“个人信息”在《中华人民共和国民法典》第一千零三十四条中的定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”;在《中华人民共和国个人信息保护法》(下称“《个保法》”)第四条中被界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。根据《个保法》第二十八条,生物识别信息属于敏感个人信息。因此,用人单位如涉及处理员工的个人生物识别信息,则除应关注有关一般性个人信息的相关规定外,还应注意符合敏感个人信息的相关规定。现行法律法规等规定从不同层面和角度规定了有关个人生物识别信息[1]的处理原则和要求,本文拟作简要梳理和分析,以期为用人单位及相关主体提供一定的参考。一、何为“个人生物识别信息”
《个保法》第二十八条规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”该条规定虽提及了“生物识别”,但并未列明“生物识别信息”的具体范畴。以下相关国家标准则或明确、或指向地列出了部分“生物识别信息”的含义/范围:
规定性文件名 | 发布及实施时间 | 相关定义或示例 | 备注 |
GB/T 37036.1-2018 《信息技术 移动设备生物特征识别 第1部分:通用要求》 | 2018-12-28发布 2019-07-01实施 | 规范性引用文件包括《信息安全技术 个人信息安全规范》 | GB/T 37036.2-2019《信息技术 移动设备生物特征识别 第2部分:指纹》 GB/T 37036.3-2019《信息技术 移动设备生物特征识别 第3部分:人脸》 GB/T 37036.4-2021《信息技术 移动设备生物特征识别 第4部分:虹膜》 |
GB/T 35273-2020 《信息安全技术 个人信息安全规范》 (代替GB/T 35273-2017) | 2020-03-06发布 2020-10-01实施 | “5.4 收集个人信息时的授权同意”注3:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。 (a) 附录A-“表A.1 个人信息举例”:“个人生物识别信息”——个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 (b) 附录B-“表B.1 个人敏感信息举例”:“个人生物识别信息”——个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 | 正文、附录A和B的相关表格对“个人生物识别信息”的举例一致 |
GB/T 39335-2020 《信息安全技术 个人信息安全影响评估指南》 | 2020-11-19发布 2021-06-01实施 | “3.2 个人敏感信息”:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息[GB/T 35273-2020,定义3.2] | 指向GB/T 35273-2020中的定义 |
GB/T 40660-2021 《信息安全技术 生物特征识别信息保护基本要求》 | 2021-10-11发布 2022-05-01实施 | “3.3 生物特征识别信息”:对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。(注1:生物特征识别信息包括个人面部识别特征、虹膜、指纹、基因、声纹、步态、掌纹、耳廓、眼纹等)[2] | 与GB/T 35273-2020相比,增加了“步态”、“眼纹”。 |
GB/T 25069-2022 《信息安全技术 术语》 (代替GB/T 25069-2010) | 2022-03-09发布 2022-10-01实施 | “3.195 个人敏感信息”:[来源:GB/T 35273-2020,……“个人生物识别信息”改为“个人生物特征信息”] | 包含“生物特征参考”、“生物特征模板”、“参考生物特征项集合”、“生物牲模型”、“生物特征识别”、“生物特征属性”、“生物特征数据”、“生物特性”、“生物特征项”、“生物特征验证”、“生物特征样本”等相关定义 |
GB/T 41819-2022 《信息安全技术 人脸识别数据安全要求》 | 2022-10-12发布 2023-05-01实施 | “3 术语和定义”:GB/T 35273、GB/T 40660界定的以及下列术语和定义适用于本档:人脸图像、人脸特征、人脸识别数据、人脸识别数据主体。 | 人脸属于“生物特征识别信息”。 |
根据上述文件,个人生物识别信息的定义和范围在“GB/T 40660-2021”中界定得最为准确和全面,可也以此为基础进行讨论。
二、处理员工个人生物识别信息应遵循的原则和要求
由于个人生物识别信息属于敏感个人信息的范畴,因此,用人单位如出于管理的需要(如考勤等)对员工的个人生物识别信息(如指纹、面部识别等生物识别信息)进行收集、存储、使用、加工、传输、提供、公开、删除时,其作为个人信息处理者,则应遵循严格于一般个人信息的处理规则和要求,妥善处理员工的个人生物识别信息。除《个保法》、前述涉及敏感个人信息的相关一般性/特别性规定/国家标准之外,GB/T 40660-2021《信息安全技术 生物特征识别信息保护基本要求》就生物特征识别信息保护的基本原则、收集、存储、使用、主体的权利、委托处理、共享、转让、公开披露、安全事件处置、安全管理要求进行了全方位的规定。概括而言,用人单位应遵循的原则和要求至少包括:(一) 事前进行个人信息保护影响评估
《个保法》第五十五条规定,“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;……”同时,根据第五十六条,“个人信息保护影响评估应当包括下列内容:(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。”
