(网经社讯)5月23日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求(征求意见稿)》(以下简称“《人脸支付安全要求》”),正式对外公开征求意见,如有意见或建议,可于2023年6月6日前反馈至全国信息安全标准化技术委员会秘书处。
《人脸支付安全要求》所针对的是室内外区域中的人脸识别支付场景,提出个人信息保护要求。不适用于用户在其自有手机或其他自有智能移动终端上进行的人脸识别支付。
《人脸支付安全要求》显示,人脸识别支付过程中,出于维护公共安全、金融安全等目的,按照有关管理部门明确要求处理的数据,应仅用于其所规定的目的,不应自行用于与其无关的活动。
在服务提供方的安全要求方面,《人脸支付安全要求》提出,不应收集人脸识别期间之外的数据:应仅在人工做出点击等明确交互动作后开始收集数据;人脸识别完成后或开始收集数据一分钟后,应停止收集数据。
《人脸支付安全要求》提出,人脸识别支付服务获得的人脸相关数据不应用于与本次支付过程无关的目的。
《人脸支付安全要求》提出,不应支持导出人脸相关数据的功能。
《人脸支付安全要求》提出,人脸识别支付服务应具备检测运行环境安全状态的能力,发现不安全时,应采取充分的安全保护措施或停止运行。不安全的环境如已经获取了root权限的安卓系统。
除比对结果、不包含未授权个人信息的调试数据、相关标准的要求数据外,《人脸支付安全要求》提出,人脸识别全部过程数据应在本次人脸识别结果产生后全部删除。
《人脸支付安全要求》还对场所管理方有要求。
《人脸支付安全要求》提出,为单一组织内部提供服务的人脸识别支付宜通过在该单位内部搭建局域网、不接入互联网的形式实现。
《人脸支付安全要求》提出,人脸识别支付所使用的摄像头固定朝向某一区域时:
1) 应通过在该区域入口设置显著标识等方式,使不愿意被收集人脸识别数据的个人可以提前避开;
2) 不应朝向重要敏感区域收集人脸数据,包括政府办公区出入口、军事管理区、人流或车流密集区域等。