版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 举报,一经查实,本站将立刻删除。如若转载,请注明出处:http://www.51hangyebaogao.com/__hong_xiang_/8470.html
定制报告-个性化定制-按需专项定制研究报告
行业报告、薪酬报告
联系:400-6363-638
《植德律师事务所:2023年315特辑-人脸识别摄像头使用之数据合规指引(1.0版)(28页).pdf》由会员分享,可在线阅读,更多相关《植德律师事务所:2023年315特辑-人脸识别摄像头使用之数据合规指引(1.0版)(28页).pdf(28页珍藏版)》请在本站上搜索。
1、北京/上海/深圳/武汉/珠海/海脸识别摄像头使之数据合规指引(1.0版)?以新零售线下店为主要场景315特辑前PREFACE“”然,2021年“央视315晚会”曝光线下店摄像头滥问题、2021年4“脸识别第案”的审宣判以来,摄像头监控、脸识别技术在线下店经营过程中可能带来的侵犯公隐私权、个敏感信息权益、侵犯消费者合法权益以及违法收集、处理个信息的险和隐患,也越来越多地引起们的关注。此外,我们还可以注意到组数据:2023年38,中国消费者协会发布 2022年个信息保护领域消费者权益保护报告指出,2022年全国公安机关深推进“净2022”专项动,截年底共侦办案件8.3万起;信部共发布 关于侵害权益2、为的App通报 5批,并敦促相关企业完成整改要求;2023年“两会”期间,最法院公布的格权权益侵权案件达87.5万件;最检察院公布追诉络侮辱、诽谤、侵犯公个信息犯罪1.4万。我们可以注意到脸信息等敏感个信息的收集和使,值得我们重点关注,并找到数字经济发展与个信息权益保护的平衡点。2022年,个消费者最终向司法判决的数量并不,可能主要有三点原因:第、虽然 个保法 赋予了个信息处理者过错推定的归责原则,但是消费者仍然要证明基本的损害事实;但这类脸收集的式往往隐蔽性强,消费者感知,对摄像头的类型不定可以准确判断;第、缺乏维权动,赔偿额低或者因为难以证明损失,不被持;第三、结合2022年的个信息保护纠3、纷的事案例撤诉例的特点,定程度预着企业不排除会尽量选择和解,消费者选择撤诉解决。新零售线下店对脸识别摄像头的合规性不够重视,频频出现曝光或者各类典型案例,也有三点原因:第,企业不重视或者认为发现难,为此整改动难;第,合规成本,对于告知-单独同意以及必要性分析,均难以落地执,或者虽然可以落地,但是可能会对业务造成巨影响,不愿意合规先;第三,违法成本低,前公开的案例,处罚额并不,也许业务盈利的需求可以覆盖违法成本。然,结合我们的分析,我们注意到些新的变化和趋势:针对脸识别设备法采集脸信息的政执法活动可能会更为频繁;事、政公益诉讼在脸信息保护,均会逐步增强;后疫情时代下,各类新零售线下店业务迎来久违4、的复苏回暖。在新零售业的经营和数字化转型过程中,如何做好消费者洞察、利数据进精准获客和个性化营销,成为各类品牌商家和店经营者的重要课题。随着科技的发展和各类配套软硬件功能的开发,摄像头、监控设备除原有的安全管理功能基础上,衍出的基于脸识别、视频采集的客洞察、客群分析、精准营销等增值功能,恰好可以匹配线下店经营者的上述业务需求,这也使得近年来在线下店安装、使摄像头、监控设备成为常态。本指引由植德律师事务所数据合规组、电商、物流与贸易业委员会共同完成。其中,王艺合伙律师、陈昊合伙律师、赵艳明律师、刘逸甫以及余灏、戴佳兵、王喆曈等作组成员同参与了本指引的编写,王艺、陈昊、张正忠师(外部技术专家顾问)5、对本指引进了校对和稿审定,王艺、刘逸甫承担了具体的组稿作。