新版个人信息安全规范:收集人脸指纹需单独告知,不得存原始信息
3月6日,国家市场监督管理总局、国家标准化管理委员会正式发布国家标准《信息安全技术 个人信息安全规范》(下称《规范》),并定于2020年10月1日实施。
隐私护卫队注意到,相较于去年10月发布的征求意见稿,新版《规范》规定,收集个人生物识别信息需单独告知使用目的、方式和范围,并且原则上不应存储原始个人生物识别信息。
近两年,人工智能应用逐渐落地,其中以人脸识别最为典型。但新技术为大众生活带来便利的同时,相关争议也从未停止。
去年12月,南都人工智能伦理课题组曾发布《人脸识别落地场景观察报告(2019年)》,报告显示在个人信息泄露频发的态势下,超过七成的民众对网络运营者的安全保障能力存有疑问,担心人脸数据泄露。
隐私护卫队注意到,最新发布的《规范》对个人生物识别信息在收集和存储两方面进行了细化和完善。
相比去年10月发布的征求意见稿和2017年实施的第一版,《规范》在5.4 条中新加了一条——
收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
北京安理律师事务所高级合伙人王新锐告诉隐私护卫队,这条强调“单独告知”和“明示同意”,提出了比收集其他个人敏感信息更高的要求。
他认为,在这样的要求下,就需要网络运营者在涉及人脸识别、声纹识别等生物识别信息的项目专门设计获得用户同意的环节,也意味着当用户提起争议时,企业负有更高的举证责任。
对于“单独告知”的具体方式,中国电子技术标准化研究院信息安全研究中心审查部总监何延哲谈到,比如App要收集人脸信息,界面下方要有一个单独的隐私政策或者单独的说明。他表示,对于人脸这样的敏感信息,就是要在被收集之前反复提醒用户,不能只用隐私政策包含即可。
此外,隐私护卫队还注意到,对于生物识别信息的存储,《规定》也提出了新要求。
首先,个人生物识别信息要与个人身份信息分开存储;
其次,原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:1. 仅存储个人生物识别信息的摘要信息;2. 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;3. 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
许多人遇到过这样的情况:安装一款App,第一次打开,App就开始要求授权各种权限,声称不收集用户信息就无法提供服务。面对“一揽子授权”,用户要么只能全盘接受,要么只能退出走人。
这样的行为表面上征得了用户同意,实际上却是用“不同意就退出”强迫用户同意。
为实现用户自主意愿,与2017年发布的第一版相比,《规范》在附录C中推荐App区分基本业务功能和扩展业务功能。
附录C强调,划定产品或服务的基本业务功能时,个人信息控制者应以一般用户的根本期待和最主要需求的及认识理解为依据,而不能仅以企业自身的想法为依据。
举例来说,一个新闻 App,用户使用它的根本期待与主要需求是获取新闻资讯,所以联网功能、推送功能可以算是该App的基本业务功能。但是目前,一些新闻App还要求获取用户的地理位置、通讯录等个人信息,并且声称获取这些信息是出于服务需要,这其实就超出了一般用户的认识,属于App运营者按照“自身想法”去划定基本业务功能。
不过,App专项治理工作组副组长洪延青曾表示,企业的基本业务功能是根据用户的期待决定,但企业可以引导用户的期待;并且,随着产品或服务的迭代、拓展、升级等,企业还可以重新划分基本业务功能。
具体如何获得用户同意?新版《规范》建议,应通过如弹窗、文字说明、填写框、提示条、提示音等形式进行提示,并且要让用户主动做出肯定性的动作,比如勾选、点击“同意”或“下一步”。
扩展的业务功能,应允许个人信息主体逐项选择同意。用户不同意的,个人信息控制者不得反复征求用户同意,除非用户主动选择开启扩展功能,且不应拒绝提供基本业务功能或降低基本业务功能的服务质量。
此外,在征得授权同意的例外中,《规范》明确,隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为根据个人信息主体要求签订和履行的合同。
App收集用户浏览记录、搜索记录、文章阅读偏好等个人信息最主要的用途之一,就是用户画像,进而用于精准推送。在App的“后台”,每一个用户的每一次点击都被剖析和标签化。
App为用户打上了哪些标签,用户有权了解吗?用户能通过编辑标签,决定推送广告的内容吗?据了解,目前绝大多数App并没有相关功能。
《规范》要求,App在提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容,比如标明“定推”字样。同时,App应提供不针对用户特征的选项。
为什么作出这样的规定,洪延青曾对隐私护卫队表示,个人信息控制者须避免信息推送方式带来偏见等错误认知。“举个例子,不能因为用户搜索了一次飞机失事,App就一直给用户推送与飞机失事有关的新闻。这样的个性化推送会让用户觉得天天发生飞机失事,但现实并非如此。”洪延青说。
此外,《规范》还建议,App向用户提供个性化展示的,宜建立用户对个人信息(如标签、画像维度)的自主控制机制,保障用户调控个性化展示相关程度的能力。
隐私护卫队注意到,关闭或退出新闻相关的精准推送功能,App还被要求“提供删除或匿名化定向推送活动所基于的个人信息的选项”,而广告推送则没有。
对此,何延哲曾告诉隐私护卫队,新闻推送比广告信息更敏感。他解释说,用户看到定向推送的广告,可以不购买商品或服务,而新闻不一样,只要看到就接收了信息,“相当于不买也得买,且会影响人的判断”。所以,对新闻的定向推送应该管控的更严格一点,给用户的选择权更大一点。
文/南都个人信息保护研究中心研究员 尤一炜 李慧琪
编辑:蒋琳
banquan@nandu.cc. 020-87006626