前述规定明确了用人单位作为个人信息处理者在处理员工个人生物识别信息时,应于事前进行个人信息保护影响评估,且明确了评估所需包含的内容,但未规定评估原理、考虑因素、必要性、评估标准、实施方法等具体要求。参考“GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》”的相关规定,个人信息安全影响评估有一系列流程、要点的要求,且相应的附录包含示例、工具表、参考方法等具体措施,用人单位可按此进行评估并形成相应的评估报读和处理情况记录。
(二) 遵循最小且必要原则
根据GB/T 35273-2020《信息安全技术 个人信息安全规范》规定,“个人信息安全基本原则”包含“最小必要”原则——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量;目的达成后,应及时删除个人信息。
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号,下称“《人脸识别司法解释》”)第四条规定,“有下列情形之一,信息处理者以已征得自然人或者其监护人同意为由抗辩的,人民法院不予支持:(一)信息处理者要求自然人同意处理其人脸信息才提供产品或者服务的,但是处理人脸信息属于提供产品或者服务所必需的除外;(二)信息处理者以与其他授权捆绑等方式要求自然人同意处理其人脸信息的;(三)强迫或者变相强迫自然人同意处理其人脸信息的其他情形。”
同时,《个保法》第16条要求,“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”
值得留意的是,前述《人脸识别司法解释》和《个保法》并未对相关条款规定的“提供产品或者服务所必需”作出进一步说明/阐释。
GB/T 40660-2021《信息安全技术 生物特征识别信息保护基本要求》在第5“生物特征识别信息的收集”明确,“对生物特征识别信息控制者的要求如下:a)除法律法规规定场景、保护公共利益和个人重大利益场景外,不应限定收集生物特征识别信息作为唯一实现业务目标的方式。……”并在第6 h)中明确,生物特征识别信息控制者“应只存储满足生物特征识别信息主体授权同意的目的所需最少的生物特征识别信息。”
就人脸识别而言,GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》中“5 安全通用要求”[3]明确,“数据处理者处理人脸识别数据的安全通用要求如下:a)实现相同目的或达到同等安全要求可采用非人脸识别方式 的,应优先选择使用非人脸识别方式。b)应仅在人脸识别方式比非人脸识别方式更具安全性或便捷性时,采用人脸识别方式进行身份识别;应同时提供人脸识别方式和非人脸识别方式,并由自然人选择使用。示例:机场、火车站进行人证比对时,使用非人脸识别方式会导致相关服务便捷性的明显下降。”
根据前述规定,“提供产品或者服务所必需”的要求是较高且严格的;用人单位为管理方便而要求处理员工的个人生物识别信息,其必要性、急需性、不可替代性未必在所有情形下都能达到前述相关要求的标准;因此员工个人生物识别信息可能不宜作为用人单位行政管理的唯一方式。(三) 正当的前提和严格的保护
《个保法》第二十八条第二款明确,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”
个人生物识别信息属敏感个人信息,因此对其的处理应符合上述要求。(四) 用人单位应取得员工单独、明示的同意
《个保法》第十三条规定,“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。”该条第二款给予了个人信息处理者在一定情形下不需取得个人同意即可处理个人信息的自主权——就用人单位而言,其以适用前述第十三条第一款第(二)项“实施人力资源管理所必需”为由而不经过员工同意处理员工的个人生物识别信息未必在所有情形下都可以成立。
《个保法》第二十九条明确,“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。” 第三十条规定,“个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。”就作为个人信息处理者的用人单位而言,前述第十七条第一项规定的事项,是用人单位在处理员工个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向员工个人告知的事项,包括:用人单位的名称或者姓名和联系方式;个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;个人行使本法规定权利的方式和程序;法律、行政法规规定应当告知的其他事项。
GB/T 35273-2020《信息安全技术 个人信息安全规范》第5.4 b)项明确,“收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示”;第5.4 c)项进一步明确,“收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意”。
GB/T 40660-2021《信息安全技术 生物特征识别信息保护基本要求》在第5“生物特征识别信息的收集”明确,“对生物特征识别信息控制者的要求如下:……b)收集生物特征识别信息前,应向生物特征识别信息主体告知以下信息,并征得生物特征识别信息主体的明示同意:1)收集、使用生物特征识别信息的目的、方式和范围,以及授权存储时间等;2)收集的生物特征识别信息处理方式的描述;3)生物特征识别信息控制者的联系信息,包括组织机构信息、联系方式等;4)生物特征识别信息主体实现查看、修改、撤回其授权同意的方式。”