总体,我们认为,可从以下考虑线下店脸识别摄像头的重点问题和合规案:值此2023年“315”来临之,也是我国 个信息保护法 正式实施第年的关键阶段,结合上述趋势,我们制作本指引,以期更好地识别线下店摄像头使和脸识别的痛点问题,并提出我们的些建议。第,不同的摄像头设备,需结合其设备类型、部署式、所采集数据类型、规模、对个信息主体权益的影响程度等多,考虑其数据处理的必要性、合法性和正当性(全简称“三性”)。第四,在合规案的提出和落地,我们建议从企业内部评估和制度层、与合作之间的To B层和向/消费者的To C层,综合考虑企业内外部的合规重点事6、项。第,需考虑线下零售店摄像头使的主要场所是否构成“公共场所”,并适配不同的合规措施。第三,在数据合规重点问题和实务痛点,我们从数据流、各数据法、数据处理关系出发,梳理和分析,包括“三性”评估、告知同意的落地、敏感个信息的处理、个信息安全影响评估(全简称“PIA”)开展、特殊使要求和数据出境等。还有可能会诞个新的个信息权益保护群体,保护个信息权益安全。我们以当前新零售线下店的应场景为切点,制作了 脸识别摄像头使之数据合规指引(1.0版)?以新零售线下店为主要场景(以下简称“本指引”)。本指引包含五个的内容,即“脸识别摄像头使的主要场景”、“脸识别摄像头数据合规相关法律法规”、“摄像头相关数据合7、规典型案例及启”、“摄像头数据合规频问题”以及“线下店摄像头使合规案的提出与落地”,以期更好地识别线下店摄像头使和脸识别的痛点问题,并提出我们的些参考建议。北京植德律师事务所数据合规组、电商、物流与贸易业委员会2023年31501脸识别摄像头使的主要场景020304脸识别摄像头数据合规相关法律法规(部分)?以餐饮、零售线下店为例摄像头相关数据合规典型案例及启摄像头相关数据合规频问题CONTENTS05线下店摄像头使合规案的提出和落地录()线下店摄像头布置主要场景()带摄像头的其他硬件产品()政处罚案例()事纠纷案例(三)刑事犯罪案例(四)IPO中脸识别相关常问询()各类摄像头设备数据处理为的“8、三性”问题()“公共场所”的认定及其合规要求差异性问题(三)店摄像头场景下各差异性认定和合规义务判断问题1、店摄像头数据流分析2、各数据法和数据处理关系3、店经营者合规重点问题和实务痛点附件:线下店摄像头数据合规全景图脸识别摄像头使的主要场景线下店摄像头布置主要场景01房地产酒店01前,线下店安装、部署摄像头或类似设备的主要场景、位置、途如下:零售业布置位置途案例店内店内、操作区客来访次数统计客群/客源识别标签体系建设、洞察、精准营销等私域建(添加销售代表企业微信、拉群、常营销)员作情况分析摄像头未经允许捕捉脸信息,某卫浴品牌被“央视315晚会”点名某便利店通过摄像头监督店员作是否符合操作规范9、餐饮店内、餐区店内员作情况分析纠纷处理判定确认消费者份、感消费售楼处堂客来访次数识别客群/客源识别助住办理众多客带头盔看房,避免被脸识别、进法享受相关优惠连锁酒店堂可脸识别助办理住某锅海外分店每张桌上有两个摄像头,疑似监控视频传回国内某餐厅在脸识别后可感点餐,消费完成后直接离店、动完成结算脸识别摄像头使的主要场景例如智能机、平板等;1.智能终端3.智能联汽4.其他例如通过内摄像头录制外情况、通过内摄像头识别疲劳情况、通过记录仪录制外景、队情况并与同辆共享数据等;例如酒店住员份识别机器、企业脸识别的考勤设备、禁设备,脸识别助结账设备等。带摄像头的其他硬件产品0201除线下店安装、部署的摄像头外,10、还有其他硬件产品亦带有脸识别功能的摄像头:例如可视频通话的智能表、电话表等;2.智能穿戴设备?