数安条例百问46、47、48：关于生物特征应用和一百万人以上个人信息处理者的适用

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款
第二十五条 数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。

法律、行政法规另有规定的从其规定。

解读
按照经典的身份认证理论，鉴别一个人的身份有三种基本方式：（1）你知道什么？（2）你有什么？（3）你是谁？
  
你知道什么？是指验证用户所知的某些东西（如口令）；你有什么？是验证用户所持的某些东西（如门禁卡）；用是谁？是验证用户的生物特征（如指纹）。
  
不同的身份认证方式各有优劣。近年来，生物特征在身份认证领域的应用逐渐普及。在很大程度上，这是因生物特征识别操作方便，且可以验证真人，更容易实现实名认证。但其缺点也非常明显，最主要的是生物特征一旦泄露便不可弥补，因为生物特征不可更改，每个人都只有一张脸、一套指纹。因此，生物特征被作为一种非常敏感的个人信息，需要予以特别保护。
  
此外，很多人对生物特征识别的安全性过于依赖，认为其安全性要远大于其他方式。但近年来的一系列研究表明，生物特征识别系统较容易被攻破，至少在目前尚不能认可其高安全性。我们使用的很多智能手机都提供了指纹认证，但即使如此，过一定时间后手机依然要强制验证开机口令，这便是基于这样的考虑。
  
现实中，生物特征识别特别是人脸识别是社会热点问题，与此相关的司法诉讼层出不穷，已经到了必须规范的时候。《个人信息保护法》在两个地方涉及到了该问题。
  
一是在第二十八条，将生物识别信息作为敏感个人信息：“敏感信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”
  
二是在第二十六条，规范了摄像头等的应用：“在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。”
  
将生物识别信息作为敏感信息后，虽然《个人信息保护法》第二章第二节“敏感个人信息的处理规则”的规定全部适用于生物特征的保护，但考虑到这是一种特定应用，仍有必要结合应用场景作出进一步规定，提出特定保护要求。这是《条例》第二十五条的立法目的。
  
具体而言，《条例》第二十五条强调了两点：一是要在使用前对必要性、安全性进行风险评估，不评估不得使用，评估不通过也不得使用；二是不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，如果用户声明不愿意使用生物特征识别，则必须向用户提供其他认证方式，且不得为用户使用其他认证方式制造人为障碍。
  
除《个人信息保护法》和《条例》外，关于生物特征识别的应用，还有两方面的规定值得注意：
  
一是今年7月28日，最高人民法院发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》，8月1日起施行。具体到人脸识别技术应用，还应当遵循这一规定。
  
二是全国信息安全标准化技术委员会已于2020年立项制定四部生物特征数据保护国家标准：《信息安全技术 人脸识别数据安全要求》《信息安全技术 声纹识别数据安全要求》《信息安全技术步态识别数据安全要求》和《信息安全技术 基因识别数据安全要求》。
  
目前，上述四部国家标准正在顺利推进。但有必要指出，“生物特征”与“生物特征识别”不是一回事。虽然生物特征主要用于身份认证，但还有很多非认证场合下也涉及生物特征的采集与使用，如智能音箱收集环境中的语音并远程传输至云平台进行处理，这也应受到严格限制。故虽然上述国家标准的名字中含“识别”，且标准制修订任务放在了全国信安标委的WG4（鉴别与授权标准工作组），但标准解决的是生物特征数据保护问题，而不仅仅是生物特征识别中的数据保护问题。
  
注：在不同法规、标准规范中，“认证”“识别”“鉴别”等均有使用，“生物特征数据”“生物识别信息”也各有使用，因不影响理解，本文对此均未严格区分。

对应条款
第二十五条 数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。

法律、行政法规另有规定的从其规定。

解读
《条例》第二十五条规定，数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估。大家对此有两点关切：为什么要对必要性、安全性进行风险评估？谁进行评估？
  
《条例》提出必要性、安全性评估要求，本身便表明了一个基本立场：非必要不使用。即，在考虑部署身份认证系统时，不能优先考虑生物特征识别，或只考虑生物特征识别，这主要还是因为生物特征数据高度敏感，一旦发生泄露便不可收拾。因此，“非必要不使用”应当成为任何情况下部署生物特征识别系统的一个基本共识。
  
至于由谁进行评估，《条例》没有特别规定，一般是由数据处理者自行组织评估，不要求由政府部门进行评估或审批。如数据处理者自己认为有必要，可以自行聘请第三方机构或专家。但评估报告应当妥善留存，这是后续开展数据安全监督检查或向有关部门报送材料的重要依据。
  

对应条款
第二十六条 数据处理者处理一百万人以上个人信息的，还应当遵守本条例第四章对重要数据的处理者作出的规定。

解读
《条例》分别设置了第三章“个人信息保护”和第四章“重要数据安全”，但考虑到有些要求是针对所有数据处理者的（不仅针对个人信息处理者和重要数据处理者），故《条例》首先设置了第二章“一般规定”。除适用于所有数据处理者的通用安全要求外，第二章还包括同时适用于个人信息保护和重要数据安全的安全要求。即，这些要求不适用于其他数据处理者，但对个人信息保护和重要数据安全而言是共同的，没有必要分别在第三章和第四章重复规定。
  
但还有一种情况，当处理一百万人以上个人信息时，对个人信息处理者的有些要求需要增强，特别是在组织机构建设、责任制等方面。为此，《条例》第二十六条提出，数据处理者处理一百万人以上个人信息的，还应当遵守条例第四章对重要数据的处理者作出的规定。
  
就立法目的而言，第四章对重要数据的处理者作出的规定应当全部适用于数据处理者处理一百万人以上个人信息的情况。但目前的征求意见稿中，不排除尚有个别条款可能不适用，这可以在充分征求意见后修改完善。
  
但必须指出，《条例》第二十六条的规定绝不意味着“一百万人以上个人信息”就是“重要数据”。《条例》在定义“重要数据”时，并未含个人信息，也没有规定“一百万人以上个人信息”属于“重要数据”。

【下期预告】
49、如何理解《条例》对建立个人信息保护制度和重要数据安全制度的侧重点不同？
50、如何理解对数据安全负责人和数据安全管理机构的要求？
51、为什么要求数据安全负责人有权直接向网信部门反映情况？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？
23、如何理解《条例》提出的网络安全审查要求？
24、《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查是什么关系？
25、为什么对数据处理者赴国外上市和赴香港上市分别提出不同的审查要求？
26、为什么对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出安全要求？
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？
31、如何理解对“合法、正当、必要”提出的要求？
32、为什么增加了对处理个人信息“频次”“时机”的要求？
33、为什么要细化对个人信息处理规则的要求？
34、如何理解对个人信息处理规则提出的“清单形式”？
35、为什么要在个人信息处理规则中对第三方代码、插件提出要求？
36、无法对掌握开源第三方代码的个人信息处理规则怎么办？
37、为什么要细化对“同意”的要求？
38、为什么规定不得以改善服务质量等为由强迫要求用户同意处理个人信息？
39、什么叫做“频繁”征求同意？
40、对个人同意行为有效性存在争议时如何处理？
41、如何理解“十五个”工作日的删除个人信息要求？
42、如何理解“无法避免采集”场景？
43、《条例》从哪些方面保障个人行使查询、复制等权利？
44、如何理解个人信息转移请求？
45、如何理解个人请求直接对外转移个人信息的条件？

  总编辑|小贝