随着信息技术的进步和发展,人脸识别技术已广泛应用于日常生活,特别是新冠肺炎疫情防控大背景下,为便于疫情防控和日常管理,医疗机构等公共场所纷纷使用高清人脸测温设备,例如,医疗机构为降低人工测量体温成本,使用了人脸识别技术,将高清人脸识别系统用于收集进院人员体温信息,但其除了收集体温信息外,还获取了进院人员的面部等生物识别信息。那么,医疗机构通过人脸识别技术监测进院人员的体温信息是否存在法律风险?基于此,笔者拟结合法律实务,提出个人观点。一、相关风险(一)过度收集风险基于疫情防控需要,医疗机构通常在入口处设置健康码/场所码、体温测量、消毒和基本信息登记区域,部分有条件的医疗机构,配置相应的智能化设备,如高清人脸识别系统,以便收集进院人员的人脸信息和体温监测,提高工作效率。然而,健康码和场所码及体温测量已能满足疫情防控对进院人员个人信息收集的需要,不需要收集进院人员的面部特征信息,根据《个人信息保护法》第六条第二款规定,“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”医疗机构使用人脸识别技术收集进院人员人脸信息应限定于疫情防控目的,而不得收集面部特征信息,故医疗机构使用高清人脸识别采集体温信息存在过度收集个人信息的风险。(二)知情同意不足和存储不当风险根据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第一条第三款规定,人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。根据《个人信息保护法》第二十八条规定,生物识别信息属于个人敏感信息,且其第二款明确规定:“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”第二十九条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”从上述规定可知,人脸信息属于个人敏感信息,医疗机构收集进院人员的人脸信息,应取得被收集人员的同意,特殊情形还需取得书面同意,而实践中,医疗机构收集人脸信息通常并未取得被收集人员的同意,且在健康码/场所码和体温测量已可实现疫情防控信息收集目的背景下,再通过人脸识别技术收集大量的人脸信息,无疑加重医疗机构个人信息储存风险,特别是个人信息保护成本和对外合作中可能涉及的信息泄露风险。此外,因过度收集个人信息或人脸信息,或告知和存储不当,将面临不当处理个人信息或个人信息泄露的法律风险,除承担因侵害被收集人人格权益所导致的人身和财产损失等民事责任外,还可能面临行政责任。二、应对建议1、限制人脸识别技术的使用,如非特殊需要,应避免使用人脸识别技术收集进院人员的信息,可通过健康码/场所码审查、体温测量等替代措施达到疫情防控目的。如必须使用人脸识别技术,建议仅收集体温信息,并对面部识别特征进行模糊化处理,避免收集高清面部识别信息。同时,及时删除所收集的个人信息,例如,进院人员经过检测,体温正常,健康码绿码,则其人脸信息应即可删除,避免存储不当的法律风险。2、严格遵循个人信息处理规定,加强对人脸信息收集的告知,包括收集目的、必要性以及个人权益的影响以及保护性措施等事项,并取得被收集人同意;收集目的合法、正当和必要,不得过度收集,并限于实现处理目的的最小范围;疫情防控目的达到,应及时删除,不得转让、买卖和非法使用;涉及对外合作的,应在合作协议中明确约定第三方公司及时删除所收集的人脸信息,并作“永久不得恢复”的技术处置。 综上,基于个人信息保护需要,建议医疗机构不用或慎用人脸识别系统,避免过度收集个人信息,增加医疗机构法律风险。(刘春林,四川闰则律师事务所律师)
(责任编辑:dawenwu)
医疗机构使用高清人脸测温系统,有无风险?
778
