肩上担山知任重,志存云天砥砺行
前言
最近,一种新兴的写真形式——“虹膜写真”,也叫“瞳孔摄影”,在市场上悄然兴起,成为潮人们竞相追逐的打卡热点。摄影师用微距镜头捕捉瞳孔周围虹膜的纹理,经过后期调色、特效等艺术加工处理形成虹膜写真,虹膜写真可以打印出来用相框装裱,也可以制作成吊坠、手链等周边产品。然而随着虹膜写真的爆火也引发了大众对于“虹膜”这类个人信息安全性的担忧。本文将针对虹膜写真引发的个人信息安全问题进行讨论,并从商家的合规义务和消费者的建议两个维度进行解读。
“虹膜”的法律特征
虹膜信息
人的眼睛结构由巩膜、虹膜、瞳孔、晶状体、视网膜等部分组成。虹膜是位于黑色瞳孔和白色巩膜之间的圆环状部分,其包含有很多相互交错的斑点、细丝、冠状、条纹、隐窝等的细节特征。而且虹膜在胎儿发育阶段形成后,在整个生命历程中将是保持不变的。这些特征决定了虹膜特征的唯一性,同时也决定了身份识别的唯一性。因此,可以将眼睛的虹膜特征作为每个人的身份识别对象。
结合《信息安全技术 生物特征识别信息保护基本要求》(GB/T40660-2021)3.3条对生物特征识别信息的定义来看,虹膜属于生物特征识别信息,依据《个人信息保护法》第28条,个人生物识别信息属于敏感个人信息的范畴。
需要注意的是,是否敏感个人信息均属于个人隐私呢?个人隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。可见敏感个人信息的范畴与个人隐私的范畴并不完全重合,但虹膜信息作为生物识别信息具有一定的特殊性,多用于个人身份验证或个人私密活动。《民法典人格权编理解与适用》中也提到:“敏感信息往往属于隐私的范畴,可以适用隐私权的保护方法”。因此如个人信息主体将自己的虹膜信息视为不愿为他人知晓的私密信息,则虹膜信息同样属于个人隐私的范畴。但如果虹膜写真照片作为艺术品是在消费者本人同意的情况下拍摄,则并不涉及侵犯隐私的问题。
虹膜识别与虹膜写真
虹膜识别是通过对比虹膜图像特征之间的相似性来确定人们的身份,通常包括虹膜图像获取、图像预处理、特征提取以及特征匹配等步骤。虹膜识别系统常常用于身份识别等安全管控方面,比如机场、校园管理、边境管理、医院保健体系管理等场景下。虹膜写真区别于虹膜识别,目前市场上的虹膜写真是在虹膜细节照片的基础上进行艺术渲染和加工而完成,虹膜写真成片经过一定的后期修饰,其用于生物特征识别的特征点位会被掩盖,那么此种情况下,使用写真成片验证个人身份的可能性也将大大降低。
潜在的风险和隐患
图片由AI生成
原始数据的泄漏和滥用风险
尽管虹膜写真成片可能无法识别到个人,但摄影商家在拍摄过程中会留原始底片,底片中如含有虹膜细节照片,那么原始数据的泄漏仍然存在极大的安全隐患,虹膜作为生物识别信息,属于重要的身份验证方式,一经泄露,也可能对个人信息主体的人身和财产安全带来风险。
特定岗位和职业主体的安全隐患
前述已提及,虹膜识别系统常常用于特定场景下的安全管控,需要使用虹膜信息进行身份识别的主体往往可能带有一定的职业或身份的特殊性,这类群体的虹膜信息可能不仅涉及到个人的信息安全,还涉及到企业或行业甚至国防等领域的安全,因此,如果滥用或泄漏原始数据可能带来的损失将无法估量。
现有监管标准不清晰带来的操作安全风险
虹膜写真和虹膜识别之间存在一定区别,那么现有技术能否利用虹膜写真照片识别到个人并完成身份认证,对于安全性的判断就至关重要。由于现在并没有明确的法律法规和行业标准去规范虹膜写真到底要艺术加工到什么程度才符合安全性,且各家摄影商家对艺术加工的方式并不相同,虹膜原始数据的采集以及成片加工的过程缺乏规范也会导致操作过程安全性缺乏明确的评价标准。
个人信息主体权利行使的不确定性风险
尽管《个人信息保护法》以及相关国家标准对于敏感个人信息、生物特征识别信息的处理和安全保障措施均作出了明确规范,但是大部分虹膜写真的拍摄商家也都个体工商户或加盟商,虹膜写真馆的开业成本及行业门槛较低,其收集和存储此类高风险、高敏感度的数据显然并不具有相匹配的合规保障能力,以至于如果发生信息泄漏等安全事故或者个人信息主体要行使权利,商家可能也缺乏相应的应急和响应能力,从而导致个人信息主体权利的行使成为一纸空话。
