監(jiān)控?cái)z像頭在生活中幾乎無(wú)所不在����,這些攝像頭大多是保障公共安全為目的。你也許不知道�,有些商家安裝的攝像頭暗藏玄機(jī)。
就在今年的315晚會(huì)中���,央視記者在暗訪了部分企業(yè)的全國(guó)性門店后發(fā)現(xiàn)�,這些企業(yè)的入門處均裝有人臉識(shí)別攝像頭��,在不知情的情況下,精準(zhǔn)抓取消費(fèi)者人臉信息�����。例如����,在無(wú)錫寶馬汽車4S店記者發(fā)現(xiàn)了瑞為公司的人臉識(shí)別攝像頭。在港匯恒隆Max
Mara專賣店�,記者看到了萬(wàn)店掌公司的攝像頭���?评招l(wèi)浴也在全國(guó)上千家門店安裝了具有人臉識(shí)別功能的攝像頭���,消費(fèi)者只要進(jìn)了其中一家店,在不知情的情況下�,就會(huì)被攝像頭抓取并自動(dòng)生成編號(hào),以后顧客再去哪家店�����,去了幾次���,科勒衛(wèi)浴都會(huì)知道���,如何報(bào)價(jià)和接待心知肚明����。
更為重要的是��,沒(méi)有一個(gè)商家明確告知��,征得同意更是無(wú)從談起�。
根據(jù)國(guó)家法律規(guī)定�,收集個(gè)人信息,應(yīng)向個(gè)人主體告知收集�����,并獲得個(gè)人信息主體的授權(quán)同意��。但在央視的報(bào)道中�����,科勒衛(wèi)浴等商家在眾多門店安裝了人臉攝像頭�,無(wú)須用戶同意就將人臉信息記錄下來(lái),并對(duì)客戶進(jìn)行分類��。
科技在不斷進(jìn)步,在給商家?guī)?lái)盈利的同時(shí)����,商家也一定要守住自己的底線。
國(guó)家市場(chǎng)監(jiān)管總局發(fā)布的《個(gè)人信息安全規(guī)范》明確規(guī)定��,人臉信息屬于生物識(shí)別信息����,也屬于個(gè)人敏感信息,收集個(gè)人信息時(shí)應(yīng)獲得個(gè)人信息主體的授權(quán)同意��。2021年1月1日正式實(shí)施的《民法典》第1035條明確規(guī)定����,處理個(gè)人信息應(yīng)征得該自然人或者其監(jiān)護(hù)人同意。
今天����,就和小編一起來(lái)回顧一下,于2020年10月1日已經(jīng)實(shí)施的國(guó)家標(biāo)準(zhǔn)GB/T 35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》部分內(nèi)容
關(guān)于企業(yè)的合規(guī)說(shuō)明
(一) 關(guān)于個(gè)人信息優(yōu)化
1. 建議企業(yè)根據(jù)現(xiàn)有業(yè)務(wù)中涉及個(gè)人生物識(shí)別信息收集的項(xiàng)目��,在啟動(dòng)個(gè)人生物識(shí)別信息采集功能之前�����,設(shè)置個(gè)人生物識(shí)別信息采集聲明,向用戶告知采集的目的�����、方式和范圍��,并取得用戶的明示同意��;如業(yè)務(wù)中需要重復(fù)或多次采集個(gè)人生物識(shí)別信息的�����,應(yīng)每次單獨(dú)向用戶進(jìn)行告知�����,并取得用戶的明示同意��;
2. 建議企業(yè)在實(shí)踐中可采取如下相應(yīng)措施�����,確保原則上不存儲(chǔ)原始個(gè)人生物識(shí)別信息:僅存儲(chǔ)個(gè)人生物識(shí)別信息的摘要信息��、在采集終端直接使用個(gè)人生物識(shí)別信息實(shí)現(xiàn)身份識(shí)別�����、認(rèn)證等功能����、在使用面部識(shí)別特征、指紋����、掌紋、虹膜等實(shí)現(xiàn)識(shí)別身份�、認(rèn)證等功能后刪除可提取個(gè)人生物識(shí)別信息的原始圖像等。
3. 建議企業(yè)在實(shí)踐中確保原則上不共享�、轉(zhuǎn)讓個(gè)人生物識(shí)別信息,根據(jù)現(xiàn)有業(yè)務(wù)中涉及個(gè)人生物識(shí)別信息�,如存在確需共享、轉(zhuǎn)讓個(gè)人生物識(shí)別信息的項(xiàng)目�,在進(jìn)行個(gè)人生物識(shí)別信息共享、轉(zhuǎn)讓之前����,應(yīng)事先對(duì)個(gè)人信息安全影響進(jìn)行評(píng)估,設(shè)置個(gè)人生物識(shí)別信息共享或轉(zhuǎn)讓聲明��,向用戶告知采集或共享����、轉(zhuǎn)讓的目的����、方式和范圍�����,并取得用戶的明示同意�����;如業(yè)務(wù)中需要重復(fù)或多次共享����、轉(zhuǎn)讓個(gè)人生物識(shí)別信息的�,應(yīng)每次單獨(dú)向用戶進(jìn)行告知,并取得用戶的明示同意�。
(二) 關(guān)于用戶對(duì)個(gè)人信息的管理能力
1.
