随着我们用户量的提升与人脸开门的普及,我们主动邀请第三方公司进行了人脸识别技术合规性评估,以确保我们的人脸识别技术在合规的前提下为用户提供更好的体验。该文章非各行业通用业务场景的合规性评估经验,仅供参考。
告知与同意
是否就人脸信息处理活动单独取得个人的同意,是否通过一揽子告知同意等方式征得个人同意
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《个人信息保护法》
是否针对不满十四周岁的未成年人设置专门的数据处理规则和政策,且内容表述清晰、易懂
依据
《个人信息保护法》第 31 条
《儿童个人信息网络保护规定》第 8 条
线下场景录入人脸信息时是否完成了有效的告知并获取信息主体单独同意
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《个人信息保护法》建议
要求收集方在收集用户人脸识别信息时对该类信息的处理规则、目的等内容进行告知说明,方式可通过纸质协议模版/二维码链接+手写/勾选同意项.
是否使用人脸识别方式对不满十四周岁的未成年人进行身份识别
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《信息安全技术 人脸识别数据安全要求》建议
在录入未成年人人脸时可以由其监护人录入,或有相应告知监护人同意的流程
是否采用格式条款与自然人订立合同,要求自然人授予其无期限限制、不可撤销、可任意转授权等处理人脸信息的权利
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
是否存在除用户同意以外的例外情形
依据
《个人信息保护法》
是否公开处理人脸信息的规则或明示处理的目的、方式、范围;
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《APP 收集使用个人信息最小必要评估规范人脸信息》
收集人脸信息前是否通过隐私协议等方式向人脸信息主体告知同意
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《APP 收集使用个人信息最小必要评估规范人脸信息》
《网络安全法》第 41 条(经被收集者同意)
《民法典》第 1035 条(征得该自然人或者其监护人同意)
《消费者权益保护法》第 29 条(经消费者同意)
《个人信息保护法》
是否在人脸隐私协议中向人脸信息主体告知人脸信息存储时间
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《APP 收集使用个人信息最小必要评估规范人脸信息》
《网络安全法》第 41 条(经被收集者同意)
《民法典》第 1035 条(征得该自然人或者其监护人同意)
《消费者权益保护法》第 29 条(经消费者同意)
《个人信息保护法》第 17 条建议
在人脸隐私协议中向人脸信息主体告知不同情况下人脸信息存储时间
是否在人脸隐私协议中向人脸信息主体告知人脸信息处理方式
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《APP 收集使用个人信息最小必要评估规范人脸信息》
《网络安全法》第 41 条(经被收集者同意)
《民法典》第 1035 条(征得该自然人或者其监护人同意)
《消费者权益保护法》第 29 条(经消费者同意)
《个人信息保护法》第 17 条建议
在人脸隐私协议中向人脸信息主体告知人脸信息处理方式为仅本地或远程识别
是否在人脸隐私协议中向人脸信息主体告知运营者的联系信息
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《APP 收集使用个人信息最小必要评估规范人脸信息》
《网络安全法》第 41 条(经被收集者同意)
《民法典》第 1035 条(征得该自然人或者其监护人同意)
《消费者权益保护法》第 29 条(经消费者同意)
《个人信息保护法》第 17 条
是否在人脸隐私协议中向人脸信息主体告知人脸信息主体实现查看、修改、删除其人脸信息以及撤回其授权同意的方式
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《APP 收集使用个人信息最小必要评估规范人脸信息》
《网络安全法》第 41 条(经被收集者同意)
《民法典》第 1035 条(征得该自然人或者其监护人同意)
《消费者权益保护法》第 29 条(经消费者同意)
《个人信息保护法》建议
在人脸隐私协议中向人脸信息主体告知人脸信息主体实现查看、修改、删除其人脸信息以及撤回其授权同意的方式
是否在人脸隐私协议中向人脸信息主体告知人脸信息安全的责任部门的联系方式
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《APP 收集使用个人信息最小必要评估规范人脸信息》
《网络安全法》第 41 条(经被收集者同意)
《民法典》第 1035 条(征得该自然人或者其监护人同意)
《消费者权益保护法》第 29 条(经消费者同意)
《个人信息保护法》
是否超过向人脸信息主体告知同意的范围收集人脸信息
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《APP 收集使用个人信息最小必要评估规范人脸信息》