商家的合规义务
对于提供虹膜写真拍摄服务的商家,其在开展业务的过程中需收集并处理客户的虹膜信息,属于个人信息处理者,对于虹膜信息这类敏感个人信息,商家还应保证其处理行为符合敏感个人信息以及生物特征识别信息的相关合规标准,以确保其个人信息处理行为在安全、规范的前提下进行。参考《个人信息保护法》以及相关国家标准,商家应特别关注以下几点:
告知及明示同意的义务
告知同意是《个人信息保护法》规定的个人信息处理者基本的合规义务,对于虹膜这类生物特征识别信息而言,更要以增强形式像个人信息告知,并征得生物特征识别信息主体的明示同意;告知的内容包括但不限于收集使用的目的、范围,存储时间、处理方式、生物特征识别信息控制者的联系方式、主体查看、修改、撤回同意的渠道和方式等。
安全存储及处理的义务
根据《信息安全技术 生物特征识别信息保护基本要求》(GB/T40660-2021)相关规定,应将生物特征识别信息与生物特征识与别信息主体的身份相关信息采用技术隔离手段存储;原则上不应直接存储生物特征识别原始信息;充分考虑数据泄漏风险、进行安全处置,如采取加密操作等方式;
保障生物特征识别信息主体的权利
应向主体提供信息的查询方法;及时应对生物特征识别信息主体的请求,比如信息主体要求修改、撤回其生物特征识别信息的授权;满足一定条件(如写真产品已经完成交付)应及时主动删除或匿名化生物特征识别信息;生物识别特征信息控制者原则上不应共享转让该信息。
实践中,很多个人信息处理者仅关注告知同意义务的履行,认为只要消费者签署合同并且同意其收集和处理敏感个人信息就不存在合规问题了,但实际上,告知同意只是第一步,个人信息处理者对于敏感个人信息的管理、控制和安全保障更需要严格履行法定义务落地执行。对于虹膜写真的拍摄商家而言,即便经营者规模不大,但鉴于其处理如此敏感的数据,也应当为此支付一定的合规成本,按照法律要求履行相关合规义务,降低可能存在的安全风险,否则,如因商家未能履行对于个人信息的安全保障责任而导致的损害结果,商家也可能被追究法律责任。
消费者的警示
尽管虹膜写真作为一种潮流,对年轻的消费者而言显得十分炫酷,但消费者应也了解其中存在的安全隐患,无论是信息安全方面还是对消费者卫生健康方面,都存在一定影响。
对消费者而言:
首先,如果消费者本身是从事某些特定行业和工作并可能存在利用虹膜作为身份识别方式的,建议不要拍摄该类写真,以保护自己的生物特征识别信息;
第二,消费者应与写真机构签署相关协议:如写真机构通过书面协议或隐私政策等向消费者履行个人信息处理的告知义务的,消费者应当审慎阅读与个人信息保护及安全措施的相关条款,了解清楚相关条款的含义以及个人信息处理行为对自身权益的影响,并在协议中约定清楚违约责任,签署并保留好协议文件;
第三,要求写真机构说明其个人信息权益行使响应机制,消费者可行使个人信息删除权,要求写真机构及时删除原始的虹膜信息和底片;
第四,拍摄后妥善保存虹膜写真,尽量不要在公开场合或公开社交媒体中发布写真照片,避免个人虹膜信息被不法分子利用。
作者介绍
樊思琪律师
京师深圳律所高级合伙人、数字经济法律事务中心副主任、青工委副主任、金融科技法律事务部副主任。深圳市大数据产业协会、深圳市大数据研究与应用协会专家顾问、数据合规研究院高级研究员。
业务领域:
企业合规、数字经济产业、数据合规及信息安全、资产管理、投融资并购、资产证券化等。
教育背景:
中南财经政法大学法学院
武汉大学法学院经济法系
专业资质:
国际认证德国莱茵TüV DPO(数据保护官)/ISO37301
深圳数据交易所DEXCO(数据交易合规师)
ESG合规管理分析师
证券及基金从业资格
专业著作:
《金融消费者权益保护的法律实践及合规体系构建》法律出版社,2023年;
行业白皮书:
《网络安全与数据合规法律风险白皮书》,2020年
《中国个人金融信息保护执法白皮书2020》,2020年
《中国金融机构反洗钱合规实践白皮书2021》,2022年
《跨境数据流通合规与技术应用白皮书(2023)》,2023年
《跨境数据流通合规与技术应用白皮书(2023)》,2024年
