“個人資訊”在《中華人民共和國民法典》第一千零三十四條中的定義為“以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人的各種資訊,包括自然人的姓名、出生日期、身份證件號碼、生物識別資訊、住址、電話號碼、電子郵箱、健康資訊、行蹤資訊等”;在《中華人民共和國個人資訊保護法》(下稱“《個保法》”)第四條中被界定為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種資訊,不包括匿名化處理後的資訊”。根據《個保法》第二十八條,生物識別資訊屬於敏感個人資訊。因此,用人單位如涉及處理員工的個人生物識別資訊,則除應關注有關一般性個人資訊的相關規定外,還應注意符合敏感個人資訊的相關規定。現行法律法規等規定從不同層面和角度規定了有關個人生物識別資訊[1]的處理原則和要求,本文擬作簡要梳理和分析,以期為用人單位及相關主體提供一定的參考。
一、何為“個人生物識別資訊”
《個保法》第二十八條規定,“敏感個人資訊是一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人資訊,包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等資訊,以及不滿十四周歲未成年人的個人資訊。”該條規定雖提及了“生物識別”,但並未列明“生物識別資訊”的具體範疇。以下相關國家標準則或明確、或指向地列出了部分“生物識別資訊”的含義/範圍:
規定性檔案名稱 | 發佈及實施時間 | 相關定義或示例 | 備註 |
GB/T 37036.1-2018 《資訊技術 移動設備生物特徵識別 第1部分:通用要求》 | 2018-12-28發佈 2019-07-01實施 | 規範性引用檔包括《資訊安全技術 個人資訊安全規範》 | GB/T 37036.2-2019《資訊技術 移動設備生物特徵識別 第2部分:指紋》 GB/T 37036.3-2019《資訊技術 移動設備生物特徵識別 第3部分:人臉》 GB/T 37036.4-2021《資訊技術 移動設備生物特徵識別 第4部分:虹膜》 |
GB/T 35273-2020 《資訊安全技術 個人資訊安全規範》 (代替GB/T 35273-2017) | 2020-03-06發佈 2020-10-01實施 | “5.4 收集個人資訊時的授權同意”注3:個人生物識別資訊包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特徵等。 (a) 附錄A-“表A.1 個人資訊舉例”:“個人生物識別資訊”——個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特徵等 (b) 附錄B-“表B.1 個人敏感資訊舉例”:“個人生物識別資訊”——個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特徵等 | 正文、附錄A和B的相關表格對“個人生物識別資訊”的舉例一致 |
GB/T 39335-2020 《資訊安全技術 個人資訊安全影響評估指南》 | 2020-11-19發佈 2021-06-01實施 | “3.2 個人敏感資訊”:一旦洩露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人資訊[GB/T 35273-2020,定義3.2] | 指向GB/T 35273-2020中的定義 |