以餐饮、零售线下店为例脸识别摄像头数据合规相关法律法规(部分)0302司法解释近年来,脸识别技术的应得到了法律法规的规制,以及国标、标等的具体应指导。我国虽未出台专规制脸识别的法律法规,但随着在个信息保护领域的发展进程,在脸识别的规制层,已初步形成宏观的法律法规予以统筹引领、司法解释和实践予以补充,国家、业标准予以参考对照的体系。与此同时,亦有些地政府部出台了脸识别相关的规范性件予以规范。就线下零售业相关的脸识别摄像头相关法律法规,我们主要梳理如下:业标准中华共和国消费者权益保护法中华共和国络安全法中11、华共和国法典中华共和国数据安全法中华共和国个信息保护法法律法律件名称效时间类别2014.03.152017.06.012021.01.012021.09.012021.11.01关于审理使脸识别技术处理个信息相关事案件适法律若问题的规定2021.08.01信息安全技术脸识别数据安全要求信息安全技术个信息安全影响评估指南信息安全技术远程脸识别系统技术要求信息安全技术个信息去标识化指南信息安全技术移动智能终端个信息保护技术要求安全防范视频监控脸识别系统技术要求信息安全技术公共及商服务信息系统个信息保护指南国家标准电信和互联脸识别数据安全实施指南 业标准(征集意中)中国通信标准化协会TC8Tf1数据12、安全特设项组成功项其他相关件昆明市住房和城乡建设局关于规范商品房销售场所脸识别系统使为的通知北京市住房和城乡建设委员会关于进步加强本市公共租赁住房脸识别技术应管理的通知政部办公厅关于全应脸识别技术提升流浪乞讨员救助管理服务能的通知中国付清算协会脸识别线下付业律公约(试)深圳市市场和质量监督管理委员会关于发布动态脸识别系统前端建设规范的通知2023.05.012021.06.012020.11.012020.03.012018.05.012015.12.012013.02.012021.032021.04.012020.06.302020.03.232020.01.202018.09.01摄像头13、相关数据合规典型案例及启政处罚案例04摄像头使场景/为处罚结果启案例2(中国)案例3(中国)案例1(中国)案例03违反法律法规的规定使摄像头、处理脸信息,将会临个提起事诉讼、政处罚、检察机关刑事起诉或者发起公益诉讼的险及后果。近年来,随着个信息维权意识的觉醒、监管重点执法、消费者保护组织的曝光,我国陆续出现了脸识别事第案、房地产售楼处违规采集脸信息被政处罚等批典型案例。我们在下收录了近年来境内外事、政和刑事的典型案例,以提企业对该为及后果的认识和理解。同时,我们亦总结了重点案例对企业的合规启,以供参考。(客识别)某房地产开发公司法安装脸识别摄像头,擅在访客进售楼厅后动采集脸信息,防售楼中访客转14、化成中介客。(精准营销)某国际卫浴品牌经营部安装脸识别摄像头,使具有脸识别的监控设备收集脸信息,精准统计分析客流,男、年龄等并于制定销售政策。(客流分析)某展览馆安装脸识别摄像头,通过部图像识别和动化分析实现巡店、安全管理、客流分析等功能。(员监控)德国某知名电产品络销售商对室内办公场所进持续监控,其监控视频在删除以前将保存达60天,已严重超过法律允许的最保存期限(乘客拍摄)瑞典某公共交通公司因其要求检票员随携带摄像头,对可能的威胁事件和逃票乘客进拍摄记录。但经调查发现:该摄像头可以差别拍摄所有经过的乘客;拍摄时间超过必要的时;且摄像头记录的频对逃票检查等的没有作。案例4(欧盟)案例5(欧盟)15、停侵权为并罚款20万元改正违法为并罚款3万元警告罚款1040万欧元罚款1600万瑞典克朗(约合158万欧元)线下店的摄像头使,不但应遵循“告知+同意”的前提条件,还需满法律法规关于公共场所安装图像采集、个份识别设备的特别要求;摄像头所采集、处理数据也应遵循合法、正当、必要的原则,不得随意关联份信息、进精准标记、精准营销等为。