人脸识别技术不断推广 金融机构该如何合规?
移动支付网2020/10/14 17:38:10

购物看一下摄像头就能完成支付,住酒店刷脸后才能登记,上公厕用厕纸也得刷个脸才能取。不知何时开始,人脸识别技术开始逐渐在我们的生活中不断普及,但也引来不少争议。有些地方甚至半强制推行,加剧了人们对隐私泄露的担忧。

最近北京某小区物业在未征求住户意见的情况下安装了人脸识别门禁引起了在网上引起了热议,清华大学法学院教授劳东燕表示,她曾反对小区安装人脸识别设施,认为未经同意收集人脸数据,违反法律规定。

类似的问题并不在少数。今年8月,中央网信办等部门表示,针对面部特征等生物特征信息收集使用不规范等重点问题,App专项治理工作组将开展专题研究和深度检测。

国庆前夕,App专项治理工作组配合2020年国家网络安全宣传周特别节目对部分App应用人脸识别技术过程中的典型问题进行曝光和分析。

其中,涉及的问题具体包括:

1、某刷脸解锁手机App存在“反复明文传输人脸图片”“未提供注销账号等渠道支持用户删除人脸信息”“使用照片即可通过刷脸核验”等现象和问题。

问题1:人脸信息明文传输,且每次刷脸解锁均会反复上传。

问题2:人脸识别可靠性差,录入人脸信息后,使用翻拍照片即可轻易破解。

问题3:隐私政策中对收集人脸信息等敏感的个人生物识别信息收集使用规则未做任何说明,用户无法通过注销机制删除上传的人脸信息。

近期,小区强制安装人脸识别的话题被大家所密切关注,很多人表示了对人脸数据是否能被安全存储、使用方面的担忧,App专项治理工作组在对部分使用了人脸识别的智慧社区App进行检测后发现:

2、某智慧社区App存在“人脸等图片明文传输且可被互联网公开访问”“人脸等个人信息可被互联网公开渠道批量下载”等现象和问题。

问题1:用户为开通刷脸开门输入的小区、房间、身份证、人脸等个人信息明文上传,且能被明文访问。

问题2:数据传输接口缺乏安全措施,可以从互联网批量下载用户人脸等信息。

除以上典型案例,检测评估过程中还发现,某些App在使用人脸识别技术时,还存在以下问题:

3、某粉丝追星社区App存在“强制要求用户使用人脸识别”“传输身份证等图片且可被互联网公开访问”“未提供注销账号等渠道支持用户删除人脸信息”等现象和问题。

问题1:强制收集人脸信息和身份证照片,打开App后,需要强制进行实名认证和人脸识别,否则无法正常使用。

问题2:实名认证过程,身份证照片(含人脸)被传输到多个不同的服务器中,且身份证照片(含人脸)上传服务器后,可被互联网直接访问。

问题3:在App隐私政策里面,未说明收集人脸信息、身份证照片等信息的规则,无法撤回被收集的人脸信息,无法进行账户注销。

App专项治理工作组认为,近年来,涉及个人信息保护的规则细化、执法监管、治理倡议等方面动作频繁,不断加强个人信息保护已经成为了有关部门高度重视并持续开展的重点工作。

人脸信息作为其个人信息中最为敏感的一类“个人生物识别信息”,更是应该成为重点关注和保护的对象,进一步以立法立规、制定标准等方式对人脸识别技术应用安全加以引导,将是切实保障公民合法权益的明智之举。

目前,全国信息安全标准化技术委员会(TC260)新修订发布的GB/T 35273-2020《个人信息安全规范》中,对人脸信息等生物识别信息保护提出“增强型”要求。《生物特征识别信息保护要求》、《人脸识别数据安全要求》等已经在信安标委重点制定的标准之列。

在这个数字时代,人脸识别技术应用的边界在哪里?安全风险具体有哪些?监管趋向如何?

11月3日,由北京金融科技产业联盟、移动支付网联合主办的“2020第五届中国金融科技安全大会”将在深圳举行。App专项治理工作组专家何延哲将以《App使用人脸识别技术的合规关注点》为题进行分享。

何延哲,中国电子技术标准化研究院信安中心测评实验室副主任,长期从事个人信息保护、数据安全、云计算等方面国家标准等的研制、试点和相关检测评估工作,是《个人信息安全规范》《个人信息安全影响评估》《个人信息告知同意指南》等国家标准主要编制人。2019年起,在中央网信办、工信部、公安部、市场监管总局联合指导的App违法违规收集使用个人信息专项治理工作组担任技术专家。


展开全文
相关阅读
资讯查询取消