基于生物特征识别认证方式对应2020版《个人信息安全规范》的解读-1
2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称“新版规范”)正式发布,并将于2020年10月1日实施。
新版规范以《GBT 35273-2017信息安全技术 个人信息安全规范》(以下简称“旧版规范”)为基础,同时结合或参考了《App违法违规收集使用个人信息行为认定方法》《信息安全技术-个人信息告知同意指南(征求意见稿)》《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》等文件。
首先 个人生物识别信息:个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等; 生物特征是明确属于个人敏感信息;
| 区别 | 个人敏感信息 | 一般个人信息 |
|---|---|---|
| 收集 | 明示同意 | 授权同意 |
| 个人隐私保护政策 | 涉及个人敏感信息的,需明确标识或突出显示 | 无特别要求 |
| 传输存储 | 应采用加密等安全措施 | 无特别要求 |
| 权限控制 | 宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。 | 重要操作才需授权 |
| 共享 | 明示同意;告知内容增加了的个人敏感信息类型、数据接收方的身份和数据安全能力; | 授权同意 |
| 公开披露 | 告知内容增加个人敏感信息的内容 | 无需告知信息内容 |
| 信息安全事件 | 泄露即需告知 | 严重危害的才需告知 |
其次如存在多项业务功能,无论是基本业务功能还是扩展业务功能,即使全部是基本业务功能,也要进行拆分,在用户实际开始使用特定业务功能时,才能索取用户授权并开始收集相应的个人信息,不能预先一次性索取授权。
适用新规则的后果就是,隐私政策在告知同意中的作用被进一步削弱,当前主要依赖用户注册时通过隐私政策一揽子获得用户同意的做法难以为继,企业不得不越来越多地依赖弹窗等多层次、碎片化的告知同意机制,产品设计更加复杂。
关键点: 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;
明示同意 explicit consent
个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。
新版规范5.3规定的逐项告知是以业务功能为维度的。存在多项业务功能时,需在用户开启各项具体业务功能时逐项告知。而本条针对生物识别信息规定的单独告知则是以信息类型为维度的,即只要涉及个人生物识别信息,则需单独告知。如果控制者收集的个人生物识别信息同时涉及多项业务功能,则应该在单独告知之后再按业务功能逐项告知。
在实践中,个人信息保护政策通常将信息存储时间表述为“实现目的所必需的最短时间”。对生物识别信息而言,这种写法曾遭到监管机构的质疑。APP治理工作组在《观察 | 没有了选择权和知情权,人脸识别还值得信任吗?》一文中提到,“核验发现,绝大部分相关App只在隐私政策中笼统提及‘个人信息的保存将在法律法规要求的最短保存限期内,当超出上述保存期限,会对其进行匿名化处理’,对于用户关心的人脸信息是否会留存原始图像信息,留存多长时间,使用范围如何,是否向第三方提供,采取了何种安全措施等均是只字不提。”
鉴于上述意见,对于个人生物识别信息的存储期限,可适当细化表述为“在实现XXX功能之后便立即删除”,其法律内涵与“实现个人信息主体授权使用的目的所必需的最短时间”一致,但应更加具体明确。
什么情况是不违规的利用指纹人脸等生物特征呢?
c) 原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:
- 仅存储个人生物识别信息的摘要信息;
2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;
依据新版规范3.5注2,如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于收集。因该种处理方式下,个人信息未曾传至产品或服务提供者服务器,不构成收集行为。据此,如在终端本地使用个人生物识别信息实现身份识别、认证等功能,不属于收集行为,不承担控制者责任。
基于生物特征识别认证方式对应2020版《个人信息安全规范》的解读-1相关推荐
- 分布式认证方案-基于token的认证方式
基于token的认证方式,服务端不用存储认证数据,易维护扩展性强, 客户端可以把token 存在任意地方,并且可以实现web和app统一认证机制.其缺点也很明显,token由于自包含信息,因此一般数据 ...
- (一)基于Session的认证方式
创建工程 本案例工程使用maven进行构建,使用SpringMVC.Servlet3.0实现. 创建maven工程 security-springmvc,工程结构如下: 引入如下依赖如下,注意: 1. ...