前言
最近,一种新兴的写真形式——“虹膜写真”,也叫“瞳孔摄影”,在市场上悄然兴起,成为潮人们竞相追逐的打卡热点。摄影师用微距镜头捕捉瞳孔周围虹膜的纹理,经过后期调色、特效等艺术加工处理形成虹膜写真,虹膜写真可以打印出来用相框装裱,也可以制作成吊坠、手链等周边产品。然而随着虹膜写真的爆火也引发了大众对于“虹膜”这类个人信息安全性的担忧。本文将针对虹膜写真引发的个人信息安全问题进行讨论,并从商家的合规义务和消费者的建议两个维度进行解读。
“虹膜”的法律特征
虹膜信息
人的眼睛结构由巩膜、虹膜、瞳孔、晶状体、视网膜等部分组成。虹膜是位于黑色瞳孔和白色巩膜之间的圆环状部分,其包含有很多相互交错的斑点、细丝、冠状、条纹、隐窝等的细节特征。而且虹膜在胎儿发育阶段形成后,在整个生命历程中将是保持不变的。这些特征决定了虹膜特征的唯一性,同时也决定了身份识别的唯一性。因此,可以将眼睛的虹膜特征作为每个人的身份识别对象。
结合《信息安全技术 生物特征识别信息保护基本要求》(GB/T40660-2021)3.3条对生物特征识别信息的定义来看,虹膜属于生物特征识别信息,依据《个人信息保护法》第28条,个人生物识别信息属于敏感个人信息的范畴。
需要注意的是,是否敏感个人信息均属于个人隐私呢?个人隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。可见敏感个人信息的范畴与个人隐私的范畴并不完全重合,但虹膜信息作为生物识别信息具有一定的特殊性,多用于个人身份验证或个人私密活动。《民法典人格权编理解与适用》中也提到:“敏感信息往往属于隐私的范畴,可以适用隐私权的保护方法”。因此如个人信息主体将自己的虹膜信息视为不愿为他人知晓的私密信息,则虹膜信息同样属于个人隐私的范畴。但如果虹膜写真照片作为艺术品是在消费者本人同意的情况下拍摄,则并不涉及侵犯隐私的问题。
虹膜识别与虹膜写真
虹膜识别是通过对比虹膜图像特征之间的相似性来确定人们的身份,通常包括虹膜图像获取、图像预处理、特征提取以及特征匹配等步骤。虹膜识别系统常常用于身份识别等安全管控方面,比如机场、校园管理、边境管理、医院保健体系管理等场景下。虹膜写真区别于虹膜识别,目前市场上的虹膜写真是在虹膜细节照片的基础上进行艺术渲染和加工而完成,虹膜写真成片经过一定的后期修饰,其用于生物特征识别的特征点位会被掩盖,那么此种情况下,使用写真成片验证个人身份的可能性也将大大降低。
潜在的风险和隐患
图片由AI生成
原始数据的泄漏和滥用风险
尽管虹膜写真成片可能无法识别到个人,但摄影商家在拍摄过程中会留原始底片,底片中如含有虹膜细节照片,那么原始数据的泄漏仍然存在极大的安全隐患,虹膜作为生物识别信息,属于重要的身份验证方式,一经泄露,也可能对个人信息主体的人身和财产安全带来风险。
特定岗位和职业主体的安全隐患
前述已提及,虹膜识别系统常常用于特定场景下的安全管控,需要使用虹膜信息进行身份识别的主体往往可能带有一定的职业或身份的特殊性,这类群体的虹膜信息可能不仅涉及到个人的信息安全,还涉及到企业或行业甚至国防等领域的安全,因此,如果滥用或泄漏原始数据可能带来的损失将无法估量。
现有监管标准不清晰带来的操作安全风险
虹膜写真和虹膜识别之间存在一定区别,那么现有技术能否利用虹膜写真照片识别到个人并完成身份认证,对于安全性的判断就至关重要。由于现在并没有明确的法律法规和行业标准去规范虹膜写真到底要艺术加工到什么程度才符合安全性,且各家摄影商家对艺术加工的方式并不相同,虹膜原始数据的采集以及成片加工的过程缺乏规范也会导致操作过程安全性缺乏明确的评价标准。
个人信息主体权利行使的不确定性风险
尽管《个人信息保护法》以及相关国家标准对于敏感个人信息、生物特征识别信息的处理和安全保障措施均作出了明确规范,但是大部分虹膜写真的拍摄商家也都个体工商户或加盟商,虹膜写真馆的开业成本及行业门槛较低,其收集和存储此类高风险、高敏感度的数据显然并不具有相匹配的合规保障能力,以至于如果发生信息泄漏等安全事故或者个人信息主体要行使权利,商家可能也缺乏相应的应急和响应能力,从而导致个人信息主体权利的行使成为一纸空话。