处罚额虽暂时看起来不,但是随着信办执法程序性规定后续效,以及 个保法 的处罚条款适更频繁,不排除会出现巨额罚单。欧盟摄像头使处罚案例也与个信息处理的必要性、合法性问题强相关,例如超出必要范围收集频、超出必要时未删除等欧盟GDPR已对不当使摄像头的为进巨额处罚;事纠纷案例0516、摄像头相关数据合规典型案例及启03摄像头使场景/为裁判结果启案例2案例3案例1案例(线下商家、经营场所摄像头使场景)某动物园以年卡系统升级为由,强制要求将园式由指纹识别改为脸识别,否则不得园。(活、居住区域安装、使摄像头监控)业主家道加装摄像头,该道使员特定具体,仅包含原告住和被告住,社会公共空间,且邻居家庭情况和出信息可能为被告摄录留存。(办公场所、区内员监控场景)某公司办公场所内,在原告等5位员背后加装动跟踪式摄像头,经理可直接在机上调看监控录像。收集原告脸识别信息,超出了必要原则的要求,不具有正当性。被告应删除原告办理年卡时提交的包括照在内的部特征信息。构成侵权,拆除摄像头。因员遮挡摄像17、头解除劳动关系不合法,付违法解除劳动合同的赔偿17万余元收集、使个信息/敏感个信息,应当遵循最必要原则,即应当限于实现处理的的最范围,不得过度收集个信息,且应当采取对个权益影响最的式。物业服务企业/管理不得以脸识别作为出物业服务区域的唯验证式,需提供替代案。不得强迫或变相强迫然同意处理脸识别信息。家庭、活区域与公共场所的判定,需结合拍摄范围、拍摄对象、使员等多种隐私判断;未经单独同意,摄录留存他的个敏感信息缺乏合法性、正当性及必要性依据,构成侵权。所安装摄像头应对整个办公空间,不得针对特定员;办公场所员监控同样应遵循合法、必要等原则;监控内容限于和企业相关经营活动,更室、卫间不得安装。06摄像18、头相关数据合规典型案例及启03刑事犯罪案例使场景/违法为构成罪名案例2案例3案例1案例(偷拍偷录、威胁恐吓)酒店客房内安装微型摄像头侵犯房客隐私,并以偷拍偷录内容对其进威胁恐吓。(法盗摄)动取款机上法加装摄像头、读卡器盗取在此期间储使的银卡信息。(远程侵)利软件漏洞,法获取络摄像头账号和密码,进操纵、控制他安装摄像头偷窥隐私。敲诈勒索罪(最可处年以上有期徒刑,并处罚)侵犯公个信息罪(最可处处三年以上七年以下有期徒刑,并处罚)法控制计算机信息系统罪(最可处三年以上七年以下有期徒刑,并处罚。)07摄像头相关数据合规典型案例及启03IPO中脸识别相关常问询我们期关注资本市场数据合规话题。当前,数据合19、规作为IPO审核关注重点,已成为影响企业上市与否的重要因素。对于拟上市的企业,如何积极应对数据合规审查,是上市过程中不可回避的挑战和重要事项。我们发现,在科创板、创业板涉及智能(AI)业、智能家居、安防业的脸识别相关技术、产品、服务中,下述有关脸识别的问题已进到了IPO问询的视野。询问问题启云天厉奥中光云从科技项发在场景应过程中是否接触、收集、利脸数据信息,数据采集和使过程中是否获得被收集者许可,是否存在侵犯个隐私、肖像权案等权益的情况?说明使物识别技术的具体产品及应场景,是否存在采集、储存、使业主份证、机号、脸图像等敏感信息的情形,采集、储存、使上述敏感信息的具体式和使情况,被采集是否充分知20、情,发及相关主体是否取得被采集的同意。近期部分地法对个信息采集和脸识别应范围进约束的具体情况如何,是否已对公司业务造成影响?并进步分析说明业法规政策变动对公司业务的影响,并充分揭相关险。脸数据获取、管理和使是否合法合规?