新法速递 | 人脸识别支付领域个人信息保护新标准
点击关注“数据与电商研究室”
编者按
5月23日,全国信息安全标准化技术委员会发布了《网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求(征求意见稿)》(以下简称“指南”),面向社会公开征求意见。《指南》特别针对人脸识别支付场景,分别就支付场景下的不同处理者提出了个人信息保护的具体要求。
一、新法导读
《指南》在《GB/T 40660 信息安全技术 生物特征识别信息保护基本要求》(以下简称“GB/T 40660”)以及《GB/T 41819 信息安全技术 人脸识别数据安全要求》(以下简称“GB/T 41819”)基础上,将处理者划分为服务提供者和场所管理者,从人脸信息收集、使用和处置,人脸识别设备联网、安置场所等角度,提出了较为细致的合规参考。
01 /
在基本要求方面
《指南》明确,GB/T 41819作为支付场景下人脸识别数据安全保护的基本安全保护标准。
02 /
在服务提供方的安全要求方面
《指南》规定了收集人脸数据开始时间和停止时间:1)开始时间:在人工做出点击等明确交互动作后开始收集数据;2)停止时间:人脸识别完成后或开始收集数据一分钟后,应停止收集数据。
符合GB/T 40660要求的人脸识别注册数据;根据GB/T 40660,仅能存储生物特征识别信息的摘要信息,且摘要信息通常具有不可逆性; 结果信息;
重大故障调试数据,不能包含未经授权的个人信息。
03 /
在场所管理方的安全要求方面,如自动售卖机所在地的场所管理方
《指南》规定了单一组织内部提供的人脸识别支付场景的网络接入要求:在单一组织的场景下,人脸支付宜搭建在局域网中,不接入到互联网。 《指南》和法律法规中并未明确何为“单一组织”,基于《指南》对“单一组织”的要求,我们理解单一组织可能是指在一个独立的场所内仅有的一家从事生产经营活动的企业或单位。具体有待《指南》作出进一步的解释说明。
设置显著标识等方式,使不愿意被收集人脸识别数据的个人可以提前避开;
避开重要敏感区域,如政府办公区出入口、军事管理区、人流或车流密集区域等重要区域,更衣室、洗手间等敏感区域。
二、简评
《指南》对支付场景下,个人信息处理者在人脸识别信息收集、处理、删除、存储等方面作出了针对性的规定,对个人信息处理者提出了较高的合规义务标准。
值得特别关注的是,《指南》对还专门针对此类设备的场所管理者提出了具体的安全要求,场所管理者作为敏感个人信息处理设备的管理方,需要对摄像头和接入网络履行相应的安全管理义务。
根据《个人信息保护法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等规定,人脸识别信息应作为敏感个人信息予以保护。虽然《指南》的发布仅针对了支付场景下的人脸信息,我们认为该指南对于其他敏感个人信息,如指纹、声纹、掌纹等的处理也具有借鉴意义。敏感个人信息处理者应按照法定要求履行合规义务,如处理前需获得单独同意以及开展个人信息保护影响评估等。
我们特别提示处理敏感个人信息的有关处理者,《网络数据安全管理条例(征求意见稿)》中规定数据处理者利用生物特征进行个人身份认证的,不得将人脸等生物特征作为唯一的个人身份认证方式。虽然该条例尚未颁布,但此条以及指南中的有关规定无疑是践行处理敏感个人信息所需遵守的“最小、必要”原则的合理范围。
《指南》全文:
(点击可查看大图)
点击下方“阅读原文”,可获取《指南》全文
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
往期文章
本期编辑:高维钊 王梦迪 陈雨婕
长按二维码一键关注
期待您的“赞”和“分享”