规管理体系、反贿赂管理体系、法律风险管理等ISO标准并担任中国国家标准《合规管理体系指南》工作组副组长、担任中兴康讯的独董及出口委员会委员;入选司法部“全国千名涉外律师人才名单”,钱伯斯2020亚太榜公司调查/反腐败领域受认可律师。陈立彤律师为某世界知名互联网搜索引擎公司的无人驾驶项目提供全方位的法律与合规服务,是“数据120”首席数据合规顾问,该平台运营公司是全国信息安全标准化技术委员会SWG-BDS大数据安全特别工作组——该工作组负责起草修订的标准之一包括《信息安全技术 个人信息安全规范》、《信息安全技术 移动互联网应用(App)收集个人信息基本规范》(征求意见稿)以及《信息安全技术 移动智能终端个人信息保护技术要求》等。
赵云虎律师
赵云虎律师执业于北京大成(上海)律师事务所,上海交通大学金融学士、工学硕士,华东政法大学法律硕士,拥有律师执业资格、基金从业人员资格、专利代理人资格以及高级程序员资格,曾任职于华为、中兴、先进半导体等企业。赵律师的执业领域主要为公司法、争议解决、以及科技法,包括高新技术企业投资、知识产权等高新科技领域的法律业务,能够将数理逻辑和法律相结合为客户提供更专业、差异化的法律服务。赵律师曾经或正在服务的客户主要来自于高科技行业及金融类机构。
刘骥律师
刘骥律师是耶鲁创新学者、全国律协涉外领军人才与司法部涉外人才千人计划双入库律师、广东省律协涉外领军人才、广东省律协信息网络与高新技术法律专业委员会委员,大成律师事务所中国区科技、传媒、通讯行业领导人、大成律师事务所知识产权专业委员会理事。刘骥律师对高科技产业的趋势和方向具有极高的敏锐度,为创业技术与新兴成长企业提供融资、股权激励、投资并购、合规等创造性的解决方案和灵活的策略,帮助企业迅速应对,推动事业发展。
赵中星律师

赵中星律师的执业领域为网络安全和数据合规、外商直接投资、境外投资和公司事务。赵中星律师专注于为科技、媒体和电信行业客户的日常运营、投融资、行业监管和数据合规等方面提供法律解决方案。赵中星律师曾为全球知名电商企业、数据分析公司、网络营销公司、互联网和手机安全产品公司、互联网金融公司、区块链、共享单车平台等商业模式所涉及的诸多与数据相关的前沿法律和监管问题提供咨询和建议。赵中星律师也是汤森路透Practical Law数据库的特约作者之一,曾就网络安全和数据合规、外商投资、境投融资、互联网行业监管多个专题撰写律师实务指引文章。
张建民律师
张建民律师为狗熊会联合创始人,数据合规研究中心主任。主要从事私募股权、证券投资基金,投融资并购以及衍生的争议解决业务,张律师是数据资产调查(数据FTA)法律服务产品的首创者,对数据合规、隐私保护、数据治理有着长期、深入的研究。
马朗律师
马朗律师执业以来,共办理各类刑事案件200多件,尤其在职务犯罪、金融犯罪和知识产权犯罪领域有丰富的办案经验。基于丰富的刑事诉讼经验,马律师在企业合规领域所遇刑事法律风险的识别与控制,亦有独到且专业的法律见解与方案。马律师兼任中国案例法学研究会理事、上海市刑法学研究会理事、华东政法大学司法改革与判例研究中心副主任、上海市律师协会刑事法律业务研究会委员、大成律师事务所企业合规与刑事法律风险防范研究中心执行主任等职。
朱海斌律师
朱海斌律师专注于金融证券、贪污贿赂、合同诈骗、涉税、非法集资、挪用侵占等各类型白领犯罪及金融领域犯罪案件的研究与办理。曾办理多起具有重大社会影响力的刑事犯罪案件,曾荣获大成首届“十佳刑辩律师”。曾在上海市公安局普陀分局、经济犯罪侦查总队办理经济犯罪案件十余年,侦办过百余起重特大经济金融犯罪案件。具有丰富的办案实战经验,获得上海市公安局、中国证监会授予的多项荣誉。
我们的服务范围包括:

政府调查与刑事辩护:
-行政监管调查应对
-刑事调查应对
-刑事辩护
-政府调查应对
监管分析
结合行业监管要求,对于数据驱动或涉及数据的业务模式或活动进行监管分析,包括:
-自动驾驶;
-大数据分析和应用;
-电商平台(包括跨境电商业务);
-智能硬件;
-网络营销;
-线上销售保险产品;
-政务数据的合作和使用。
网络安全等级保护制度
将网络划分为不同的安全保护等级并对其实施不同的保护和监管。网络安全等级保护工作包括以下:
-定级:确定系统等级
-备案:向公安机关备案
-安全建设整改:安全技术建设整改、安全管理建设整改
-等级保护测评(需要具有网络安全等级保护测评资质的机构进行,并且不能是安全建设整改供应商);
-安全自评。
数据自由应用尽职调查(FTA调查)
指对数据控制者/数据处理者获取、存储、流通以及商业应用数据是否可能侵犯数据主体的权利和是否违反其他法律法规的规定而进行的调查和分析。FTA调查适用于以下情景:
-以数据资产为标的的交易;
-包含数据资产的投资并购项目;
-以数据为纽带的企业间合作项目;
-基于数据衍生的数据类创业项目;
-数据企业的自我合规诊断与提升。
差距分析
对现时的数据收集和使用活动进行梳理,生成数据地图,并根据相关法律法规和内部数据治理制度的要求,评估违法违规的数据处理活动,并提出建议,协助实施建议。差距分析可适用于特定的数据处理活动或特定的产品或业务线。
数据影响评估
-个人隐私影响评估:为涉及个人信息收集和使用的业务开展个人隐私影响评估,出具评估报告,提示风险和建议
-供应商(上游)评估
-供应商(下游)评估
-第三方数据接收方评估
-第三方数据提供方评估。
数据合规体系建设
为客户建立全面的网络安全和数据治理合规体系制度,包括:
-《网络安全和数据保护政策》(纲领)
-《个人信息管理规范》
-《数据分类分级和权限管理规范》
-《实现数据主体权利管理规范》
-《向第三方输出数据管理规范》
-《从第三方接收数据管理规范》
-《数据安全事件管理制度》
区块链
-区块链赋能场景合规评估
-区块链监管与合规咨询
-区块链境外监管、合规及商用项目咨询
                                        扫描二维码
                                   关注我们
继续阅读
阅读原文