一、引言
近日,宁波市市场监督管理局、永嘉市市场监督管理局、温岭市市场监督管理局等多地行政管理部门展开专项行动,对多家地产商做出了行政处罚决定,原因是这些地产商在售楼处安装了人脸识别系统,用于识别、记录购房者的面部信息。
以宁波市市场监督管理局作出的一份行政处罚决定书为例,主管部门根据《侵害消费者权益行为处罚办法》第十四条和《中华人民共和国消费者权益保护法》第五十六条第一款第九项之规定,认定地产商在个人信息收集收集方面不合规,责令地产商改正,并罚款25万元。
尽管处罚金额不高,但人脸识别系统在售楼处是如此普遍,随着个人信息保护的法律法规及相关规范的陆续出台,行业主管部门也开始对这些不合规行为进行规范和整治。因此,数据合规应逐渐引起地产行业的重视。本文将从处罚决定入手,尝试对售楼处人脸识别系统的合规事宜进行初步探讨。
二、人脸识别系统相关的基本概念
(一)个人信息
如前所述,主管部门认为地产商是在个人信息收集方面存在不合规问题。所以我们先来看一下个人信息的概念。
《民法典》第一千零三十四条规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
2021年4月29日发布的《个人信息保护法(草案二次审议稿)》规定:
2020年10月起实施的《信息安全技术 个人信息安全规范》中规定:
而个人信息中,一旦泄漏、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的信息,被称为“个人敏感信息”。
结合《信息安全技术 个人信息安全规范》附录A与附录B的内容,可以判定,人脸识别系统所收集的包含面部识别特征的人脸,应属于个人信息中的个人敏感信息。
(二)人脸识别系统的运作
锁定概念之后,需要进一步分析人脸识别系统的运作,以此确定过程中所涉及到的数据生命周期的各个环节。
处罚决定书中对于人脸识别系统的运作描述如下:人脸识别系统一般由人脸抓拍机、主机、路由器、人脸认证及系统平台账号组成。结合售楼处的应用场景,人脸识别系统的运作模式为:潜在购房者来到售楼处时,人脸抓拍机会自动摄取所有到访售楼处客户的人脸生物识别信息,所摄取的信息会自动存入系统。此后,房产中介或销售代理公司介绍来的购房者正式签订购房合同时,地产商再通过人脸认证机对客户人脸生物识别信息和身份证信息进行集中采集,再将此信息与之前自动摄取并存储的全部售楼处访客人脸生物识别信息进行比对,以此来判别该购房者是否确为房产中介或销售代理公司拓展的客源。
《信息安全技术 人脸识别数据安全要求》中总结了三种人脸识别的场景,基于前面的描述,我们认为售楼处的人脸识别系统应当属于人脸辨识的场景,即将签约时所采集的人脸识别数据与之前已存储的售楼处访客人脸识别数据进行对比,以此完成识别。
(三)人脸识别系统涉及的数据处理行为
这一应用场景中涉及到的数据处理行为包括:1. 数据收集(即人脸抓拍机自动摄取人脸生物识别信息的行为);2. 数据存储(人脸抓拍机的信息自动存储到系统)以及3. 数据使用(将信息用于比对和识别)。可能之后还有数据删除,但因处罚决定未披露,此处暂不讨论。
相关定义见下:
数据收集是指根据系统自身的需求和用户的需要收集相关数据的行为。
数据使用与存储是指通过自动或者非自动方式针对数据或数据集合进行包括记录、组织、建构、存储、变更或修改、检索、咨询、使用、传播或其他形式的利用在内的任一或一系列操作。
三、合规要求
明确人脸识别系统所涉概念之后,我们得到了“个人敏感信息”、“数据收集”、“数据存储”、“数据使用”、“人脸辨识”等关键词,然后再来梳理相关的合规要求。
(一)相关法律法规
【法律层面】
《中华人民共和国民法典》第一百一十一条【个人信息受法律保护规则】、第一千零三十五条【个人信息处理的原则】、第一千零三十六条【处理个人信息的免责事由】第一千零三十八条【个人信息安全规则】。
《中华人民共和国网络安全法》第四十一条【收集、使用个人信息应当遵循的原则】、第四十二条【网络运营者确保个人信息安全的要求】。
《个人信息保护法(草案二次审议稿)》全文明确了个人信息保护的原则,个人信息处理者对个人信息保护的要求,以及处理个人信息应当满足的要求等。
