立即咨询
申请合作
咨询
咨询
姓名:{{@detail.name}}
手机:{{@detail.iphone}}
扫码咨询国家标准征求意见稿出台,刷脸支付的安全性更加标准化
2021-04-27
近年来,刷脸支付一直是社会上的热议话题。在没有告知当事人的情况下获取人脸数据,“强制”人脸识别的报道屡见不鲜,这也引发了人们关于“刷脸支付到底有没有使用必要性”的深思。
4月23日,《信息安全技术人脸识别数据安全要求》国家标准(以下简称“国标”)的征求意见稿的面向社会公开征求意见。
此次拟出台的国标主要为解决人脸数据滥采,泄露或丢失,以及过度存储、使用等问题,对于《个人信息保护法》草案中人脸识别相关的规定也有一定的体现和细化。
国标要求,收集人脸识别数据时应征得数据主体明示同意,不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。同时,应提供除人脸识别外的其他身份识别方式供用户选择,不应因用户不同意收集人脸识别数据而拒绝数据主体使用基本业务功能等。
此外,还对进行人脸识别的开发商提出了技术资质门槛,要求其具备相应的数据安全防护和个人信息保护能力,以防范人脸识别被“活照片”等非法破解。
需明示同意,只用于身份识别
编制说明指出,人脸识别在金融、交通、人社、医疗等等行业均得到广泛的落地应用,创造了巨大的社会以及经济价值。但同时,人脸识别信息不易改变,一旦丢失可能永远失去,是个人敏感信息的一种。“由于相关标准规范缺失,人脸识别数据滥采、存储、使用方面没有明确的安全要求,造成安全防护措施薄弱,未经用户明确授权或超范围使用人脸信息的情况普遍存在挑战。”
因此,国标的制定主要为解决人脸数据滥采,泄露或丢失,以及过度存储、使用等问题,适用于数据控制者安全开展人脸识别数据相关业务。
国标要求,收集人脸识别数据时,应向数据主体告知收集目的、数据类型和数量、处理方式、存储时间等规则,并征得数据主体的明示同意。只有在非人脸识别方式安全性或便捷性显著低于人脸识别方式(如机场、火车站进行人证比对等)情况下,方可开展人脸验证或人脸辨识;人脸识别数据不应用于除身份识别之外的其他目的,如评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。
此外,国标规定在公共场合收集人脸识别数据时,应设置数据主体主动配合(指要求数据主体直视收集设备并做出特定姿势、表情,或者通过标注“人脸识别”的专用收集通道等)人脸识别的机制。该规定可有效防范人脸数据在不知情的时候被收集,保障数据主体的知情同意权。
为防范此前媒体多次报道的利用“活照片”破解刷脸的技术,国标对进行人脸识别的企业或开发商的资质也提出了要求。国标规定,数据控制者应具备相应的数据安全防护和个人信息保护能力,能够防护呈现干扰攻击。呈现干扰攻击主要包括使用人脸照片、纸质面具、人脸视频、人脸合成动画、仿真人脸三维面具等攻击和干扰人脸识别。
不得强制刷脸,存储需书面授权
4月9日,全国“人脸识别第一案”迎来终审判决。21世纪经济报道此前报道,原告郭兵因不满动物园将入园方式由指纹识别变更为人脸识别,且不允许未进行人脸激活的客户正常入园,将野生动物世界告上法庭。杭州中院最终判决野生动物世界赔偿郭兵1038元,同时删除郭兵面部特征信息和指纹识别信息。
现实中,类似“未进行人脸激活的客户无法正常入园”的强制人脸识别情况时有发生,国标对此也有相应规定。如要求同时提供除人脸识别外的其他身份识别方式,让数据主体选择使用, 不应因数据主体不同意收集人脸识别数据而拒绝数据主体使用基本业务功能等。
即使数据主体授权了人脸识别,依据国标规定,仍能在明示停止使用功能、服务,或撤回授权等情况下,要求数据控制者删除人脸识别数据或进行匿名化处理。人脸识别数据原则上不应共享、转让,若因业务确需如此,则应按照相关规定开展安全评估,并单独告知数据主体共享或转让的目的、接收方身份、接收方数据安全能力、数据类别、可能产生的影响等相关信息,征得数据主体的书面授权。
针对刷脸支付是否有使用必要的这个问题,小编认为:刷脸支付的诞生代表着我国移动支付迈向一个新纪元,有了更进一步的突破,这对于社会而言是有积极意义的。因此对于刷脸支付的发展,不应一刀切。
相关场所不应该强制要求人们进行刷脸支付,而是应该将刷脸支付作为一种新模式供人们选择,可以呼吁使用刷脸支付,但不应强制;人们也不应该无视刷脸支付的存在必要,对刷脸支付存在抵触。
相信在国标征求意见出台以后,刷脸支付在社会上的发展会更加合理化、标准化,它的“成长之路”也会更加顺遂。
编辑:网付官方(刷脸支付专题页:https://www.163.gg)
本文为作者独家原创,转载请注明出处,违者必究
浙江省-温州市望江东路迎潮大厦A幢2层
400-8080-858 或 0577-86666610