医疗机构使用人脸识别系统 潜在法律风险引发社会关注

近年来，为提高就医便利，缩短就诊排队挂号流程，提升预警安防能力，各地医疗机构相继使用人脸识别系统。随着人脸识别技术在医疗机构的广泛应用和个人信息保护立法的不断完善，使用人脸识别系统潜在的法律风险引发社会关注。基于此，笔者拟就医疗机构人脸识别可能面临的法律风险进行提示，并提出防范建议。

一、人脸识别的法律属性

人脸识别是指通过机器或设备对静态或视频中的人脸图像进行特征提取、分类识别，以实现身份识别目的，具有身份验证和监控两大功能。人脸识别是对自然人面部特征这类生物信息进行收集、鉴别，属于生物识别信息。根据《民法典》第1034条第2款规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。故人脸识别属于个人信息，故其运用应受到个人信息保护规定的约束。

二、人脸识别的法律风险

1、个人信息泄露。人脸识别属于个人生物识别信息，个人信息收集和使用过程中存在个人信息泄露的风险(如倒卖、身份认证破解、病毒、黑客等)，从而危害被识别者财产安全，且人脸识别信息属于生物信息，一旦泄露，不可逆转，影响终生。

2、财产安全。医疗机构与第三方公司合作，采用人脸识别技术缩短患者身份识别时间，并存储了大量数据，如数据存储、传输等环节因技术或其他因素导致信息泄露，通过破解身份认证，解除支付信息限制，则可引起不当支付，进而导致财产损失，影响被识别者财产安全。此外，对于医疗机构，未经被识别者同意，获取其个人信息，如不当使用或泄露，可能构成侵权，进而承担相应的法律责任，同时，人脸识别技术使用单位的社会评价可能会受影响。

3、行政风险。国家明确对个人信息合法权益进行法律保护，并加强地方立法，如天津市人大常委在2020年12月1日通过的《天津市社会信用条例》第16条规定，市场信用信息提供单位采集自然人信息的，应当经本人同意并约定用途，法律、行政法规另有规定的除外。市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。故医疗机构在采用人脸识别技术时，需注意技术安全、信息保管和使用安全，否则可能面临行政法律风险。

4、刑事风险。医疗机构作为人脸识别技术的应用单位，虽非技术提供单位，但作为运营单位，如未经被识别者同意，而向第三人提供其面部识别特征，情节严重的，则可能构成侵犯公民个人信息罪。

三、合规建议

1、充分告知，尊重被识别者知情并取得其同意。医疗机构应慎重采用人脸识别技术，需对人脸识别系统投入和维护成本与诊疗便捷和安全效益间的匹配度进行评估。采集被识别者信息前需就采集目的、使用范围、保存方式、存储时间等规则进行告知，并取得被识别者同意。此外，被识别者有权拒绝“刷脸”来实现就诊目的，如被识别者拒绝“刷脸”，则医疗机构需提供拒绝“刷脸”的替代性选择或方式。

2、强化技术安全和维护，避免信息泄露。(1)人脸识别系统引入前，医疗机构需查验技术提供单位的经营资质和技术资质，包括地方特别许可或备案材料。(2)人脸识别系统使用中，医疗机构可委托第三方独立机构定期检测，并定期向主管部门备案，并将此纳入日常管理范畴。(3)优化安全技术，妥善保管被识别者的个人信息。(4)在采购人脸识别系统前应对供应商进行调查，是否签署保密协议，是否有境外股东，避免个人信息境外传输风险。

3、加强内部人员管理，完善信息安全管理制度。(1)强化信息人员技术培训和岗位职责管理，涉及信息管理工作人员均需签订保密协议，避免因管理不规范，出现人脸识别系统技术人员盗窃、泄露、非法使用、非法提供等情形，而承担相应的法律责任。(2)完善信息收集、存储和使用的管理流程，依法收集，限定个人信息使用范围，即与医疗机构诊疗服务和安全预警等业务功能具有直接关联。(3)个人信息存储时间最小化，超出存储期限，及时删除或匿名化处理，同时，人脸识别信息与个人身份信息分开存储。(4)限制被识别者个人信息使用人员的权限，如访问时间、范围等事项，其中，对个人信息的重要操作(如批量拷贝、下载等事项)设置内部审批程序。

4、加强个人信息相关法律规范的学习和培训，熟悉不同场景下，不当使用或披露个人信息的法律后果。同时，对个人信息保护政策和相关行业规范进行了解，熟悉适用规则，降低或避免个人信息收集、保管、传输和应用中的法律风险。