首页
金融场景使用人脸识别技术的合规问题
发布来源: 大队长金融 发布时间:2020-03-20




近年来,随着金融科技的快速发展,金融机构在联网身份识别/核验、反欺诈、线下支付、智慧网点等金融场景中大量使用人脸识别技术。同时,2019年以来,国家及行业先后发布了大量人脸识别有关的法规和标准文件,社会媒体也广泛关注商业机构的人脸识别合规问题。因此,金融机构在人脸识别方面的安全风险和法律风险陡增,不容忽视。

 

为此,汇业律师事务所黄春林律师团队结合近期立法及监管执法趋势,参考大量类似项目经验,就金融场景中使用人脸识别技术的主要法律合规问题,简要分析如下,仅供参考。

 

 

第一阶段,2010年左右,以《金融服务 生物特征识别安全框架》(GB/T 27912-2011)为标志,开启了人脸识别的政策萌芽阶段,人脸识别技术及投资在这个阶段也开始获得社会广泛关注。


第二阶段,2015年左右,以《中国人民银行关于改进个人银行账户服务加强账户管理的通知》为标志,开启了金融领域人脸识别的政策宽松阶段,越来越多的金融机构开始在身份核验、支付、反欺诈等场景使用人脸识别技术。


第三阶段,2019年左右,以央行科技司司长李伟关于生物识别有关发言为标识,开启了金融领域人脸识别的政策监管阶段,国家及行业先后密集发布了一系列与人脸识别有关的监管政策及标准,包括但不限于《金融科技(FinTech)发展规划(2019-2021年)》、《中国人民银行金融消费者权益保护实施办法(征求意见稿)》、《网络安全等级保护基本要求》、《个人信息安全规范(2020)》、《生物特征识别信息的保护要求(征)》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全管理规范》、《网络银行系统信息安全通用规范(2020)》等。

 

 

目前,人脸识别技术的安全性、可靠性及接受度,已经得到了极大的提高,人脸识别技术已经几乎贯穿于金融业务的全生命周期。具体的应用场景包括但不限于:


身份识别、身份验证、活体检测、双录、OCR、风控与反欺诈、线下支付、智慧网点(例如VIP客户识别、客流分析)、智能安防(例如押运、金库、预警及安防黑名单等)、员工管理等。


考虑到国家监管政策日益收紧,应用场景广泛、数据生命周期较长且数据量极大等特征导致风险敞口增大,因此,人脸识别的合规风险也越来越大。

 

 

根据近期监管执法政策趋势,收集用户个人信息时采取一揽子概括授权方式已经不符合监管要求,将隐私设计融入金融产品设计已经成为行业通行的隐私策略。


此外,根据刚刚公布的2020年版《个人信息安全规范》规定,“收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。”此外,《个人金融信息保护技术规范》也明确规定了C3类别(鉴身类生物识别信息)收集的明示同意合规要求。


但是,业界也有一种观点认为,考虑到金融机构在金融业务场景中收集人脸识别信息,既是满足金融监管、反洗钱反欺诈有关的法律要求,也是“签订和履行金融合同必须”,所以不用单独获得用户的授权。


汇业黄春林律师团队认为,我国个人信息保护采取“告知+同意”的基本制度框架。一方面,豁免同意的情形并未豁免告知的义务;另一方面,人脸识别信息属于高度敏感信息,且并非金融业务合同的必须(还可以通过其他方式鉴身),因此仍然应当单独告知、单独同意(例如主动提交),这也符合金融场景中“表达意愿”的基本合规要求。

 

 

这个问题实际上涉及个人信息判断采取“主观标准”还是“客观标准”的问题。根据国际通行惯例,不以识别(鉴身)为目的采集的音视频及图像,例如照相、电影摄制等场景,不属于个人信息。


在金融场景中,无论是基于KYC还是存证、保全等需求,“双录”(录音录像)都比较常见。但这些场景采集“双录”数据尽管会包含了人脸信息,并非基于识别目的,因此不宜将该等数据扩大为个人信息(包括人脸识别信息)。


但是,在《个人金融信息保护技术规范》中,确实将这类图片、视音频等影像资料纳入了C2类个人金融信息的范畴。

 

 

司法实践层面,根据汇业黄春林律师团队有限调研,在(2019)粤01民终17529号、(2019)粤0192民初51519号、(2018)京0101民初23265号、(2019)浙10民终2564号、(2019)渝01民终7411号等案件中,法院并未排除人脸识别鉴身的法律效力。当然,在极个别的案件中,也有法院认定即便金融业机构使用了人脸识别技术鉴身,但仍然无法确定人脸识别是否属于用户的真实意识表示。


