Key Takeaways:
- Kinas lag för skydd av personuppgifter (PIPL), som antogs i augusti 2021, fick stor uppmärksamhet kring omfattningen och omfattningen av skyddet för personlig information, i synnerhet information om ansiktsigenkänning.
- Ansiktsigenkänningsinformation tillhör känslig personlig information och är under det strängaste skyddet av PIPL.
- En studie av över 400 fall av administrativa straff belyser den kinesiska regeringens nuvarande inställning till ansiktsigenkänning och ger ett scenario för att bedöma hur Kinas lag om skydd av personuppgifter skulle tillämpas om fallen skulle inträffa idag.
Kinas personuppgiftsskyddslag (PIPL) offentliggjordes i augusti 2021, vilket fick stor uppmärksamhet åt omfattningen och omfattningen av skyddet för personlig information, särskilt information om ansiktsigenkänning.
Judicial Case Academy of the Supreme People's Court (SPC) i Kina publicerade en artikel på sitt sociala medier -konto för att analysera hur den kinesiska regeringen finner parternas beteende i administrativa fall av olagligt ansiktsigenkänning. Dessa fall kan belysa den kinesiska regeringens nuvarande inställning till ansiktsigenkänning.
Ovanstående artikel, bidragen av Chu Xia (褚 霞), har titeln "Analys och tolkning av 400+ administrativa straffärenden om ansiktsigenkänning".
I. Under vilka omständigheter kommer ansiktsigenkänning att bli föremål för administrativ bestraffning
Med "ansiktsigenkänning" som nyckelord, hämtade författaren 422 administrativa bestraffningar av ansiktsigenkänning genom Wolters Kluwer-databasen.
Alla dessa fall inträffade före offentliggörandet av PIPL.
Bland dem gällde 29 fall personlighetsskydd och fastighetsförsäljningsbranschen.
Enligt besluten i de 29 administrativa straffmålen är de parter som är föremål för administrativ bestraffning alla fastighetsutvecklare.
Orsakerna till deras bestraffning är mestadels för att de använder kameror för ansiktsigenkänning och annan utrustning för att fånga och jämföra besökande konsumenters ansikten för avräkning av relevanta utgifter, till exempel:
(1) Vissa parter underlåter att informera konsumenterna om deras ansiktsinformation.
(2) Även om vissa parter informerar konsumenterna om insamling av ansiktsinformation via anslagstavlor, kan de inte uttryckligen ange syfte, metod och omfattning för insamling och användning.
(3) Även om vissa parter informerar konsumenter om metoden för insamling av ansiktsinformation, kan de inte uttryckligen ange det verkliga syftet och omfattningen av deras insamling och användning, och de får inte heller konsumenternas samtycke.
(4) Även om vissa parter har fått konsumenternas samtycke, misslyckas de med att uttryckligen ange syftet, metoden och omfattningen av deras insamling och användning när de samlar in ansiktsinformation.
Avdelningen för administrativ tillsyn anser att ovanstående handlingar strider mot lagen om skydd för konsumenters rättigheter och intressen (消费者 权益 保护 法), åtgärderna för bestraffning av handlingar som kränker konsumenters rättigheter och intressen (侵害 消费者权益 行为 处罚 办法) och andra relevanta bestämmelser, gör intrång i konsumenters legitima rättigheter och intressen och är därför straffbara enligt lag.
II. Ansiktsigenkänning enligt PIPL
Hur kommer ansiktsigenkänning att behandlas efter offentliggörandet av PIPL?
1. Vad är ansiktsigenkänningsinformation
Ansiktsigenkänningsinformation är en typ av biometriska data.
Enligt artikel 28 i PIPL är biometriska uppgifter, religiös övertygelse, specifika identiteter, medicinsk och hälsovård, finansiella konton, vistelseort och annan information, samt personuppgifter om minderåriga under 14 år, känslig personlig information.
Därför tillhör ansiktsigenkänningsinformation känslig personlig information och är under det strängaste skyddet av PIPL.
2. Hur ska du hantera information om ansiktsigenkänning
(1) Individuellt samtycke
PIPL kräver att personuppgiftsbehandlare ska inhämta samtycke från registrerade innan deras personuppgiftsbehandling. Om känslig information som ansiktsigenkänningsinformation är inblandad krävs individuellt samtycke från den registrerade. Dessutom kan lagar och administrativa föreskrifter till och med föreskriva att processorn måste begära skriftligt samtycke från individen i fråga.
(2) Korrekt anmälan
PIPL kräver att personuppgiftsbehandlare före behandlingen av personuppgifter ska sanningsenligt, korrekt och heltäckande informera individer om följande frågor på ett iögonfallande sätt och lättförståeligt språk:
(i) Personuppgiftsbehandlarens identitet;
(ii) Syftet och metoden för behandling av personuppgifter, typen av person
information som behandlas och lagringsperioden;
(iii) Sätt och förfaranden för individer att utöva de rättigheter till radering och åtkomst som anges i PIPL;
(iv) Andra frågor som ska meddelas enligt lagar och administrativa föreskrifter
Vid behandling av känslig personlig information ska personuppgiftsbehandlaren också informera individen om behovet av att behandla känslig personlig information och dess inverkan på personliga rättigheter och intressen.
3. Hur kan parterna i de nämnda fallen följa lagen
Enligt PIPL bör sådana fastighetsutvecklare informera konsumenterna om:
i) deras samling av konsumenters ansiktsigenkänningsinformation.
(ii) insamlingssyftet, dvs. att upprätta en fil över potentiella konsumenter, för att analysera konsumenternas köpvillighet.
(iii) nödvändigheten av insamling av ansiktsigenkänning, det vill säga att sätta ett högre pris för konsumenter med stark köpvillighet.
Under sådana omständigheter skulle inga konsumenter vara okloka nog att tillåta fastighetsutvecklare att samla in sin ansiktsigenkänningsinformation.
Därför ger de 29 administrativa straffmålen oss ett scenario för att bedöma hur PIPL skulle gälla i Kina om fallen skulle inträffa idag.
Detta innebär också att om PIPL strikt implementeras kommer sådana löjliga omständigheter för missbruk av personuppgifter inte längre att finnas.
Foto: Yaopey Yong on Unsplash
Medverkande: Guodong Du 杜国栋