【规范性文件】
《信息安全技术 个人信息安全规范》全文
《信息安全技术 人脸识别数据安全要求》全文
(二)汇总后的合规要求
根据前述规定,我们将人脸识别系统所涉及的具体合规要求整理如下:
【基本原则】
个人信息控制者开展个人信息处理活动应当遵循合法、正当、必要的原则,前述原则又可进一步细化为:权责一致原则、目的明确原则、选择同意原则、最小必要原则、公开透明原则、确保安全原则以及主体参与原则。
因前述基本原则已经体现在下面的具体要求中,所以此处不再赘述各原则的定义。
【具体规则】
1、安全处理要求
(1)收集阶段的主要合规要求
收集的个人信息的类型应与实现产品或服务的业务功能有直接关联(直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现);并且在满足应用场景安全要求的前提下,应仅收集用于生成人脸特征所需的最小数量、最少图像类型的人脸图像;
在公共场所安装图像采集、个人身份识别设备,应遵守国家有关规定,并设置显著的提示标识;
在收集个人生物识别信息前,信息控制者应该以显著方式、清晰易懂的语言单独向信息主体告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则;
收集个人生物识别信息前,应获得信息主体的单独明示同意(明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿);
自然人拒绝后,不得频繁提示以获取自然人对人脸识别方式的授权同意。
个人信息控制者应当制定符合相关法律法规要求的个人信息保护政策;
(2)存储阶段的合规要求
个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间;
应采取安全措施存储和传输人脸识别数据,包括但不限于加密存储和传输人脸识别数据,采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等。
除经过信息主体单独书面授权同意外,不得存储人脸图像。如若存储,则需采取下列一种或多种措施1)仅存储面部信息的摘要信息(摘要信息通常具有不可逆的特点,无法回溯到原始信息);2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;3)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后
对于所存储的人脸识别数据,在信息主体明示停止使用功能、服务或者撤回授权/授权存储期限到期/信息控制主体无法或者停止提供服务时,信息控制者应删除人脸识别数据或者进行匿名化处理。
(3)使用阶段的合规要求
应当在完成验证或识别后立即删除人脸图像;
应当生成可更新、不可逆、不可链接的人脸特征,并且无法根据不同的人脸特征恢复人脸图像;
应具备防护呈现干扰攻击的能力;
在本地和远程人脸识别方式均适用时,应使用本地人脸识别;
2、安全管理要求
落实数据安全管理责任,具体包括,明确责任部门与人员及其具体职责,任命个人信息保护负责人和个人信息保护工作机构,并为个人信息保护负责人、工作机构提供必要的资源。
确立个人信息安全管理制度,并在其中明确人脸识别数据保护要求,包括但不限于保护策略、处理规则等;
宜建立、维护和更新所收集、使用的个人信息处理活动记录;
应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险;
应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改;
在发生或者可能发生人脸识别数据泄露、损毁、丢失的情况时,应立即采取补救措施,按照规定及时告知数据主体,并向相关主管部门报告;
落实人员管理与培训的要求;
按照相关规定对个人信息保护政策、相关规程和安全措施的有效性进行审计。
(三)小结
对比前述合规要求可以看到,地产商在售楼处安装人脸识别系统不仅要满足数据安全处理的要求,还需要落实相关的安全管理要求。而此次行政处罚决定所涉及的,还仅仅是前者数据安全处理中的收集环节,甚至未关注到存储、使用和数据删除阶段。可见,企业的数据合规任重而道远。
