电子说
APP收集和使用人脸信息如何落实最小、必要原则?
11月26日,电信终端产业协会官网公布了《APP收集使用个人信息最小必要评估规范总则》,并于当日开始实施。
该总则指出,随着移动应用种类和数量呈爆发式增长,APP侵害用户权益事件层出不穷,个人信息保护态势愈加严峻,如何保护用户个人信息,尤其是人脸、通讯录、短信、位置、图片等个人敏感信息受到国家和社会公众高度关注。APP收集使用个人信息最小必要评估旨在对移动互联网行业收集使用用户人脸、通讯录、短信、位置、图片等个人敏感信息进行规范,落实最小、必要的原则。
所谓“最小、必要”原则,指的是处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。
其中备受关注的,是APP对用户人脸信息的收集与使用,该系列标准中的《收集使用个人信息最小必要评估规范 人脸信息》对此做出了详细规定。
《收集使用个人信息最小必要评估规范 人脸信息》的引言写道,随着移动通信技术的快速发展,移动互联网应用正逐渐渗透到人们生活、工作的各个领域,个人信息安全问题成各方关注的重点。越来越多移动应用软件使用人脸识别实现场景体验、账户登录、移动支付等功能,人脸信息是用户个人信息的重要部分。
目前行业中尚未有从APP收集使用人脸信息必要性出发的最小化评估规范,缺乏统一的标准。基于上述考虑,提出本文件,旨在对移动互联网行业收集使用用户人脸信息进行规范,落实最小、必要的原则,进一步促进移动互联网行业的健康稳定发展。
该标准对人脸信息的收集、存储、使用和删除做出要求。
收集方面,标准提出不应强制或欺骗误导人脸信息主体进行人脸识别,当人脸信息主体不进行人脸识别时,不应禁止人脸信息主体的正常使用,仅可停止访问人脸识别相关功能,法律法规要求的除外。
收集人脸信息应遵循“最小必要”原则,收集前应通过隐私协议等方式向人脸信息主体告知以下信息:收集、使用人脸信息的目的、方式、类型和范围,以及授权存储时间等规则;收集的人脸信息处理方式的描述,如:仅本地收集、远程核身等;控制者的联系信息,至少包括的信息有:组织机构信息、联系方式;人脸信息主体实现查看、修改、删除其人脸信息以及撤回其授权同意的方式。
存储方面,应将人脸信息与人脸信息主体的身份信息分开存储;人脸模板应进行加密存储,并采用授权访问方式读取;应只存储满足人脸信息主体授权同意的目的所需的最少人脸信息。
使用方面, 不应基于人脸信息生成用户画像,且不应基于人脸信息进行定向推送;在对人脸信息的操作完成后,应对操作过程中产生的临时数据及时清除并确保不可恢复;不应共享或转让人脸信息。
删除方面,在以下条件满足其中之一时,应及时对人脸信息进行删除处理:1)超出授权同意的人脸信息存储期限;2)超出业务所必需地使用人脸信息;3)法律法规规定的存储期限已经届满。APP提供的删除方法或途径应便于人脸信息主体查找和操作;不应设置不合理的删除条件,如仅提供现场办理、要求人脸信息主体填写精确的历史操作记录等。
电信终端产业协会是由中国信息通信研究院联同国内电信运营商、电信终端设备制造商、系统设备制造商、认证检测机构和研究机构共同发起的自愿性、非盈利的国家级社会组织,主管单位为工业和信息化部。
《APP收集使用个人信息最小必要评估规范 人脸信息》称,本标准规定了移动应用软件对人脸信息的收集、使用、存储、销毁等活动中的最小必要规范和评估方法,并通过个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。本标准适用于移动互联网应用软件提供者规范用户个人信息中的人脸信息的处理活动,也适用于主管监管部门、第三方评估机构等组织对移动互联网应用程序收集图片信息行为进行监督、管理和评估。
责任编辑:PSY
全部0条评论
快来发表一下你的评论吧 !