公司人脸识别系统合同范本1
1、遵循最小必要原则,以诚信的对价为基础,基于产品或服务的实现的必要而进行用户个人信息的处理。
2、应当向用户公开人脸信息等敏感信息的处理规则,包括处理的目的、方式、范围;同时遵循与用户的授权约定,禁止出现超越用户同意的范围、权限使用的行为。
3、在基于知情同意原则上处理人脸信息等敏感信息的,应当征得自然人或其监护人的单独同意,或是按照法律、行政法规的规定征得自然人或其监护人的书面同意。笔者认为本条的处理要避免出现捆绑授权的情形,同时在协议文本中将关于人脸信息等敏感个人信息的处理作为独立条款,或是在个人信息处理条款中将该等信息进行加粗、下划线等显著的标注,实现用户的充分知情同意。也可以考虑在首次处理用户人脸信息前以单独弹窗的方式取得用户的同意。
4、在与用户的协议中,明确约定用户的删除权以及告知用户对其人脸信息的删除路径。根据《规定》内容,当信息处理者违反约定约定处理人脸信息的,自然人有权请求删除该人脸信息,法院依法予以支持。即使信息处理者以双方没有对人脸信息的删除作出约定进行抗辩的,法院也不予支持。
5、人脸信息的授权若是无期限、不可撤销、可任意转授权的,自然人有权以主张请求确认格式条款无效,法院依法予以支持。笔者对几款涉及人脸信息处理的APP进行查阅,发现在用户协议中仍然约定用户进行无期限、不可撤销、可转授权的授权。
6、采取应有的技术措施或者必要的措施确保收集、存储的人脸信息的安全,避免出现人脸信息的泄露、篡改、丢失,包括对于人脸信息等敏感信息采取加密存储和传输,将敏感信息和其他信息隔离存储,不存储原始人脸信息等。
而对于个人而言,无疑该《规定》通过举证责任的分配等规定为自然人保护个人信息提供了更为全面的指引,除了有权要求信息处理者停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉,还有权要求处理者承担包括律师费在内的损失赔偿,以及通过申请行为禁令的方式保护自身人格权益。尽管有前述规定,但笔者认为个人维权的现实不易,仍恐怕难以在短时内缓解。
公司人脸识别系统合同范本2
根据《规定》第二条,明确了处理人脸信息行为属于侵害自然人人格权益行为的具体表现,其中第(二)款至第(八)款,笔者理解为是对《民法典》第一千零三十五条及第第一千零三十八条的重申,第(八)款更是对合法、正当、必要原则的兜底情形。
第一款“在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析。”则对人脸识别技术典型应用场景进行了司法层面的具体规定。比如本条款中的“商场”,可以视为新零售的典型应用,不少企业通过对店内安装的摄像头进行人脸信息采集后分析顾客的购物习惯、滞留时间等,改进货物的陈列、货品的上架更新、用户的精准营销或推送。
上述行政处罚案件中,科勒公司的行为即属于《规定》中的使用人脸识别技术进行分析的行为,置业公司则属于使用人脸识别技术进行辨识的行为。而人脸识别技术的另一典型应用场景银行APP中的使用,则是属于使用人脸识别技术进行验证的行为。
如何区分使用人脸识别技术进行验证、辨识和分析这三种行为?根据《人脸识别数据安全要求》的定义,(1)人脸验证是指将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行1:1比对,以确认特定自然人是否为其所声明的身份。典型应用包括机场、火车站的人证比对,移动智能终端的人脸解锁功能等。(2)人脸辨识是指将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行1:N比对,以识别特定自然人。典型应用包括公园入园、居民小区门禁等。(3)人脸分析:不开展人脸验证或人脸辨识,仅对采集的人脸图像进行统计、检测或特征分析。典型应用包括公共场所人流量统计、体温检测、图片美化等。
本条第三款规定“基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意”。该条款内容与《个人信息保护法》(草案)中对于敏感个人信息的处理规则“基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”也是保持了一致。同时结合《规定》第六条对举证责任的分配,应当由信息处理者对其已经取得用户同意的主张承担举证责任,换言之,若信息处理者无法提供相应证据的,则需要承担举证不能的责任后果,也就可能需要承担侵权责任。笔者认为,本条款对于单独同意和书面同意的规定,实则对信息处理者的合规提出了更高的要求,关于个人信息保护和信息应用之间的平衡取舍,也将是法律人进一步思索并探究的问题。
同时,结合《规定》第四条内容,存在(1)处理人脸信息并非属于提供产品或服务所必需的情况下,要求自然人同意处理其人脸信息才能提供产品或服务;(2)以捆绑方式要求自然人同意处理人脸信息的;(3)其他强迫或者变相强迫自然人同意处理人脸信息的情形,均不能作为信息处理者已取得同意的的情形。笔者认为,本条规定仍然是基于必要原则出发,对前述“单独授权”的重申。