建議企業(yè)通過(guò)不同形式向用戶告知存在需收集個(gè)人信息的業(yè)務(wù)功能及需要收集的個(gè)人信息類型和用戶拒絕提供將造成的影響,確保能夠獲取用戶的授權(quán)同意�,保障用戶的自主意愿和選擇權(quán);同時(shí)保障關(guān)閉或重啟相應(yīng)業(yè)務(wù)功能的便捷性�����;
2.
設(shè)置簡(jiǎn)便易操作的注銷賬戶方法,不設(shè)置不合理的條件或提出額外要求增加用戶的義務(wù)�����,在承諾時(shí)限內(nèi)及時(shí)響應(yīng)用戶的注銷請(qǐng)求并完成核查和處理�����,確保用戶注銷后的個(gè)人信息及時(shí)刪除或做匿名化處理���;
3. 若注銷某個(gè)通用賬戶�,會(huì)導(dǎo)致其他產(chǎn)品或服務(wù)的基本功能無(wú)法實(shí)現(xiàn)或者質(zhì)量下降的��,應(yīng)向用戶進(jìn)行詳細(xì)說(shuō)明�����;
4.
在個(gè)人信息收集環(huán)節(jié)對(duì)法律法規(guī)規(guī)定需要留存的數(shù)據(jù)進(jìn)行篩查���,以便在用戶注銷賬戶并對(duì)完成個(gè)人信息的刪除或匿名化處理之后�����,對(duì)法律規(guī)定需要留存的數(shù)據(jù)妥善保管��,并確保其不被再次用于日常業(yè)務(wù)活動(dòng)��。
(三) 關(guān)于個(gè)人信息匯聚融合
建議企業(yè)通過(guò)不同形式告知用戶關(guān)于匯聚融合不同業(yè)務(wù)的個(gè)人信息的目的�����、方式和范圍���,在超出原有授權(quán)同意范圍使用個(gè)人信息時(shí)���,再次征得用戶的明示同意,并根據(jù)要求開(kāi)展個(gè)人信息安全影響評(píng)估以及采取個(gè)人信息保護(hù)措施�����。
(四) 關(guān)于個(gè)人信息商業(yè)化
1.
建議企業(yè)在運(yùn)營(yíng)或?qū)ν鈽I(yè)務(wù)合作中對(duì)用戶畫像的使用進(jìn)行嚴(yán)格的核查和限制�,如核查業(yè)務(wù)中是否存在使用大數(shù)據(jù)分析技術(shù)等對(duì)個(gè)人信息進(jìn)行分析����,以形成特征標(biāo)簽、用戶畫像的情形�����。使用用戶畫像時(shí)應(yīng)消除明確身份指向性,避免用戶被精確定位�;
2.
建議企業(yè)在用戶提供個(gè)性化展示功能與內(nèi)容時(shí)對(duì)相應(yīng)功能和內(nèi)容進(jìn)行顯著標(biāo)識(shí);同時(shí)保障用戶退出或關(guān)閉個(gè)性化展示服務(wù)的權(quán)利�����;建立刪除或匿名化定向推送活動(dòng)中基于個(gè)人信息的選項(xiàng)���。
(五) 關(guān)于第三方接入管理
建議企業(yè)對(duì)自身產(chǎn)品或服務(wù)中的第三方產(chǎn)品或服務(wù)進(jìn)行核查���,及時(shí)刪除或停止接入不必要或存在隱秘收集或?yàn)E用個(gè)人信息以及存在信息安全隱患的第三方產(chǎn)品或服務(wù);若必須接入第三方產(chǎn)品或服務(wù)����,應(yīng)當(dāng)向用戶明確標(biāo)識(shí)該產(chǎn)品或服務(wù)由第三方提供并詳細(xì)披露第三方個(gè)人信息處理活動(dòng)的具體情況。