是否在人脸信息主体拒绝使用人脸识别功能或服务后,频繁提示以获取人脸信息主体对人脸识别方式的授权同意
依据
《信息安全技术 人脸识别数据安全要求》
是否存在公开披露所收集人脸信息的业务场景,如有,是否征得了用户的单独同意
依据
《个人信息保护法》第 2 条
在人脸信息处理规则发生变化时,是否以适当方式通知信息主体并征得信息主体的同意
依据
《个人信息保护法》
《深圳经济特区数据条例》
《APP 收集使用个人信息最小必要评估规范人脸信息》
向物业/第三方提供其处理的人脸信息,是否告知接收方的名称、联系方式、处理目的方式和个人信息类型
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《APP 收集使用个人信息最小必要评估规范人脸信息》
《网络安全法》第 41 条(经被收集者同意)
《民法典》第 1035 条(征得该自然人或者其监护人同意)
《消费者权益保护法》第 29 条(经消费者同意)
《个人信息保护法》
收集
是否在与合作方的合作协议中明确双方针对个人信息的处理规则,要求客户获得个人信息主体的授权同意
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》建议
在合作协议中明确物业公司/合作方作为数据控制者的应承担的责任以及物业公司/合作方在数据处理环节所承担的角色,包括但不限于数据采集设备的安装位置的选择、如何采集、以及后续数据处理的方式和目的。同时建议对双方责任划分进行约定。
是否同时提供非人脸识别的身份识别方式,并提供数据主体选择使用
依据
《信息安全技术 远程人脸识别系统技术要求》
《信息安全技术 人脸识别数据安全要求》建议
APP 应以明示的方式告知用户提供了多种身份识别方式可以选择。
隐私政策涉及个人敏感信息(人脸信息)的,是否明确标识或突出显示
依据
《个人信息安全规范》(2020) 5.5
人脸隐私政策难以阅读(文字过小过密、颜色过淡、模糊不清、未提供简体中文版等)
依据
《认定方法》第一章第 4 条
《自评估指南》1.4
人脸识别数据不应用于除身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。
依据
《信息安全技术 人脸识别数据安全要求》
首次使用人脸识别技术或者升级人脸识别技术时,是否事先进行个人信息安全影响评估
依据
《个人信息保护法》
《信息安全技术 个人信息安全规范》
《信息安全技术 个人信息安全影响评估指南》
是否对除人脸以外的其他个人敏感信息有个人信息保护影响评估
依据
《个人信息保护法》第 55 条建议
可以自行内部启动评估,但更建议由独立的第三方对企业进行个人信息保护影响评估,具体评估项可参考《个人信息保护法》和《个人信息安全影响评估指南》
用于采集人脸识别数据的设备是否遵循相关标准要求
依据
《信息安全技术 人脸识别数据安全要求》
在公共场合收集人脸识别数据时,是否设置数据主体主动配合人脸识别的机制
依据
《信息安全技术 人脸识别数据安全要求》建议
涉及公共场合收集人脸识别数据时,应当以明显标识说明“人脸识别”的专用收集通道/区域范围。
尽可能在和数据控制者(物业)的合作协议的权利与义务一节中明确公司系受物业方委托并按照其要求安装人脸识别门禁设备,收集人脸识别信息
当人脸信息主体不进行人脸识别时,APP 是否禁止人脸信息主体的正常使用
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《APP 收集使用个人信息最小必要评估规范人脸信息》
是否欺骗误导胁迫人脸信息主体进行人脸识别
依据
《APP 收集使用个人信息最小必要评估规范人脸信息》
在申请收集用户敏感信息(身份证号、银行账号、行踪轨迹等)时,未同步告知用户其目的(或者目的不明确、难以理解)
依据
《认定方法》第二章第 3 条
《自评估指南》2.3建议
App 在要求用户提供个人敏感信息(身份证号、银行账号、行踪轨迹等)时,通过显著的方式同步告知用户其目的,且目的明确、易懂。目的描述可在收集个人敏感信息界面,或在用户同意协议后的下一步弹窗提示。
是否会基于人脸信息生成用户画像
依据
《APP 收集使用个人信息最小必要评估规范人脸信息》
是否会基于人脸信息进行定向推送
依据
《APP 收集使用个人信息最小必要评估规范人脸信息》
是否收集未授权自然人的人脸图像。
依据
在公共场合收集人脸识别数据时,可以有标注“人脸识别”的专用收集通道或其他明显标识等,且提供给公安要有相应证明,对于无公函、政策文件等具有官方背书效力的文件支持的储存行为,应尽快改正,避免仅依照行业惯例自行储存人脸识别信息。
未建立并公布个人信息安全投诉、举报渠道
依据
《认定方法》第六章第 5 条
《自评估指南》1.5
《自评估指南》6.3
存储
是否将人脸信息与人脸信息主体的身份信息分开存储
依据
《APP 收集使用个人信息最小必要评估规范人脸信息》
人脸信息是否采用授权访问方式读取,访问
依据
《APP 收集使用个人信息最小必要评估规范人脸信息》
存储人脸识别比对信息时,是否通过密码技术、假名标识符等方式生成不可逆、可更新的人脸参考,并进行加密存储;
依据
《APP 收集使用个人信息最小必要评估规范人脸信息》