监管层面,根据央行关于人脸识别用于线下支付的“人脸识别+支付口令”双重认证要求,以及参考《关于改进个人银行账户分类管理有关事项的通知》、《中国人民银行关于加强支付结算管理防范电信网络新型违法犯罪有关事项的通知》、《中国人民银行关于加强开户管理及可疑交易报告后续控制措施的通知》、《移动金融客户端应用软件安全管理规范》、《网络银行系统信息安全通用规范(2020)》等文件确立的合规要求及安全原则,金融机构应采取人脸识别、密码技术、活体验证、短信验证及多重风控等多种方式交叉鉴身,确保符合“表达意愿、多重认证”的合规要求,平衡好金融服务的安全性与便捷性。此外,从消费者权益保护的角度,也需要相关识别措施可替代、可选择。


事实上,司法实践中被个别法院个案否定的人脸识别证据,也是因为缺乏交叉验证导致的电子证据无法采信,这也符合最新的《最高人民法院关于民事诉讼证据的若干规定》相关规定。

 

 

根据《网络安全等级保护基本要求》、《个人信息安全规范(2020)》、《个人金融信息保护技术规范》、《移动金融客户端应用软件安全管理规范》、《网络银行系统信息安全通用规范(2020)》、《生物特征识别信息的保护要求(征)》、等文件,存储合规控制项包括但不限于:


(1)  不得存储原始人脸图片,应当提取摘要信息存储;因反欺诈、对账清分等场景确需保存的,应当在目的实现后及时(不得超过72小时)删除或匿名化;


(2)  存储人脸识别信息的网络系统应当按照等保三级要求建设、定级和备案,并应当取得相适应的电信业务许可;


(3)  存储人脸识别信息的网络系统应当采取符合规定的加密措施,相关的密码技术应当符合《密码法》及《GM/T0054-2018信息系统密码应用基本要求》等有关规定,必要时还应当采取生物特征识别水印方案;


(4)  人脸识别信息应当与其他生产数据物理分开存储,不可链接;


(5)  由其他第三方处理的,人脸识别数据应当塔内存储处理,不得出库,严禁第三方落库;


(6)  通过客户端采集、处理人脸识别信息的,应当尽量本地处理,及时删除,并严格控制共享权限;等等。

 

 

越来越多的金融机构在智慧门店中应用人脸识别技术,包括VIP客户识别、客户满意度调查、客流分析等等场景。在该等场景使用人脸识别技术,应当至少满足:


(1)  VIP客户识别场景下,应当通过APP隐私政策及账户开立合同等方式,获得客户的明示的授权;严格限制在销售经理、大堂经理APP端展示客户人脸原始照片;


(2)  在客户满意度调查、客流分析等场景下,应当在大堂、场所等地显著位置标示场所使用了人脸识别设备;


(3)  若实现智慧门店数据与线上数据(含集团内)融合打通、或者用于“绑单”用于精准营销等场景的,还应当确保融合数据来源合法,并明示客户融合数据的目的、方式及范围;


(4)  尽量本地化分析、处理人脸识别信息;等等。

 

 

金融机构的大多数安防摄像头不具有人脸识别功能,但是在一些特定的场景,仍然会使用到人脸识别技术,例如员工门禁、押运司机识别、案场安防预警等。


实践之中主要的合规控制要点包括供应商资质审查、人脸识别数据存储、黑名单机制、微表情技术应用合规等等。


值得注意的是,在安防场景下收集员工(银行柜台员工及押运员工等)的人脸识别信息的,仍应当通过合法的形式告知员工并获得员工的明示授权。

 

 

不同场景项下的人脸识别模块是否可以外包存在较大的差别,依赖于具体的应用场景和该场景在金融业务环节中的地位。


根据金融机构外包业务监管有关规定,涉及金融业务的核心业务环节(例如鉴身、适当性、合同、风控等)不得外包给第三方机构,而其他非金融业务的核心环节,例如营销、安防等场景,则不受该等外包限制。


此外,《个人金融信息保护技术规范》详细规定了“委托处理”、“外包”有关的限制措施。根据《个人金融信息保护技术规范》规定,C3类用户鉴别辅助信息(包括人脸识别信息),不得委托给第三方机构进行处理。在外包合规一节中,《个人金融信息保护技术规范》并未否定个人金融信息生命周期相关的外包服务,只是规定外包机构不应留存C3C2,当然也还规定不得将存储个人金融信息(包括人脸识别信息)的数据库交由外部合作机构运维。但是,《个人金融信息保护技术规范》并未严格界定何为“委托处理”,何为“外包”。


但实践中,金融机构显然不具备人脸识别相关的技术,必然与科技公司(例如业界知名的云从科技等)开展业务合作。因此,金融机构与金融科技公司的合作模式和合同条款就显得尤为重要,务必明确区分是人员外包还是业务外包,是开发服务还是运维服务,以及建立严格的供应商审查机制,等等。

 

 

如同上一个问题,金融业务全生态体系中,并非所有的人脸识别信息都必然属于个人金融信息,因此未必都需要遵从个人金融信息保护有关的法律、法规、标准(详见汇业黄春林律师团队前期文章《我国个人金融信息保护的法律与标准体系概览》)。