公司人脸识别系统合同范本3
本案较为不同寻常的一点,在于漳州市市场监督管理局援引了司法解释《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》作为处罚的法律依据。因为司法解释是对司法机关如何适用法律的解释,理论上仅在司法机关内部具有约束力,对行政机关并没有直接的效力。在20_年《国家工商行政管理总局关于行政机关可否直接适用司法解释问题的批复》中,就曾明确:“行政机关在办案时可以参考有关司法解释,但不宜直接适用司法解释。”而本案对司法解释的直接使用,也提醒企业在开展合规工作时司法解释也是重要的依据。
本案中,当事人为了使用人脸识别系统,已经开展了大量的合规工作,比如起草了知情同意书,在入口玻璃门上贴了关于使用人脸识别的温馨提示,并在入口处防止了告知书。但市监部门仍然认为这些合规措施仍然无法达到合法收集的要求。
在《个人信息保护法》第26条中,对维护公共安全以外的人脸识别技术,除了设置显著的提示标识进行告知以外,还应当获取单独同意。而本案中尽管《关于收集人脸信息的知情同意书》,但仅会在收集面部信息后获取书面同意,无法在收集前获得单独同意。
在使用人脸识别技术进行商业化时,单独同意极难获得。一方面需要进行有效告知,本案中当事人已经基本实现;另一方面需要单独同意,而单独同意的获得需要个人的意思表示,无法默示作出,大多数时候都是“不可能完成的任务”。获取单独同意,需要从保安、销售等人员服务的各个层面优化流程与话术。
此外更有挑战的是,如果消费者不同意收集面部信息,该如何处理。能否将此类消费者拒之门外?或是要求其佩戴面具、头盔看房?抑或是提供不使用人脸识别技术的看房区域?无论怎么样可能都不算是完美的解决方案……
而对于人脸识别这样的敏感场景,或许不可缺少的是通过个人信息保护影响评估来降低风险。当然,这也是另外一个话题了。
公司人脸识别系统合同范本4
漳州国润房地产有限公司于20_年上半年开始在某小区的入户大堂设立售楼处,安排公司的营销人员在该售楼处进行营销办公,并于20_年7月份开始在该售楼处使用“人脸识别系统”。
为了合法合规使用人脸识别系统,当事人于在售楼处入口玻璃门贴上标有“本售楼处安装有人脸识别系统,用于进行分销带客识别,我们承诺保护您的人脸等信息安全”的“温馨提示”,于20_年5月28日加做《关于漳州国贸天成项目售楼处现场采集人脸信息的告知书》立在营销中心一楼入口处,以及制作并放置《关于收集人脸信息的知情同意书》于上述售楼处一楼洽谈区的洽谈桌。
在告知书与知情同意书中,有标注“如您进入售楼处,视为您同意对您的人脸信息进行采集,存储和使用(仅为签约时)”、“我已知晓【本公司】收集、存储、使用上述人脸信息,并同意对其的收集、存储、使用行为”的提醒文字,但同时也标注有“如您不同意上述对您人脸信息的采集、存储、使用(仅为签约时),请您不要进入售楼处(包括但不限于销售案场、样板房、示范区),并与我司的工作人员进行联络”、“如您选择不同意我们上述收集、存储、使用人脸信息,请您不要进入【案场】,并通过【拨打电话号码/扫描二维码】与我们工作人员进行联络”的文字。
公司人脸识别系统合同范本5
根据《规定》第一条,因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件,均适用于本规定。
结合《民法典》对个人信息的处理的定义以及现行GB/T 35273-20_《信息安全技术个人信息安全规范》对“个人信息控制者”的定义,参考《个人信息保护法(草案)》对个人信息处理者定义,笔者认为,《规定》中信息处理者可以理解为在个人信息处理活动中自主决定处理目的、处理方式等的组织或个人。
根据《信息安全技术 人脸识别数据安全要求》(征求意见稿)(以下简称《人脸识别数据安全要求》)中的定义,人脸图像是指自然人脸部信息的模拟或数字表示,人脸图像既可以通过设备收集,也可以通过对视频、数字照片等进行处理后获得;人脸识别数据是指“人脸图像及其处理得到的,可单独或与其他信息结合识别特定自然人或特定自然人身份的数据”。《规定》中所称的“人脸信息”是指《民法典》中规定的“生物识别信息”,也就是说该信息以电子或者其他方式记录,能够单独或者与其他信息结合识别特定自然人。笔者认为,《规定》中的人脸信息仍然强调其作为个人信息的“识别性”属性。
结合上述对信息处理和人脸信息的法律定义理解,笔者认为,本《规定》所适用处理的争议应当包括以下三种类型:
1、使用人脸识别技术处理人脸信息所引发的违反个人信息保护规定的争议,例如在人脸信息的收集阶段,未征得用户单独同意的情形,可能表现为在收集人脸信息之前或之时,仅告知用户,或是与其他的个人信息收集进行概括授权的处理。
3、处理人脸信息可能引发的合同违约争议纠纷,例如在使用人脸识别技术收集人脸信息中仅约定用户授权使用的用途为A用途,但实际使用却是B用途。