- 分布式认证方案-基于session的认证方式
在分布式的环境下,基于session的认证会出现一个问题,每个应用服务都需要在session中存储用户身份信息,通过负载均衡将本地的请求分配到另一个应用服务需要将session信息带过去,否则会重新认 ...
- 中国版GDPR《个人信息安全规范》解读:国内企业如何保障信息安全?
中国版的 GDPR--<个人信息安全规范> <信息安全技术个人信息安全规范>(GB/T 35273-2017)(以下简称"<个人信息安全规范>" ...
- 【spring-security基础】基于数据库的认证方式
通过查询数据库方式进行认证 核心要点 实现思路 1. 数据库设计 2. 框架依赖引入(操作数据库) 3. 创建操作数据库相关内容 4. [重点]实现UserDetailsService接口 5. 配置 ...
- 基于Session的认证方式_实现认证功能_Spring Security OAuth2.0认证授权---springcloud工作笔记116
技术交流QQ群[JAVA,C++,Python,.NET,BigData,AI]:170933152 下面我会把代码和文档,帖上,下面看看实时过程.都很简单,主要说后面的分布式,认证授权和spring ...
- 基于Session的认证方式_实现授权功能_Spring Security OAuth2.0认证授权---springcloud工作笔记118
技术交流QQ群[JAVA,C++,Python,.NET,BigData,AI]:170933152 我们来实现基本的,session的授权功能,很简单实际上就是利用了springmvc的拦截器.不多 ...
- 基于Session的认证方式_实现会话功能_Spring Security OAuth2.0认证授权---springcloud工作笔记117
技术交流QQ群[JAVA,C++,Python,.NET,BigData,AI]:170933152 这个很简单 我们就是把用户登录的信息保存到session中去可以看到 可以在session中保存一 ...
- 基于Session的认证方式_创建工程_准备一个springmvc的工程_Spring Security OAuth2.0认证授权---springcloud工作笔记115
技术交流QQ群[JAVA,C++,Python,.NET,BigData,AI]:170933152 这个以前都会这样用,但是现在基本上都是前后端分离了,这里为了演示才这样用的 pom.xml文件 & ...
- 基于Session的认证方式_认证流程_Spring Security OAuth2.0认证授权---springcloud工作笔记114
技术交流QQ群[JAVA,C++,Python,.NET,BigData,AI]:170933152 开通了个人技术微信公众号:credream,有需要的朋友可以添加相互学习
最新文章
- AD5933测量容性负载时的神秘振荡信号
- 《编程珠玑》 读书笔记
- Ubuntu下取消MySQL自动启动
- python反向缩进_在Pycharm中对代码进行注释和缩进的方法详解
- Cocos 技术派:实时竞技小游戏技术实现分享
- Gnuplot的安装和基本使用方法
- python类库32[多线程同步Lock+RLock+Semaphore+Event]
- 双剑合璧————Spring Boot + Mybatis Plus
- 字符串处理 —— 单模式匹配 —— 朴素的字符串匹配算法(BF 算法)
- 傅立叶变换、拉普拉斯变换、Z变换的联系?为什么要进行这些变换。研究的都是什么?
- 使用easyexcel导出时行高不自动调整的解决
- Kubernetes 证书过期
- 用递归函数和栈操作逆序一个栈
- 晒晒自己写的C++小程序(初学,书上的题目)
- 奇迹mysql老是被误杀_【鸟友汇】致歉少时打雀被误杀的生灵们:傻老嘎、春暖儿、窜鸡、老麦……...
- 继承MongoDBRepository仓库的模糊查询
- 全国计算机技术与软件专业技术资格(水平)考试2019年上半年考试公告(湖北省)
- matplotlib作图示例——阻尼衰减曲线、XRD数据绘图、三角函数绘图、超越函数绘图、正态分布随机数(插值多项式)
- 类选择器和ID选择器的区别
- sakimichan网页版_PS笔刷推荐:光系、烟雾、铅笔、炭刷、油漆、涂鸦