GB/T 40660-2021 《資訊安全技術 生物特徵識別資訊保護基本要求》 | 2021-10-11發佈 2022-05-01實施 | “3.3 生物特徵識別資訊”:對自然人的物理、生物或行為特徵進行技術處理得到的、能夠單獨或者與其他資訊結合識別該自然人身份的個人資訊。(注1:生物特徵識別資訊包括個人面部識別特徵、虹膜、指紋、基因、聲紋、步態、掌紋、耳廓、眼紋等)[2] | 與GB/T 35273-2020相比,增加了“步態”、“眼紋”。 |
GB/T 25069-2022 《資訊安全技術 術語》 (代替GB/T 25069-2010) | 2022-03-09發佈 2022-10-01實施 | “3.195 個人敏感資訊”:[來源:GB/T 35273-2020,……“個人生物識別資訊”改為“個人生物特徵資訊”] | 包含“生物特徵參考”、“生物特徵範本”、“參考生物特徵項集合”、“生物牲模型”、“生物特徵識別”、“生物特徵屬性”、“生物特徵資料”、“生物特性”、“生物特徵項”、“生物特徵驗證”、“生物特徵樣本”等相關定義 |
GB/T 41819-2022 《資訊安全技術 人臉識別資料安全要求》 | 2022-10-12發佈 2023-05-01實施 | “3 術語和定義”:GB/T 35273、GB/T 40660界定的以及下列術語和定義適用於本檔:人臉圖像、人臉特徵、人臉識別資料、人臉識別資料主體。 | 人臉屬於“生物特徵識別資訊”。 |
根據上述檔,個人生物識別資訊的定義和範圍在“GB/T 40660-2021”中界定得最為準確和全面,可也以此為基礎進行討論。
二、處理員工個人生物識別資訊應遵循的原則和要求
由於個人生物識別資訊屬於敏感個人資訊的範疇,因此,用人單位如出於管理的需要(如考勤等)對員工的個人生物識別資訊(如指紋、面部識別等生物識別資訊)進行收集、存儲、使用、加工、傳輸、提供、公開、刪除時,其作為個人資訊處理者,則應遵循嚴格於一般個人資訊的處理規則和要求,妥善處理員工的個人生物識別資訊。除《個保法》、前述涉及敏感個人資訊的相關一般性/特別性規定/國家標準之外,GB/T 40660-2021《資訊安全技術 生物特徵識別資訊保護基本要求》就生物特徵識別資訊保護的基本原則、收集、存儲、使用、主體的權利、委託處理、共用、轉讓、公開披露、安全事件處置、安全管理要求進行了全方位的規定。概括而言,用人單位應遵循的原則和要求至少包括:
(一) 事前進行個人資訊保護影響評估
《個保法》第五十五條規定,“有下列情形之一的,個人資訊處理者應當事前進行個人資訊保護影響評估,並對處理情況進行記錄:(一)處理敏感個人資訊;……”同時,根據第五十六條,“個人資訊保護影響評估應當包括下列內容:(一)個人資訊的處理目的、處理方式等是否合法、正當、必要;(二)對個人權益的影響及安全風險;(三)所採取的保護措施是否合法、有效並與風險程度相適應。個人資訊保護影響評估報告和處理情況記錄應當至少保存三年。”
前述規定明確了用人單位作為個人資訊處理者在處理員工個人生物識別資訊時,應於事前進行個人資訊保護影響評估,且明確了評估所需包含的內容,但未規定評估原理、考慮因素、必要性、評估標準、實施方法等具體要求。參考“GB/T 39335-2020《資訊安全技術 個人資訊安全影響評估指南》”的相關規定,個人資訊安全影響評估有一系列流程、要點的要求,且相應的附錄包含示例、工具表、參考方法等具體措施,用人單位可按此進行評估並形成相應的評估報讀和處理情況記錄。
(二) 遵循最小且必要原則
根據GB/T 35273-2020《資訊安全技術 個人資訊安全規範》規定,“個人資訊安全基本原則”包含“最小必要”原則——只處理滿足個人資訊主體授權同意的目的所需的最少個人資訊類型和數量;目的達成後,應及時刪除個人資訊。