限于本文篇幅,我们在这里仅对人脸识别系统在数据收集环节的问题进行了简单归纳整理,从我们了解的情况来看,数据收集环节不仅是目前监管机构关注的重点,也是潜在购房人可以直接观察并体验到的环节,更容易引发社会关注,所以这也成为合规的重灾区。
主要问题集中在如下几个方面:
违反最小必要原则
最小必要原则要求,收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。但事实上,地产商收集人脸信息主要是自身经营管理所需,与其业务功能(也就是售房)没有关联。
违反公开透明原则
按照公开透明原则的要求,信息控制者应当告知信息主体个人信息处理的目的、方式、范围等规则,并设置显著的标识。而绝大部分售楼处显然缺失了这一告知环节。
违反同意原则
售楼处的人脸识别系统通常为无感抓拍,也就是说,信息主体是在完全不知情的情况下被采集了人脸信息。既然没有“充分知情”,也就谈不上“明示同意”。
也有部分地产商通过在售楼处入口处张贴告示的方式进行提示,并声明一旦客户进入售楼处即视为同意收集人脸信息,而这种做法充其量也只是“默示同意”,并不符合规范中“明示同意”的要求。更何况,信息主体本身也享有拒绝和撤回同意的权利,这里的声明事实上起不到合规的效果。
四、售楼处人脸识别系统深层原因
经过前面的分析,售楼处的人脸识别系统基本漏洞百出。然而实践中,人脸识别系统却如此普及。所以,地产商为什么非要装人脸识别系统呢?为此,我们也检索了一些评论文章,并与部分地产商的法务进行了交流。简言之,核心目的还是为了经营管理。
相关的背景需要从楼盘销售说起。
新楼盘开售主要就是两个渠道,其一是地产商内部的销售部门,主要通过发布广告获客;其二是委托给给销售代理公司、中介或自媒体(以下统称“代理商”)进行销售。当然,也有地产商将销售工作全部外包,或者选择由自身的营销部门全权负责的情况,此处讨论的只是两种渠道并存的情形。
地产商与代理商签订的委托合同中,通常会区分购房者来源,如果是地产商通过广告及内部员工介绍而获取的客户,则不与代理商结算佣金或减少佣金;如果是代理商通过各种推介活动吸引的客户,则正常结算佣金与提成。因此,区分购房者来源的重要性不言而喻。
但为什么偏偏是人脸识别系统呢。一方面,区别于监控系统,人脸识别可以从冗长杂乱的视频画面中有效提取出业主的面部信息并进行存储,以方便之后的自动比对;另一方面,人脸识别系统可以客观全面地记录客户在售楼处的访问记录,且由于是地产商掌握,代理商无法篡改。如果客户首次自然到访售楼处的时间早于代理商接洽客户记录的时间,则应当属于地产商的客户。此举主要是为防止行业中普遍存在的“飞单”。
所谓“飞单”,是指购房者原本是通过地产商的营销广告及现场置业顾问推介而产生签约意向,但又主动或被动地找到代理商,谎称系通过销售代理渠道知晓楼盘,导致地产商额外向代理商支付(本不应付的)佣金。
此现象之所以屡禁不止,是因为代理商通常会通过向购房者提供优惠或购房折扣,购房者从利益的角度考虑也很容易和代理商串通。而且代理商能提供的优惠,事实上也都来源于地产商结算的佣金。当然,有些文章也提到,地产商内部也可能出现“内鬼”,主动将上门客户的信息透露给代理商,再以此和代理商瓜分佣金。
打个比方,如果房屋总价400万,佣金点数为3%,代理商可以提取12万,那么代理商就会有动力让渡其中的一部分,例如4万,作为折扣赠与给购房者。所以在“飞单”的情况下,地产商是十分被动的。如能通过客观方式记录下购房者来访售楼处的次数及时间,则可以设定新的规则,一定程度上防止“飞单”的情况。所以,基于这一背景,人脸识别系统成了售楼处的必需品。
五、合规建议
经过前面的分析,其实地产商也有各种各样的难处,所以这一问题并不是通过直接拆除人脸识别系统就可以解决的,公司的核心诉求还是在于寻求一条可行的合规之路。
如果能通过调整销售策略、改变代理商的提佣制度等方式,弥补可能导致“飞单”的漏洞,倒是可以从根本上解决问题。但如果只是从现有的框架下寻求解决方案的话,笔者目前也并没有十分完美的解决思路。所以下面只是尝试从几个角度对这一问题进行分析,供读者讨论。
