基于生物特征识别认证方式对应2020版《个人信息安全规范》的解读-1

2021年9月28日 3点热度 0条评论 来源: 身份认证

2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称“新版规范”)正式发布,并将于2020年10月1日实施。

新版规范以《GBT 35273-2017信息安全技术 个人信息安全规范》(以下简称“旧版规范”)为基础,同时结合或参考了《App违法违规收集使用个人信息行为认定方法》《信息安全技术-个人信息告知同意指南(征求意见稿)》《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》等文件。

首先 个人生物识别信息:个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等; 生物特征是明确属于个人敏感信息;

区别 个人敏感信息 一般个人信息
收集 明示同意 授权同意
个人隐私保护政策 涉及个人敏感信息的,需明确标识或突出显示 无特别要求
传输存储 应采用加密等安全措施 无特别要求
权限控制 宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。 重要操作才需授权
共享 明示同意;告知内容增加了的个人敏感信息类型、数据接收方的身份和数据安全能力; 授权同意
公开披露 告知内容增加个人敏感信息的内容 无需告知信息内容
信息安全事件 泄露即需告知 严重危害的才需告知

其次如存在多项业务功能,无论是基本业务功能还是扩展业务功能,即使全部是基本业务功能,也要进行拆分,在用户实际开始使用特定业务功能时,才能索取用户授权并开始收集相应的个人信息,不能预先一次性索取授权。

适用新规则的后果就是,隐私政策在告知同意中的作用被进一步削弱,当前主要依赖用户注册时通过隐私政策一揽子获得用户同意的做法难以为继,企业不得不越来越多地依赖弹窗等多层次、碎片化的告知同意机制,产品设计更加复杂。

关键点: 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;

明示同意 explicit consent
个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。

新版规范5.3规定的逐项告知是以业务功能为维度的。存在多项业务功能时,需在用户开启各项具体业务功能时逐项告知。而本条针对生物识别信息规定的单独告知则是以信息类型为维度的,即只要涉及个人生物识别信息,则需单独告知。如果控制者收集的个人生物识别信息同时涉及多项业务功能,则应该在单独告知之后再按业务功能逐项告知。

在实践中,个人信息保护政策通常将信息存储时间表述为“实现目的所必需的最短时间”。对生物识别信息而言,这种写法曾遭到监管机构的质疑。APP治理工作组在《观察 | 没有了选择权和知情权,人脸识别还值得信任吗?》一文中提到,“核验发现,绝大部分相关App只在隐私政策中笼统提及‘个人信息的保存将在法律法规要求的最短保存限期内,当超出上述保存期限,会对其进行匿名化处理’,对于用户关心的人脸信息是否会留存原始图像信息,留存多长时间,使用范围如何,是否向第三方提供,采取了何种安全措施等均是只字不提。”

鉴于上述意见,对于个人生物识别信息的存储期限,可适当细化表述为“在实现XXX功能之后便立即删除”,其法律内涵与“实现个人信息主体授权使用的目的所必需的最短时间”一致,但应更加具体明确。

什么情况是不违规的利用指纹人脸等生物特征呢?

c) 原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:

  1. 仅存储个人生物识别信息的摘要信息;

2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;

依据新版规范3.5注2,如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于收集。因该种处理方式下,个人信息未曾传至产品或服务提供者服务器,不构成收集行为。据此,如在终端本地使用个人生物识别信息实现身份识别、认证等功能,不属于收集行为,不承担控制者责任

    原文作者:身份认证
    原文地址: https://blog.csdn.net/qq_41673946/article/details/106978003
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系管理员进行删除。