根据《中国人民银行金融消费者权益保护实施办法(征求意见稿)》、《个人金融信息保护技术规范》等文件,个人金融信息是指金融业机构(金融及类金融机构,不含金融科技公司)通过开展业务或者其他合法渠道获取、加工和存储的个人信息。因此,只有当金融业机构:(1)在开展金融业务(提供金融服务或金融产品);(2)自行或委托第三方机构以金融机构名义采集的人脸识别信息,才属于个人金融信息。而,其他金融业生态圈公司(例如金融科技公司)在前期独立开展业务准备、教学研究(例如算法训练)、产品研发(例如联网鉴身产品)、数据源对接等场景中采集的人脸识别信息,在正式金融机构业务场景前,不属于个人金融信息,无需遵守个人金融信息保护有关的法律、法规、标准规定的严格合规要求,但仍应当遵从《网络安全法》、《网络安全等级保护基本要求》、《个人信息安全规范(2020)》、《生物特征识别信息的保护要求(征)》等相关规定。

 



2020年初,人民法院出版社正式出版了汇业律师事务所黄春林律师的专著《网络与数据法律实务:法律适用与合规落地》一书。该书主要来源于黄春林律师团队日常法律实务工作成果的汇总和提炼,内容主要涵盖网络安全及数据合规、个人信息保护合规,以及电子商务、金融科技、网络娱乐、新兴技术等领域的主要法律实务问题。目前本书于京东、天猫等平台有售。此外,关注本公众号并后台回复联系信息,大队长金融将随机送出5本黄春林律师签名版。







扫描下方二维码

关注"大队长金融",获取更多金融监管深度解读



点一下在看吧~

注:本文系本站转载,转载目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请与本站联系,我们将在第一时间删除内容!本文版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。

相关推送

合规风险的发生原理与识别方法技术

合规风险识别是合规管理体系建设的基石!正确的合规风险识别直接决定合规管理体系的有效性,同时,识别合规风险也是企业建立合规管理体系的一大难点,目前在实践领域,企业合规人员缺乏行之有效的合规风险识别方法工具,多数依靠经验判断、业务讨论等传统方法。没有正确的合规风险识别,合规管理体系的目的就会出现打偏靶现象。因此,我们有必要对合规风险的发生原理进行探究。掌握合规风险发生原理是企业正确识别合规风险、设计合

点筹金融接入人脸识别技术系统

近日,点筹金融与知名科技企业小视科技达成战略合作关系,点筹金融正式接入人脸识别技术系统。通过人脸识别技术点筹金融可以为用户提供更优质的服务,人脸识别技术通过视频画面截取用户脸部特征图像,并与上传的身份证人像信息进行比对,再自动对接公安部二代身份证库,精准识别项目发起人身份,杜绝项目发起人身份造假。同时为了防止投资人账号密码被他人盗用的问题,通过活体验证(在手机端以及PC端,摇头、微笑、张嘴、眨眼睛

人脸识别互联网金融热点的到来

点击标题下蓝色融投中国即可关注本账号。一时之间,人脸识别技术成为IT产业新一轮技术浪潮的热点,国内外诸多知名企业都在积极涉足该领域,诸如苹果、谷歌、腾讯、百度、阿里等公司,市场呈现一片百家争鸣之势。人脸识别,顾名思义,是基于人的脸部特征信息进行身份识别的一种生物识别技术。用摄像机或摄像头采集含有人脸的图像或视频流,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部特征信息识别一系列相关技术。

 

人脸识别产业链全景图

没有特别幸运,那么请先特别努力。千万别因为自己的懒惰而失败,还矫情地将原因归咎于自己倒霉。新的一天,期待每一次的改变!早安,双十二的周四!人脸识别,通常也称人像识别、面部识别,是基于人的脸部特征信息进行身份识别的一种生物识别技术,主要用摄像机或摄像头采集含有人脸的图像或视频流,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部的一系列相关技术。近年来,随着人工智能的发展以及国家经济发展、安全

互联网金融“人脸识别”时代来临

日前,微众银行APP正式上线,再次引发市场热议。作为首家互联网银行试点之一,微众银行在开户环节所应用的人脸识别技术也成为坊间趣谈。无独有偶,目前也有多家券商机构传出消息,将考虑应用人脸识别技术来铺开其互联网证券业务,而腾讯也有望通过与部分券商合作,将人脸识别技术进行大面积铺开。有观点认为,传统金融机构开户模式正在被刷脸颠覆。不过,来自金融业内和计算机行业的分析师们,对人脸识别技术的真正落地和大规模

财付通联手优图团队推进人脸识别技术助力互联网金融发展

科幻电影中,经常会出现一个场景——进入某些机密场所,要把脸对准门外的电子设备进行扫描,通过身份验证后才可进入。这种场景能否出现在现实生活中?事实上,人脸识别技术已经取得阶段性进展,未来将能广泛应用于各行各业,例如金融、银行等等。而鹅厂原来也早已经密谋组建了一支神秘小分队,钻研人脸识别已达2年之久。为此,央视《经济半小时》也特别走访了这个团队,戳下面看视频神秘小分队斗志昂扬,恰似拼命三郎早在2013