刷臉支付新規(guī)將發(fā)布-當(dāng)前關(guān)注

5月23日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——人臉識別支付場景個(gè)人信息保護(hù)安全要求（征求意見稿）》（以下簡稱“《人臉支付安全要求》”），正式對外公開征求意見，如有意見或建議，可于2023年6月6日前反饋至全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處。

《人臉支付安全要求》所針對的是室內(nèi)外區(qū)域中的人臉識別支付場景，提出個(gè)人信息保護(hù)要求。不適用于用戶在其自有手機(jī)或其他自有智能移動終端上進(jìn)行的人臉識別支付。

《人臉支付安全要求》顯示，人臉識別支付過程中，出于維護(hù)公共安全、金融安全等目的，按照有關(guān)管理部門明確要求處理的數(shù)據(jù)，應(yīng)僅用于其所規(guī)定的目的，不應(yīng)自行用于與其無關(guān)的活動。

(資料圖)

在服務(wù)提供方的安全要求方面，《人臉支付安全要求》提出，不應(yīng)收集人臉識別期間之外的數(shù)據(jù)：應(yīng)僅在人工做出點(diǎn)擊等明確交互動作后開始收集數(shù)據(jù)；人臉識別完成后或開始收集數(shù)據(jù)一分鐘后，應(yīng)停止收集數(shù)據(jù)。

《人臉支付安全要求》提出，人臉識別支付服務(wù)獲得的人臉相關(guān)數(shù)據(jù)不應(yīng)用于與本次支付過程無關(guān)的目的。

《人臉支付安全要求》提出，不應(yīng)支持導(dǎo)出人臉相關(guān)數(shù)據(jù)的功能。

《人臉支付安全要求》提出，人臉識別支付服務(wù)應(yīng)具備檢測運(yùn)行環(huán)境安全狀態(tài)的能力，發(fā)現(xiàn)不安全時(shí)，應(yīng)采取充分的安全保護(hù)措施或停止運(yùn)行。不安全的環(huán)境如已經(jīng)獲取了root權(quán)限的安卓系統(tǒng)。

除比對結(jié)果、不包含未授權(quán)個(gè)人信息的調(diào)試數(shù)據(jù)、相關(guān)標(biāo)準(zhǔn)的要求數(shù)據(jù)外，《人臉支付安全要求》提出，人臉識別全部過程數(shù)據(jù)應(yīng)在本次人臉識別結(jié)果產(chǎn)生后全部刪除。

《人臉支付安全要求》還對場所管理方有要求。

《人臉支付安全要求》提出，為單一組織內(nèi)部提供服務(wù)的人臉識別支付宜通過在該單位內(nèi)部搭建局域網(wǎng)、不接入互聯(lián)網(wǎng)的形式實(shí)現(xiàn)。

《人臉支付安全要求》提出，人臉識別支付所使用的攝像頭固定朝向某一區(qū)域時(shí)：

1) 應(yīng)通過在該區(qū)域入口設(shè)置顯著標(biāo)識等方式，使不愿意被收集人臉識別數(shù)據(jù)的個(gè)人可以提前避開；

2) 不應(yīng)朝向重要敏感區(qū)域收集人臉數(shù)據(jù)，包括政府辦公區(qū)出入口、軍事管理區(qū)、人流或車流密集區(qū)域等。

標(biāo)簽：