《最高人民法院關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》(法釋〔2021〕15號,下稱“《人臉識別司法解釋》”)第四條規定,“有下列情形之一,資訊處理者以已征得自然人或者其監護人同意為由抗辯的,人民法院不予支持:(一)資訊處理者要求自然人同意處理其人臉資訊才提供產品或者服務的,但是處理人臉資訊屬於提供產品或者服務所必需的除外;(二)資訊處理者以與其他授權捆綁等方式要求自然人同意處理其人臉資訊的;(三)強迫或者變相強迫自然人同意處理其人臉資訊的其他情形。”
同時,《個保法》第16條要求,“個人資訊處理者不得以個人不同意處理其個人資訊或者撤回同意為由,拒絕提供產品或者服務;處理個人資訊屬於提供產品或者服務所必需的除外。”
值得留意的是,前述《人臉識別司法解釋》和《個保法》並未對相關條款規定的“提供產品或者服務所必需”作出進一步說明/闡釋。
GB/T 40660-2021《資訊安全技術 生物特徵識別資訊保護基本要求》在第5“生物特徵識別資訊的收集”明確,“對生物特徵識別資訊控制者的要求如下:a)除法律法規規定場景、保護公共利益和個人重大利益場景外,不應限定收集生物特徵識別資訊作為唯一實現業務目標的方式。……”並在第6 h)中明確,生物特徵識別資訊控制者“應只存儲滿足生物特徵識別資訊主體授權同意的目的所需最少的生物特徵識別資訊。”
就人臉識別而言,GB/T 41819-2022《資訊安全技術 人臉識別資料安全要求》中“5 安全通用要求”[3]明確,“資料處理者處理人臉識別資料的安全通用要求如下:a)實現相同目的或達到同等安全要求可採用非人臉識別方式 的,應優先選擇使用非人臉識別方式。b)應僅在人臉識別方式比非人臉識別方式更具安全性或便捷性時,採用人臉識別方式進行身份識別;應同時提供人臉識別方式和非人臉識別方式,並由自然人選擇使用。示例:機場、火車站進行人證比對時,使用非人臉識別方式會導致相關服務便捷性的明顯下降。”
根據前述規定,“提供產品或者服務所必需”的要求是較高且嚴格的;用人單位為管理方便而要求處理員工的個人生物識別資訊,其必要性、急需性、不可替代性未必在所有情形下都能達到前述相關要求的標準;因此員工個人生物識別資訊可能不宜作為用人單位行政管理的唯一方式。
(三) 正當的前提和嚴格的保護
《個保法》第二十八條第二款明確,“只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,個人資訊處理者方可處理敏感個人資訊。”
個人生物識別資訊屬敏感個人資訊,因此對其的處理應符合上述要求。
(四) 用人單位應取得員工單獨、明示的同意
《個保法》第十三條規定,“符合下列情形之一的,個人資訊處理者方可處理個人資訊:(一)取得個人的同意;(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;(三)為履行法定職責或者法定義務所必需;(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;(五)為公共利益實施新聞報導、輿論監督等行為,在合理的範圍內處理個人資訊;(六)依照本法規定在合理的範圍內處理個人自行公開或者其他已經合法公開的個人資訊;(七)法律、行政法規規定的其他情形。依照本法其他有關規定,處理個人資訊應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。”該條第二款給予了個人資訊處理者在一定情形下不需取得個人同意即可處理個人資訊的自主權——就用人單位而言,其以適用前述第十三條第一款第(二)項“實施人力資源管理所必需”為由而不經過員工同意處理員工的個人生物識別資訊未必在所有情形下都可以成立。