说明业主是否有权利拒绝发收集相关数据,如拒绝,是否影响业主正常出区等合法权益,相关约定是否实际具有强制性。驰物联IPO过程中,监管部对发数据合规相关的法律险关注较多,对于涉及摄像头使、脸识别的发,监管关注的问题集中在业务合法性、正当性、告知同意及个信息主体权利的保障等,拟IPO企业(尤其是AI智能科技、智能家居、物联、视觉芯/算法、安防设备等业,涉及脸识别数据的收集和处理的企业21、)应引起重视。摄像头相关数据合规频问题0804各类摄像头设备数据处理为的“三性”问题不同的摄像头设备,根据其设备类型、部署式不同,所采集数据类型、规模也有不同,对应地,其对个信息主体权益的影响程度、必要性、合法性的论证难度,也有所不同。部署式收集、处理的数据类型分析CCTV(视频+频)CCTV(仅采集视频)热成像设备类型脸视频图像信息、频信息脸视频图像信息热成像数据同时采集视频,如设备分辨率、频采集质量好,则对个权益影响的程度很,合法性、必要性的论证难度相较视频均采集的场景采集数据类型较少,但脸视频数据已以识别个的份,敏感程度较,同样需要论证必要性与合法性仅能根据体温度识别体轮廓,法识别到个,22、对个权益的影响程度较低店内安装、悬挂部署等红外识别点位识别店内悬挂、落地架部署等特定点位部署(如特定展台、区域)红外脸信息、红外体轮廓信息等流量数据红外识别受天、光照等环境影响较,可有效防伪造脸,颗粒度较,对个权益的影响程度较仅能统计流量信息,法识别到个,对个权益影响的程度较低;但考虑展台、柜台美观和客体验,可能存在隐蔽部署的情况摄像头相关数据合规频问题“公共场所”的认定及其合规要求差异性问题09是否构成“公共场所”店部分分析合规要求的差异04参考 治安管理处罚法公共场所卫管理条例、屈建渝诉四川有属公司损害赔偿纠纷案等相关法律法规和司法裁判案例。1参考相关法律法规、司法实践,公共场所是供公众从23、事社会活的各种场所的总称,向不特定普遍开放、出、通、活动的场所都属于公共场所。我们对零售场景下安装摄像头的主要场所是否构成“公共场所”进了识别和判定,具体如下:1店外公共道路/商场区域构成构成店外商铺有区域店内-商品展区店内-VIP服务区公共道路/区域,不特定消费者、然可以进虽属店区域,但仍允许不特定消费者、然可以进和经过根据 个信息保护法 第六条,在公共场所安装图像采集、个份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提标识。所收集的个图像、份识别信息只能于维护公共安全的的,不得于其他的;取得个单独同意的除外。办公区域的摄像头使、视频监控要求,仍需符合合法、必要等原则。24、例如所安装摄像头应对整个办公空间,不得针对特定员;监控内容限于和企业相关经营活动/场所,更室、卫间不得安装。店内-办公区、后台操作区可能不构成(如严格限制外部消费者、社会员进)仅经营者有员可进1、店摄像头数据流分析(1)店摄像头数据流摄像头相关数据合规频问题店摄像头场景下各差异性认定和合规义务判断问题1004在数据法框架下,各主体所承担的关系到其需履的合规义务、承担的法律责任。如何识别各主体在数据法下的离不开实际的场景以及数据流向的判断和分析。因此下将结合前述店摄像头使场景以及摄像头提供商的业务模式,分析相应的数据流向,以进步明确店、摄像头提供商等各主体在数据法下的。实践中,店基于不同的需求,25、所需的数据类型会有所差异,数据的流向也会受到店需求、摄像头提供商模式的不同存在差异。分析数据的流向,能够将各主体落具体的场景中分析其承担的,能够更加准确地识别出各主体在不同场景下的数据法,从分析其对应的合规义务及法律责任。