數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第二十五條 數據處理者利用生物特征進行個人身份認證的,應當對必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特征信息。
法律、行政法規另有規定的從其規定。
解讀
按照經典的身份認證理論,鑒別一個人的身份有三種基本方式:(1)你知道什么?(2)你有什么?(3)你是誰?
你知道什么?是指驗證用戶所知的某些東西(如口令);你有什么?是驗證用戶所持的某些東西(如門禁卡);用是誰?是驗證用戶的生物特征(如指紋)。
不同的身份認證方式各有優劣。近年來,生物特征在身份認證領域的應用逐漸普及。在很大程度上,這是因生物特征識別操作方便,且可以驗證真人,更容易實現實名認證。但其缺點也非常明顯,最主要的是生物特征一旦泄露便不可彌補,因為生物特征不可更改,每個人都只有一張臉、一套指紋。因此,生物特征被作為一種非常敏感的個人信息,需要予以特別保護。
此外,很多人對生物特征識別的安全性過于依賴,認為其安全性要遠大于其他方式。但近年來的一系列研究表明,生物特征識別系統較容易被攻破,至少在目前尚不能認可其高安全性。我們使用的很多智能手機都提供了指紋認證,但即使如此,過一定時間后手機依然要強制驗證開機口令,這便是基于這樣的考慮。
現實中,生物特征識別特別是人臉識別是社會熱點問題,與此相關的司法訴訟層出不窮,已經到了必須規范的時候。《個人信息保護法》在兩個地方涉及到了該問題。
一是在第二十八條,將生物識別信息作為敏感個人信息:“敏感信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。”
二是在第二十六條,規范了攝像頭等的應用:“在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。”
將生物識別信息作為敏感信息后,雖然《個人信息保護法》第二章第二節“敏感個人信息的處理規則”的規定全部適用于生物特征的保護,但考慮到這是一種特定應用,仍有必要結合應用場景作出進一步規定,提出特定保護要求。這是《條例》第二十五條的立法目的。
具體而言,《條例》第二十五條強調了兩點:一是要在使用前對必要性、安全性進行風險評估,不評估不得使用,評估不通過也不得使用;二是不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式,如果用戶聲明不愿意使用生物特征識別,則必須向用戶提供其他認證方式,且不得為用戶使用其他認證方式制造人為障礙。
除《個人信息保護法》和《條例》外,關于生物特征識別的應用,還有兩方面的規定值得注意:
一是今年7月28日,最高人民法院發布了《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》,8月1日起施行。具體到人臉識別技術應用,還應當遵循這一規定。
二是全國信息安全標準化技術委員會已于2020年立項制定四部生物特征數據保護國家標準:《信息安全技術 人臉識別數據安全要求》《信息安全技術 聲紋識別數據安全要求》《信息安全技術步態識別數據安全要求》和《信息安全技術 基因識別數據安全要求》。
目前,上述四部國家標準正在順利推進。但有必要指出,“生物特征”與“生物特征識別”不是一回事。雖然生物特征主要用于身份認證,但還有很多非認證場合下也涉及生物特征的采集與使用,如智能音箱收集環境中的語音并遠程傳輸至云平臺進行處理,這也應受到嚴格限制。故雖然上述國家標準的名字中含“識別”,且標準制修訂任務放在了全國信安標委的WG4(鑒別與授權標準工作組),但標準解決的是生物特征數據保護問題,而不僅僅是生物特征識別中的數據保護問題。
注:在不同法規、標準規范中,“認證”“識別”“鑒別”等均有使用,“生物特征數據”“生物識別信息”也各有使用,因不影響理解,本文對此均未嚴格區分。
對應條款
第二十五條 數據處理者利用生物特征進行個人身份認證的,應當對必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特征信息。
法律、行政法規另有規定的從其規定。
解讀
《條例》第二十五條規定,數據處理者利用生物特征進行個人身份認證的,應當對必要性、安全性進行風險評估。大家對此有兩點關切:為什么要對必要性、安全性進行風險評估?誰進行評估?
《條例》提出必要性、安全性評估要求,本身便表明了一個基本立場:非必要不使用。即,在考慮部署身份認證系統時,不能優先考慮生物特征識別,或只考慮生物特征識別,這主要還是因為生物特征數據高度敏感,一旦發生泄露便不可收拾。因此,“非必要不使用”應當成為任何情況下部署生物特征識別系統的一個基本共識。
至于由誰進行評估,《條例》沒有特別規定,一般是由數據處理者自行組織評估,不要求由政府部門進行評估或審批。如數據處理者自己認為有必要,可以自行聘請第三方機構或專家。但評估報告應當妥善留存,這是后續開展數據安全監督檢查或向有關部門報送材料的重要依據。
對應條款
第二十六條 數據處理者處理一百萬人以上個人信息的,還應當遵守本條例第四章對重要數據的處理者作出的規定。
解讀
《條例》分別設置了第三章“個人信息保護”和第四章“重要數據安全”,但考慮到有些要求是針對所有數據處理者的(不僅針對個人信息處理者和重要數據處理者),故《條例》首先設置了第二章“一般規定”。除適用于所有數據處理者的通用安全要求外,第二章還包括同時適用于個人信息保護和重要數據安全的安全要求。即,這些要求不適用于其他數據處理者,但對個人信息保護和重要數據安全而言是共同的,沒有必要分別在第三章和第四章重復規定。
但還有一種情況,當處理一百萬人以上個人信息時,對個人信息處理者的有些要求需要增強,特別是在組織機構建設、責任制等方面。為此,《條例》第二十六條提出,數據處理者處理一百萬人以上個人信息的,還應當遵守條例第四章對重要數據的處理者作出的規定。
就立法目的而言,第四章對重要數據的處理者作出的規定應當全部適用于數據處理者處理一百萬人以上個人信息的情況。但目前的征求意見稿中,不排除尚有個別條款可能不適用,這可以在充分征求意見后修改完善。
但必須指出,《條例》第二十六條的規定絕不意味著“一百萬人以上個人信息”就是“重要數據”。《條例》在定義“重要數據”時,并未含個人信息,也沒有規定“一百萬人以上個人信息”屬于“重要數據”。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