是否只存储满足人脸信息主体授权同意的目的所需的最少人脸信息;
依据
《APP 收集使用个人信息最小必要评估规范人脸信息》
传输
人脸识别是本地验证,在本地完成人脸比对后,是否将人脸信息传输至远程服务器
依据
《APP 收集使用个人信息最小必要评估规范人脸信息》
收集或产生的人脸识别数据是否出境
依据
《数据安全法》第三十一条
是否委托第三方处理个人信息
依据
《个人信息保护法》第 21 条
《APP 收集使用个人信息最小必要评估规范人脸信息》
App 是否使用明文传输个人信息,人脸信息
依据
App 治理工作组 2020.11.13 通报
《APP 收集使用个人信息最小必要评估规范人脸信息》建议
App 在传输个人信息和人脸信息时,应使用 https 协议传输并进行证书效验,且个人敏感信息应加密。
既未经用户同意,也未做匿名化处理,App 直接向第三方(第三方 SDK、插件)提供人脸信息
依据
《认定方法》第五章第 1 条
《自评估指南》5.1
工信部 337 号令第 3 条:“私自共享给第三方”
工信部 164 号令第 3 条:“违规使用个人信息”
App 用户权益保护测评规范 违规使用个人信息
是否共享、转让人脸识别数据。
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《APP 收集使用个人信息最小必要评估规范人脸信息》
删除
客户端是否在完成验证或辨识后立即删除未获得授权的用户的人脸图像
依据
《信息安全技术 人脸识别数据安全要求》
APP 提供的删除方法或途径是否便于人脸信息主体查找和操作
依据
《APP 收集使用个人信息最小必要评估规范人脸信息》
未提供有效的更正、删除个人信息(人脸信息)功能
依据
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
《认定方法》第六章第 1 条
《自评估指南》6.2
《个人信息安全规范》(2020) 8.2
《个人信息安全规范》(2020) 8.3
超出存储期限后,是否及时对人脸信息进行删除
依据
《APP 收集使用个人信息最小必要评估规范人脸信息》
是否给人脸信息设置不合理的删除条件
依据
《APP 收集使用个人信息最小必要评估规范人脸信息》
数据安全管理
检查目标系统是否通过等级保护测评,检查是否存在等级保护测评报告
依据
《中华人民共和国网络安全法》 第二十一条
检查是否设置数据安全管理相关岗位,岗位负责人是否明确,检查相应管理制度
依据
《深圳经济特区数据条例》第七十三条
《数据安全法》第二十七条
《个人信息保护法》第五十二条
数据处理者应当对其数据处理全流程进行记录,保障数据来源合法以及处理全流程清晰、可追溯。
依据
《深圳经济特区数据条例》第七十五条
《数据安全法》第二十七条
询问是否针对敏感个人数据或重要数据制定去标识化等安全措施;
依据
《深圳经济特区数据条例》第七十六条
《信息安全技术 个人信息安全规范》 6.3
询问数据分类分级的情况,以及是否存在对敏感个人数据的特殊保护措施(如加密);
依据
《深圳经济特区数据条例》第七十七条
《个人信息保护法》第五十一条
《数据安全法》第二十一条
询问数据处理的安全防护技术以及容灾备份制度;
依据
《深圳经济特区数据条例》第七十八条
数据处理者共享、开放数据的,是否建立数据共享、开放安全管理制度,建立和完善对外数据接口的安全管理机制。
依据
《深圳经济特区数据条例》第七十九条
数据处理者是否建立数据销毁规程,对需要销毁的数据实施有效销毁。
依据
《深圳经济特区数据条例》第八十条
询问是否存在数据处理委托的情况,以及对数据销毁的相关约定,检查是否存在相关合同以及对于上述约定的证明材料;
依据
《深圳经济特区数据条例》第八十一条
《个人信息保护法》第二十一条
数据处理者是否落实与数据安全防护级别相适应的监测预警措施,对数据泄露、毁损、丢失、篡改等异常情况进行监测和预警。
依据
《深圳经济特区数据条例》第八十三条
《数据安全法》第二十九条
监测到发生或者可能发生数据泄露、毁损、丢失、篡改等数据安全事件的,数据处理者是否立即采取补救、预防措施。
依据
《深圳经济特区数据条例》第八十三条
《个人信息保护法》第五十七条
《网络安全法》第四十二条
检查是否定期开展风险评估,检查是否存在风险评估报告以及其他相关记录材料;
依据
《深圳经济特区数据条例》第八十四条
《个人信息保护法》第五十五条
《数据安全法》第三十条
《个人信息安全影响评估影响指南》
数据处理者是否建立数据安全应急处置机制,制定数据安全应急预案。数据安全应急预案是否按照危害程度、影响范围等因素对数据安全事件进行分级,并规定相应的应急处置措施。
依据
《深圳经济特区数据条例》第八十五条
《个人信息保护法》第五十一条
当发生数据泄露、毁损、丢失、篡改等数据安全事件时,数据处理者是否立即启动应急预案,采取相应的应急处置措施,及时告知相关权利人,并按照有关规定向市网信、公安部门和有关行业主管部门报告。
依据
《深圳经济特区数据条例》第八十六条
个人信息处理者是否根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除:,是否合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
依据
《个人信息保护法》第五十一条