1)摄像头提供商仅提供摄像头硬件设备,数据处理通过第三软件完成。基于店需求不同,可能存在如下两种情况:若店仅需获得影像,需获得脸识别数据,那么该数据流仅包含店影像,由店通过摄像头获取。若店需要获得脸识别数据,或者经分析、处理后的脸统计数据,相关数据需经过软件处理,那么该数据流由部署在店的摄像头收集相关影像,再由处理软件对其进处理,识别出脸数据,传输店。摄像头相关数据合规频问题26、店摄像头场景下各差异性认定和合规义务判断问题11042)摄像头提供商同时提供硬件摄像头以及软件服务。该模式下提供商通常会将摄像头及处理软件部署在本地,根据店的需求分为影像资料的收集及脸数据的处理。摄像头相关数据合规频问题店摄像头场景下各差异性认定和合规义务判断问题12041)境内店数据出境海外除需满必要性、合法性、敏感个信息处理等特殊要求外,向境外提供数据时,店经营者需按照其与境外接收的数据法关系,结合的数据处理场景和规模,依法采取数据出境安全评估、个信息标准合同、个信息安全认证中的种数据出境合规措施。(2)店摄像头数据的跨境转移除了上述数据在店、提供商之间的流动以外,对于跨国公司或布局海外业27、务的公司,可能基于员的管理、区域客群体分析、安全管理等的,将境内外店摄像头所采集的数据进跨境传输。摄像头相关数据合规频问题店摄像头场景下各差异性认定和合规义务判断问题13042)海外重点区域店数据出境国内如存在境外店摄像头数据回传国内的场景,则需要根据传出所在的不同国家/地区关于数据跨境转移的相关要求,依法采取对应的合规措施。海外重点区域如欧盟、美国、巴西、俄罗斯、新加坡等地,都有各针对数据跨境转移的相关规定,企业在进数据跨境活动时需注意根据各地区的具体要求,采取相应的合规措施。摄像头相关数据合规频问题店摄像头场景下各差异性认定和合规义务判断问题14042、各数据法和数据处理关系识别数据法和数28、据处理关系,是厘清和把握业务合作各权利义务和法律责任的前提,我们基于店摄像头使合作场景下的各类合作及其合作关系,将各可能涉及的地位及需要注意的合规义务,梳理如下:数据法数据合规义务概述店经营者(商家)摄像头硬件提供商主体个信息处理者(主决定数据处理的的和式)履法律对于个信息处理者的全部义务,包括但不限于:充分告知;获得单独同意,或具备其他合法性基础;制定专的脸数据保护规则、标准;进脸数据等敏感个信息处理的PIA;监督受托的个信息处理活动;建个信息主体权利响应机制、渠道。确保获得相关产品资质和相关市场的准和安全评估机制(如涉及)。N/A(如仅提供硬件,不涉及数据处理)N/A(若需将数据上传提供商29、的系统进处理,仅本地化处理数据,则该提供商仅为技术提供,可能不存在数据法)受托(若相关数据需经提供商的云端存储、分析处理,则该提供商可能为数据处理受托)确保获得相关产品资质;确保脸数据等敏感个信息处理的安全性。作为受托,按照处理者的指和要求处理个信息,包括但不限于:按照约定处理个信息;未经个信息处理者同意,不得转委托他处理个信息;按要求返还、删除个信息;确保脸数据等敏感个信息处理的安全性;协助个信息处理者响应个信息主体权利请求;确保获得相关产品资质。脸数据处理摄像头软件提供商(SaaS服务商)店所在商场物业经营者(如涉及)N/A(如仅提供店经营场所,不涉及店经营、摄像头采集等相关操作,可能不存30、在数据法)共同处理者、接收等(如商场/物业与店经营者之间存在安全监控、店流量等附带合作,则视具体合作内容,可能与构成共同处理者、接收等)承担物业管理者责任,可能需要对商场/物业内的经营为进必要的监督视具体数据法认定,承担共同处理者、或数据共享接收的相关法律义务(多个信息处理者处理脸信息侵害然格权益时,可能根据个案的具体情况,需按过错程度和造成损害的承担相应责任,在特定情况下甚需承担连带责任)摄像头相关数据合规频问题店摄像头场景下各差异性认定和合规义务判断问题15043、店经营者合规重点问题和实务痛点由于摄像头场景下收集的脸识别信息,具有敏感性、强社交属性、易采集、唯性和不可更改性等五特性,因此31、,对其进采集和处理,相较般个信息,有着更为严格的合规要求。