(一)从人脸识别系统自身的改进完成合规
首先,人脸识别系统之所以不合规,是因为涉及到个人面部信息的收集和使用。然而对比监控系统,监控摄像头同样也在拍摄售楼处的全景,并且视频信息也是可以存储一定期限的。只不过像素可能没有那么高,也没有单独地抓取个人面部信息的功能,更无法进行后期的比对。但举个极端的例子,如果对于每一位购房者,地产商都通过人工的方式手动回看监控录像并进行比对呢,这种情况是否就是合规的呢。如果合规,那么通过人脸识别系统自动比对和人工比对在本质上可能并没有差别。如果不合规,那么监控系统的存在似乎也会成为一个bug。
有人提出,人脸识别系统与监控系统的区别在于,人脸识别系统所获取的数据进行了加工,可以具体到人,并且可以方便地进行转移,因此存在地产商贩卖个人信息的风险。但笔者认为这个逻辑也存在问题。如果不在售楼处,代理商收集的信息也很多。笔者此前承办的案件中见过代理商留存的每个潜在客户的档案,其中记录的信息五花八门,包括:婚姻状况、购房原因(为养老/入学/改善生活条件等)、意向的房屋面积等等。再说,如果访客最终与地产商签订房屋买卖合同,合同中还要求填写身份证复印件、联系电话、按揭银行等更多个人敏感信息。这些信息也是具体到个人且存储为电子数据,并不会因为人脸识别系统不存在就消除了个人信息泄露的风险。
然而这个角度似乎并没有为合规提供有效的建议,只是为人脸识别系统的存在提供了一个申辩的理由。
(二)通过获得信息主体的同意来保证合规
如前所述,获得个人敏感信息需要经过信息主体的明示同意。所以很多人也试图从这个角度入手来完成合规。这部分内容可以直接参考近期公开征求意见的《信息安全技术 人脸识别数据安全要求(征求意见稿)》,里面有比较具体的指引,例如:
收集人脸识别数据时,应向数据主体告知收集规则,包括但不限于收集目的、数据类型和数量、处理方式、存储时间等,并征得数据主体明示同意。
在自然人拒绝使用人脸识别功能或服务后,不应频繁提示以获取自然人对人脸识别方式的授权同意。
不应因数据主体不同意收集人脸识别数据而拒绝数据主体使用基本业务功能。
用于采集人脸识别数据的设备应遵循相关标准要求。示例:公共安全区域对人脸图像的采集应符合GB 37300-2018、GB/T 38671-2020的要求。
在公共场合收集人脸识别数据时,应设置数据主体主动配合人脸识别的机制。主动配合指要求数据主体直视收集设备并做出特定姿势、表情,或者通过标注“人脸识别”的专用收集通道等。
在满足应用场景安全要求前提下,应仅收集用于生成人脸特征所需的最小数量、最少图像类型的人脸图像。
但这一思路最大的问题在于,来访者拒绝授权或一开始同意但之后又撤回授权怎么办。而且这个担心并不是杞人忧天。前面分析过,购房者出于获取购房折扣的利益,有足够的动力与代理商串通。那么对于地产商的这些防狼举措,自然也不会给予配合。此前抖音上戴头盔看房就给出了一个很好的示范。所以这条思路似乎也没能有效解决问题。
(三)人脸识别系统的替代性方案
所以人脸识别系统其实主要是解决地产商与代理商、购房人三方之间的矛盾而存在的。在人脸识别过于敏感、购房人拒绝授权,代理商又不讲武德的情况下,似乎只能去寻求一个不触及红线的替代性方案。
在讨论过程中,笔者注意到一个方案,或许可以起到类似的作用那就是以签名来替代人脸识别系统。
一方面,购房者的笔迹并不属于个人信息,而签名中所体现的来访者姓名,相比于面部信息的敏感信息而言,显得更加稀松平常。毕竟在管理比较严格的办公楼,来访者也要进行登记。疫情期间,签名则更为普遍。所以提供签名似乎并不算是过分之举。
另一方面,购房者的签名体现了自然人书写的习惯,具有一定的可辨识性,在一定程度上可以替代“面部特征”。
最后,仅仅提供签名,似乎也不至于像人脸识别系统的同意书一样,引起购房人的警觉和反感,以至于拒绝配合。所以从这几个方面来看,似乎是可行的。不过,毕竟本文还停留在纸上谈兵的阶段,实践中会不会出现其他的问题,是否有效,还有待继续观察。(本文合作作者宋晓慧)
作者:葛静芳律师/山东文康律师事务所
