5月23日，全國信息安全標準化技術委員會秘書處發(fā)布《網(wǎng)絡安全標準實踐指南——人臉識別支付場景個人信息保護安全要求（征求意見稿）》（以下簡稱“《人臉支付安全要求》”），正式對外公開征求意見，如有意見或建議，可于2023年6月6日前反饋至全國信息安全標準化技術委員會秘書處。

《人臉支付安全要求》所針對的是室內外區(qū)域中的人臉識別支付場景，提出個人信息保護要求。不適用于用戶在其自有手機或其他自有智能移動終端上進行的人臉識別支付。

《人臉支付安全要求》顯示，人臉識別支付過程中，出于維護公共安全、金融安全等目的，按照有關管理部門明確要求處理的數(shù)據(jù)，應僅用于其所規(guī)定的目的，不應自行用于與其無關的活動。

(資料圖)

在服務提供方的安全要求方面，《人臉支付安全要求》提出，不應收集人臉識別期間之外的數(shù)據(jù)：應僅在人工做出點擊等明確交互動作后開始收集數(shù)據(jù)；人臉識別完成后或開始收集數(shù)據(jù)一分鐘后，應停止收集數(shù)據(jù)。

《人臉支付安全要求》提出，人臉識別支付服務獲得的人臉相關數(shù)據(jù)不應用于與本次支付過程無關的目的。

《人臉支付安全要求》提出，不應支持導出人臉相關數(shù)據(jù)的功能。

《人臉支付安全要求》提出，人臉識別支付服務應具備檢測運行環(huán)境安全狀態(tài)的能力，發(fā)現(xiàn)不安全時，應采取充分的安全保護措施或停止運行。不安全的環(huán)境如已經(jīng)獲取了root權限的安卓系統(tǒng)。

除比對結果、不包含未授權個人信息的調試數(shù)據(jù)、相關標準的要求數(shù)據(jù)外，《人臉支付安全要求》提出，人臉識別全部過程數(shù)據(jù)應在本次人臉識別結果產(chǎn)生后全部刪除。

《人臉支付安全要求》還對場所管理方有要求。

《人臉支付安全要求》提出，為單一組織內部提供服務的人臉識別支付宜通過在該單位內部搭建局域網(wǎng)、不接入互聯(lián)網(wǎng)的形式實現(xiàn)。

《人臉支付安全要求》提出，人臉識別支付所使用的攝像頭固定朝向某一區(qū)域時：

1) 應通過在該區(qū)域入口設置顯著標識等方式，使不愿意被收集人臉識別數(shù)據(jù)的個人可以提前避開；

2) 不應朝向重要敏感區(qū)域收集人臉數(shù)據(jù)，包括政府辦公區(qū)出入口、軍事管理區(qū)、人流或車流密集區(qū)域等。

標簽：