(1)重点问题:三性评估1)合法性、正当性的合法、正当是否于法律法规、监管部明令禁的业务的?是否侵犯然合法权益?安全管理、客识别、个性化推荐等常业务场景,是否合法、正当?如何论证?式合法、正当:拍摄位置、拍摄度、跟踪式等是否合法、正当?可否未经提、告知,隐秘拍摄?2)必要性业务的本是否必要业务场景(尤其是客识别、个性化推荐)的必要性如何论证?摄像头收集的个信息是否与业务的直接相关视频均需要收集?是否需要脸识别?收集脸/物识别、录录像信息的特殊规定(GB/T41391-2022、GB/T41819-2022)摄像头拍摄是否是对个权益影响最32、的式优先选择摄像头拍摄/脸识别的理由?是否有替代案、是否必须设置替代案?摄像头相关数据合规频问题店摄像头场景下各差异性认定和合规义务判断问题1604(2)重点问题:告知+同意如何落地?1)告知的内容要求通告知内容(个保法 第七条)敏感个信息的特别告知内容(个保法 第三条,必要性以及对个权益的影响)脸识别信息的特别告知内容(GB/T41819-2022)2)告知的式要求第层:“显著的提标识”(个保法第六条)第层:详细的隐私政策/隐私通知特殊要求:脸识别过程中的“持续告知”(GB/T41819-2022)3)取得同意/单独同意的要求和式区分单独同意与同意可否要求同意才提供产品/服务?可否与其他授权33、捆绑、强迫或变相强迫同意?不同意如何处理,可否反复、频繁提?撤回同意的权利如何保障?未成年的单独同意如何获取?例外情形(需告知的情形,如为应对突发公共卫事件、为维护公共安全等;(3)重点问题三:敏感个信息的处理有何特殊要求?特定的的充分的必要性严格的保护措施本地存储,加密存储,谨慎上云;隔离存储,将脸识别信息与个份信息进物理隔离或逻辑隔离;安全传输,采双向份鉴别、数据完整性校验、数据传输通道加密等措施。取得同意仍可能不合法的情形,如与其他授权捆绑、强迫或变相强迫获取同意等)摄像头相关数据合规频问题店摄像头场景下各差异性认定和合规义务判断问题1704(4)重点问题四:如何开展个信息安全影响评估(34、以下简称“PIA”)?1)评估内容是否符合法律、政法规和国家标准的强制性要求,是否符合公序良俗?是否具有特定的的和充分的必要性?是否具备满实现的所需的准度、精度要求?是否采取了与临的安全险相适应的安全防护措施?是否采取了措施以有效降低可能对数据主体权益带来的损害和不利影响?2)评估式或者委托第三开展PIA?PIA的流程、各部分如何确定?PIA报告如何形成、签署和保存?何时应重新开展PIA?(5)重点问题五:摄像头采集数据的特殊使要求?如何做好标签管理和动化推荐合规?算法计算和数据加、数据分析?如何避免数据杀熟?如何实现推荐类算法可解释权?如何实现动化推荐拒绝权?如何做好算法备案?如何做好深度合35、成合规?如何管理标签?如何便撤销标签?个信息权益如何响应和处理?摄像头相关数据合规频问题店摄像头场景下各差异性认定和合规义务判断问题1804(6)重点问题六:摄像头所采集数据如何合法出境?1)摄像头/脸识别数据出境的难点实务中,为实现多店摄像头后台数据、前台数据等合并的管理标、个信息主体画像构建需要等业务的,摄像头/脸识别数据的出境存在如下合规难点:敏感个信息易触发数据出境安全评估的申报槛;数据出境规模、类型敏感,业务需求和数据出境处理为的必要性、合法性论证难度;视频、脸识别等特殊类型数据出境,易遭泄露、篡改,安全保障难度;境外接收(尤其是可远程访问的境外主体)数量多,法律件签署、所在地法律评36、估等作难度。