为指导各相关方加强对人脸识别支付场景下的个人信息保护,全国信息安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求(征求意见稿)》。根据《全国信息安全标准化技术委员会<网络安全标准实践指南>管理办法(暂行)》要求,秘书处现组织对《网络安全标准实践指南—人脸识别支付场景个人信息保护安全要求(征求意见稿)》面向社会公开征求意见。《意见稿》中提到:人脸识别支付过程中,出于维护公共安全、金融安全等目的,按照有关管理部门明确要求处理的数据,应仅用于其所规定的目的,不应自行用于与其无关的活动。
a) 不应收集人脸识别期间之外的数据:应仅在人工做出点击等明确 交互动作后开始收集数据;人脸识别完成后或开始收集数据一分 钟后,应停止收集数据。b)人脸识别全部过程数据应在本次人脸识别结果产生后全部删除, 以下数据除外:1)符合 GB/T 40660 要求的人脸识别注册数据;2) 人脸比对是否成功的结果信息;3)人脸支付出现重大故障时的调试数据,但不包含未经授权的个 人信息。c)人脸识别支付服务获得的人脸相关数据不应用于与本次支付过程无关的目的。 e) 人脸识别支付服务应具备检测运行环境安全状态的能力,发现不安全时,应采取充分的安全保护措施或停止运行。来源:全国信安标委