根据上述规定,用人单位处理员工个人生物识别信息时,应于事前尽到相应的告知义务——包括前述相关规定的一般告知、特别告知及单独告知。并且,如果涉及《个保法》第三十二条规定的“法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制”的情形,则应“从其规定”。(五) 传输和存储的特别要求
《互联网个人信息安全保护指南》第6.1 e)项明确,“个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息。”
GB/T 35273-2020《信息安全技术 个人信息安全规范》第6.3“个人敏感信息的传输和存储”明确,“对个人信息控制者的要求包括:……b)个人生物识别信息应与个人身份信息分开存储;c)原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:1)仅存储个人生物识别信息的摘要信息;2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;3)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。(注2:摘要信息通常具有不可逆特点,无法回溯到原始信息。注3:个人信息控制者履行法律法规规定的义务相关的情形除外。)”
GB/T 40660-2021《信息安全技术 生物特征识别信息保护基本要求》第6“生物特征识别信息的存储”明确,“对生物特征识别信息控制者的要求如下:
a)应将生物特征识别信息与生物特征识别信息主体的身份相关信息采用技术隔离手段存储。(注1:隔离方式包括逻辑隔离、物理隔离等。)
b)存储生物特征识别信息时,应确保其具备不可逆性。
c)原则上不应直接存储生物特征识别原始信息,可采取的措施包括但不限于:1)仅存储生物特征识别信息的摘要信息;2)在采集终端中直接使用生物特征识别信息实现身份识别、认证等功能;3)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除生物特征识别原始信息。(注2:摘要信息通常具有不可逆性。注3:生物特征识别信息控制者履行法律法规规定的义务相关的情形除外。)
d)应使用多样化过程以支持生成可更新、可撤销的生物特征识别比对信息;……
e)存储生物特征识别比对信息时,应充分考虑数据泄露风险、进行安全处理,可使用的机制包括但不限于……
f)应保持生物特征识别比对信息在应用程序或数据库间的不可链接性,以防止生物特征识别比对信息可能被用于链接同一数据库中不同应用程序或不同数据库中的同一信息主体;不可链接性可通过以下机制的组合获得:……
g) 生物特征识别信息的复制信息,如备份信息、归档信息等,存储时应具备与被复制信息相同的保护措施。
h)应只存储满足生物特征识别信息主体授权同意的目的所需最少的生物特征识别信息。
i)应只在生物特征识别信息主体授权的存储时弊内存储生物特征识别信息,超出存储期限后,应及时对生物特征识别信息进行删除或匿名化处理。”
用人单位确需存储员工个人生物特征识别信息时,应遵循前述要求。
三、对用人单位的建议
根据前述相关规定,用人单位作为个人信息处理者/生物特征识别信息控制者,在处理员工的个人生物识别信息时,应严格按照法律法规、国家标准等的要求,采取一系列措施作出全流程合规的处理行为,包括但不限于事前进行个人信息保护影响评估、以最小且必要的原则收集相关生物识别信息、采取严格的保护措施、履行相应的告知义务、取得员工个人单独且明示的同意等等。
值得留意的是,员工个人有权随时撤回其之前关于用人单位处理其生物识别信息的同意。根据《个保法》第十五条,“基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”同时,《人脸识别司法解释》第十一条规定,“信息处理者采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,该自然人依据民法典第四百九十七条请求确认格式条款无效的,人民法院依法予以支持。” GB/T 40660-2021《信息安全技术 生物特征识别信息保护基本要求》第8“生物特征识别信息主体的权利”中明确,“对生物特征识别信息控制者的要求如下:……b)应对生物特征识别信息主体的以下请求做出及时响应:1)修改、撤回其生物特征识别信息的授权;2)更新生物特征识别信息。”因此,用人单位不能以约定的形式限制员工撤回之前的同意。
此外,用人单位还需要留意,基于现时人脸识别的广泛应用及特殊性,有关人脸识别数据这一生物识别信息的相关内容,除应满足前述一般性要求外,还需符合有关人脸识别数据安全的相关规定(如《人脸保护司法解释》、“GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》”)。
[1]在相关规定中存在“个人生物识别信息”、“个人生物特征信息”、“生物特征识别信息”的不同表述,但其内涵并无实质差别。本文统一使用“个人生物识别信息”的表述。
[2]注2:生物特征识别信息包含生物特征识别原始信息以及生物特征识别比对信息。
生物特征识别原始信息:通过采集、预处理等方式获得的自然人物理、生物或行为特征的模拟或数字表示。(注:如样本、图像等)
生物特征识别比对信息:对生物特征识别原始信息进行技术处理得到的、在识别过程中用于比对的信息。
[3]除“安全通用要求”外,“GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》”另外详细列明了人脸识别数据的“收集要求”、“存储要求”、“使用要求”、“传输要求”、“提供、公开要求”、“删除要求”。
免责及版权申明
本微信文章仅为交流之目的,不构成李伟斌律师事务所任何形式的法律意见。欢迎转发本微信文章。如需转载或引用本微信文章的内容,请注明文章来源:李伟斌律师事务所微信公众号-李伟斌律师事务所(ID:L-P-CN)。如您需要专业法律意见或就相关内容做进一步探讨,欢迎与我们联系。