2)数据出境流程数据出境场景下,先需要对数据出境场景、规模进梳理和识别,并相应选择适的合规路径;随后则需根据所适的数据出境合规路径,采取相应的合规措施、履相应的申报/备案义务(如涉及)。相关流程要点我们梳理如下:合规路径选择流程:摄像头相关数据合规频问题店摄像头场景下各差异性认定和合规义务判断问题1904数据出境安全评估流程:个信息出境标准合同流程:线下店摄像头使合规案的提出和落地2004在企业内部:数据合规案的落地,需要多部的协同配合,在公司内部的各类数据合规管理制度、评估流程和操作规程的指导下,从业务开展前、中、后三个阶段,全位实现合规措施的提出和落地。在企业外部:与合作之间的37、ToB层,需要基于与合作之间的数据法关系,通过合同约定等式,落地各项合规措施;在向消费者/的ToC层,则主要应关注对外告知+同意机制的落地及个信息主体权益的保障问题。在合规案的提出和落地,我们建议从企业内部评估和制度层、与合作之间的To B层和向/消费者的ToC层,综合考虑企业内外部的合规重点事项。线下店摄像头合规全景图线下店通过摄像头获取的数据具有特殊性(如脸识别数据会构成敏感个信息),对此,在数据处理全流程的各个阶段都具有特殊的合规义务。本数据合规全景图从部署摄像头的前置阶段开始,包含了收集、存储、使、删除、提供、传输阶段的对应的义务,以供参考。线下店摄像头使合规案的提出和落地0521港学38、数字化转型与企业战略研究深圳学经济法硕深圳学法学学中国律师执业资格业和信息化部电业标准化研究院认证的数据保护官资格(CESI-PIPP-DPO)欧盟信息隐私专家认证(CIPP/E)资格EXIN认证DPO(数据保护官)信通院“数据安全推进计划(DSI)”数据安全专家信通院卓信数据计划批律师合伙中国信通院个信息保护合规审计推进组专家成员之获 钱伯斯中华区指南2023 TMT:数据保护与隐私领域推荐2022获LEGALBAND特别推荐榜15强:络安全与数据合规2022获LEGALBAND特别推荐榜15强:数字经济领域王艺合规部牵头深圳办公室合伙政府监管与合规、投融资并购、争议解决22邮箱:微信:如需39、其他具体合规建议,可扫描下维码,添加植德合伙微信进咨询。哈尔滨程学经济学学复旦学法律硕中国律师执业资格获2022年 亚洲法律评论 ALB三地区五佳律师新星获 钱伯斯中华区指南2023 TMT:数据保护与隐私领域推荐陈昊上海办公室合伙政府监管与合规、反垄断与竞争法、争议解决邮箱:微信:23如需其他具体合规建议,可扫描下维码,添加植德合伙微信进咨询。版权与免责本指引仅供业内参考、学习交流,不代表任何意义上的法律意和建议,未经本所事先同意,本册不可被于任何其他的。如需转载,请经本册编写负责同意,且注明出处。北京:北京市东城区东直门南大街 1 号来福士中心办公楼 5 层、9 层 903-904 上海:上海市长宁区长宁路 1133 号长宁来福士广场 T1 办公楼 18 层 1801 深圳:深圳市南山区粤海街道科苑南路 2666 号中国华润大厦 9 层 905-906 珠海:广东省珠海市香洲区吉大情侣中路 39 号 3 栋 1702 室 海口:海南省海口市龙华区国贸大道帝国大厦 B 座 5 楼 512 室 武汉:湖北省武汉市江岸区中山大道 1505 号企业天地 1 号 45 层 前 行 之 路 植 德 守 护