《個保法》第二十九條明確,“處理敏感個人資訊應當取得個人的單獨同意;法律、行政法規規定處理敏感個人資訊應當取得書面同意的,從其規定。” 第三十條規定,“個人資訊處理者處理敏感個人資訊的,除本法第十七條第一款規定的事項外,還應當向個人告知處理敏感個人資訊的必要性以及對個人權益的影響;依照本法規定可以不向個人告知的除外。”就作為個人資訊處理者的用人單位而言,前述第十七條第一項規定的事項,是用人單位在處理員工個人資訊前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向員工個人告知的事項,包括:用人單位的名稱或者姓名和聯繫方式;個人資訊的處理目的、處理方式,處理的個人資訊種類、保存期限;個人行使本法規定權利的方式和程式;法律、行政法規規定應當告知的其他事項。
GB/T 35273-2020《資訊安全技術 個人資訊安全規範》第5.4 b)項明確,“收集個人敏感資訊前,應徵得個人資訊主體的明示同意,並應確保個人資訊主體的明示同意是其在完全知情的基礎上自主給出的、具體的、清晰明確的意願表示”;第5.4 c)項進一步明確,“收集個人生物識別資訊前,應單獨向個人資訊主體告知收集、使用個人生物識別資訊的目的、方式和範圍,以及存儲時間等規則,並征得個人資訊主體的明示同意”。
GB/T 40660-2021《資訊安全技術 生物特徵識別資訊保護基本要求》在第5“生物特徵識別資訊的收集”明確,“對生物特徵識別資訊控制者的要求如下:……b)收集生物特徵識別資訊前,應向生物特徵識別資訊主體告知以下資訊,並征得生物特徵識別資訊主體的明示同意:1)收集、使用生物特徵識別資訊的目的、方式和範圍,以及授權存儲時間等;2)收集的生物特徵識別資訊處理方式的描述;3)生物特徵識別資訊控制者的聯繫資訊,包括組織機構資訊、聯繫方式等;4)生物特徵識別資訊主體實現查看、修改、撤回其授權同意的方式。”
根據上述規定,用人單位處理員工個人生物識別資訊時,應於事前盡到相應的告知義務——包括前述相關規定的一般告知、特別告知及單獨告知。並且,如果涉及《個保法》第三十二條規定的“法律、行政法規對處理敏感個人資訊規定應當取得相關行政許可或者作出其他限制”的情形,則應“從其規定”。
(五) 傳輸和存儲的特別要求
《互聯網個人資訊安全保護指南》第6.1 e)項明確,“個人生物識別資訊應僅收集和使用摘要資訊,避免收集其原始資訊。”
GB/T 35273-2020《資訊安全技術 個人資訊安全規範》第6.3“個人敏感資訊的傳輸和存儲”明確,“對個人資訊控制者的要求包括:……b)個人生物識別資訊應與個人身份資訊分開存儲;c)原則上不應存儲原始個人生物識別資訊(如樣本、圖像等),可採取的措施包括但不限於:1)僅存儲個人生物識別資訊的摘要資訊;2)在採集終端中直接使用個人生物識別資訊實現身份識別、認證等功能;3)在使用面部識別特徵、指紋、掌紋、虹膜等實現識別身份、認證等功能後刪除可提取個人生物識別資訊的原始圖像。(注2:摘要資訊通常具有不可逆特點,無法回溯到原始資訊。注3:個人資訊控制者履行法律法規規定的義務相關的情形除外。)”
GB/T 40660-2021《資訊安全技術 生物特徵識別資訊保護基本要求》第6“生物特徵識別資訊的存儲”明確,“對生物特徵識別資訊控制者的要求如下:
a)應將生物特徵識別資訊與生物特徵識別資訊主體的身份相關資訊採用技術隔離手段存儲。(注1:隔離方式包括邏輯隔離、物理隔離等。)
b)存儲生物特徵識別資訊時,應確保其具備不可逆性。
c)原則上不應直接存儲生物特徵識別原始資訊,可採取的措施包括但不限於:1)僅存儲生物特徵識別資訊的摘要資訊;2)在採集終端中直接使用生物特徵識別資訊實現身份識別、認證等功能;3)在使用面部識別特徵、指紋、掌紋、虹膜等實現識別身份、認證等功能後刪除生物特徵識別原始資訊。(注2:摘要資訊通常具有不可逆性。注3:生物特徵識別資訊控制者履行法律法規規定的義務相關的情形除外。)