商家的合规义务
对于提供虹膜写真拍摄服务的商家,其在开展业务的过程中需收集并处理客户的虹膜信息,属于个人信息处理者,对于虹膜信息这类敏感个人信息,商家还应保证其处理行为符合敏感个人信息以及生物特征识别信息的相关合规标准,以确保其个人信息处理行为在安全、规范的前提下进行。参考《个人信息保护法》以及相关国家标准,商家应特别关注以下几点:
告知及明示同意的义务
告知同意是《个人信息保护法》规定的个人信息处理者基本的合规义务,对于虹膜这类生物特征识别信息而言,更要以增强形式像个人信息告知,并征得生物特征识别信息主体的明示同意;告知的内容包括但不限于收集使用的目的、范围,存储时间、处理方式、生物特征识别信息控制者的联系方式、主体查看、修改、撤回同意的渠道和方式等。
安全存储及处理的义务
根据《信息安全技术 生物特征识别信息保护基本要求》(GB/T40660-2021)相关规定,应将生物特征识别信息与生物特征识与别信息主体的身份相关信息采用技术隔离手段存储;原则上不应直接存储生物特征识别原始信息;充分考虑数据泄漏风险、进行安全处置,如采取加密操作等方式;
保障生物特征识别信息主体的权利
应向主体提供信息的查询方法;及时应对生物特征识别信息主体的请求,比如信息主体要求修改、撤回其生物特征识别信息的授权;满足一定条件(如写真产品已经完成交付)应及时主动删除或匿名化生物特征识别信息;生物识别特征信息控制者原则上不应共享转让该信息。
实践中,很多个人信息处理者仅关注告知同意义务的履行,认为只要消费者签署合同并且同意其收集和处理敏感个人信息就不存在合规问题了,但实际上,告知同意只是第一步,个人信息处理者对于敏感个人信息的管理、控制和安全保障更需要严格履行法定义务落地执行。对于虹膜写真的拍摄商家而言,即便经营者规模不大,但鉴于其处理如此敏感的数据,也应当为此支付一定的合规成本,按照法律要求履行相关合规义务,降低可能存在的安全风险,否则,如因商家未能履行对于个人信息的安全保障责任而导致的损害结果,商家也可能被追究法律责任。
消费者的警示
尽管虹膜写真作为一种潮流,对年轻的消费者而言显得十分炫酷,但消费者应也了解其中存在的安全隐患,无论是信息安全方面还是对消费者卫生健康方面,都存在一定影响。
对消费者而言:
首先,如果消费者本身是从事某些特定行业和工作并可能存在利用虹膜作为身份识别方式的,建议不要拍摄该类写真,以保护自己的生物特征识别信息;
第二,消费者应与写真机构签署相关协议:如写真机构通过书面协议或隐私政策等向消费者履行个人信息处理的告知义务的,消费者应当审慎阅读与个人信息保护及安全措施的相关条款,了解清楚相关条款的含义以及个人信息处理行为对自身权益的影响,并在协议中约定清楚违约责任,签署并保留好协议文件;
第三,要求写真机构说明其个人信息权益行使响应机制,消费者可行使个人信息删除权,要求写真机构及时删除原始的虹膜信息和底片;
第四,拍摄后妥善保存虹膜写真,尽量不要在公开场合或公开社交媒体中发布写真照片,避免个人虹膜信息被不法分子利用。
作者介绍
樊思琪律师
京师深圳律所高级合伙人、数字经济法律事务中心副主任、青工委副主任、金融科技法律事务部副主任。深圳市大数据产业协会、深圳市大数据研究与应用协会专家顾问、数据合规研究院高级研究员。
业务领域:
企业合规、数字经济产业、数据合规及信息安全、资产管理、投融资并购、资产证券化等。
教育背景:
中南财经政法大学法学院
武汉大学法学院经济法系
专业资质:
国际认证德国莱茵TüV DPO(数据保护官)/ISO37301
深圳数据交易所DEXCO(数据交易合规师)
ESG合规管理分析师
证券及基金从业资格
专业著作:
《金融消费者权益保护的法律实践及合规体系构建》法律出版社,2023年;
行业白皮书:
《网络安全与数据合规法律风险白皮书》,2020年
《中国个人金融信息保护执法白皮书2020》,2020年
《中国金融机构反洗钱合规实践白皮书2021》,2022年
《跨境数据流通合规与技术应用白皮书(2023)》,2023年
《跨境数据流通合规与技术应用白皮书(2023)》,2024年