d)應使用多樣化過程以支援生成可更新、可撤銷的生物特徵識別比對資訊;……
e)存儲生物特徵識別比對資訊時,應充分考慮資料洩露風險、進行安全處理,可使用的機制包括但不限於……
f)應保持生物特徵識別比對資訊在應用程式或資料庫間的不可連結性,以防止生物特徵識別比對資訊可能被用於連結同一資料庫中不同應用程式或不同資料庫中的同一資訊主體;不可連結性可通過以下機制的組合獲得:……
g) 生物特徵識別資訊的複製資訊,如備份資訊、歸檔資訊等,存儲時應具備與被複製資訊相同的保護措施。
h)應只存儲滿足生物特徵識別資訊主體授權同意的目的所需最少的生物特徵識別資訊。
i)應只在生物特徵識別資訊主體授權的存儲時弊內存儲生物特徵識別資訊,超出存儲期限後,應及時對生物特徵識別資訊進行刪除或匿名化處理。”
用人單位確需存儲員工個人生物特徵識別資訊時,應遵循前述要求。
三、對用人單位的建議
根據前述相關規定,用人單位作為個人資訊處理者/生物特徵識別資訊控制者,在處理員工的個人生物識別資訊時,應嚴格按照法律法規、國家標準等的要求,採取一系列措施作出全流程合規的處理行為,包括但不限於事前進行個人信息保護影響評估、以最小且必要的原則收集相關生物識別資訊、採取嚴格的保護措施、履行相應的告知義務、取得員工個人單獨且明示的同意等等。
值得留意的是,員工個人有權隨時撤回其之前關於用人單位處理其生物識別資訊的同意。根據《個保法》第十五條,“基於個人同意處理個人資訊的,個人有權撤回其同意。個人資訊處理者應當提供便捷的撤回同意的方式。個人撤回同意,不影響撤回前基於個人同意已進行的個人資訊處理活動的效力。”同時,《人臉識別司法解釋》第十一條規定,“資訊處理者採用格式條款與自然人訂立合同,要求自然人授予其無期限限制、不可撤銷、可任意轉授權等處理人臉資訊的權利,該自然人依據民法典第四百九十七條請求確認格式條款無效的,人民法院依法予以支持。” GB/T 40660-2021《資訊安全技術 生物特徵識別資訊保護基本要求》第8“生物特徵識別資訊主體的權利”中明確,“對生物特徵識別資訊控制者的要求如下:……b)應對生物特徵識別資訊主體的以下請求做出及時回應:1)修改、撤回其生物特徵識別資訊的授權;2)更新生物特徵識別資訊。”因此,用人單位不能以約定的形式限制員工撤回之前的同意。
此外,用人單位還需要留意,基於現時人臉識別的廣泛應用及特殊性,有關人臉識別資料這一生物識別資訊的相關內容,除應滿足前述一般性要求外,還需符合有關人臉識別資料安全的相關規定(如《人臉保護司法解釋》、“GB/T 41819-2022《資訊安全技術 人臉識別資料安全要求》”)。
[1]在相關規定中存在“個人生物識別資訊”、“個人生物特徵資訊”、“生物特徵識別資訊”的不同表述,但其內涵並無實質差別。本文統一使用“個人生物識別資訊”的表述。
[2]注2:生物特徵識別資訊包含生物特徵識別原始資訊以及生物特徵識別比對資訊。
生物特徵識別原始資訊:通過採集、預處理等方式獲得的自然人物理、生物或行為特徵的類比或數位表示。(注:如樣本、圖像等)
生物特徵識別比對資訊:對生物特徵識別原始資訊進行技術處理得到的、在識別過程中用於比對的資訊。
[3]除“安全通用要求”外,“GB/T 41819-2022《資訊安全技術 人臉識別資料安全要求》”另外詳細列明瞭人臉識別資料的“收集要求”、“存儲要求”、“使用要求”、“傳輸要求”、“提供、公開要求”、“刪除要求”。
免責及版權申明
本微信文章僅為交流之目的,不構成李偉斌律師事務所任何形式的法律意見。歡迎轉發本微信文章。如需轉載或引用本微信文章的內容,請注明文章來源:李偉斌律師事務所微信公眾號-李偉斌律師事務所(ID:L-P-CN)。如您需要專業法律意見或就相關內容做進一步探討,歡迎與我們聯繫。
