监控摄像头在生活中几乎无所不在,这些摄像头大多是保障公共安全为目的。你也许不知道,有些商家安装的摄像头暗藏玄机。
就在今年的315晚会中,央视记者在暗访了部分企业的全国性门店后发现,这些企业的入门处均装有人脸识别摄像头,在不知情的情况下,精准抓取消费者人脸信息。例如,在无锡宝马汽车4S店记者发现了瑞为公司的人脸识别摄像头。在港汇恒隆Max
Mara专卖店,记者看到了万店掌公司的摄像头。科勒卫浴也在全国上千家门店安装了具有人脸识别功能的摄像头,消费者只要进了其中一家店,在不知情的情况下,就会被摄像头抓取并自动生成编号,以后顾客再去哪家店,去了几次,科勒卫浴都会知道,如何报价和接待心知肚明。
更为重要的是,没有一个商家明确告知,征得同意更是无从谈起。
根据国家法律规定,收集个人信息,应向个人主体告知收集,并获得个人信息主体的授权同意。但在央视的报道中,科勒卫浴等商家在众多门店安装了人脸摄像头,无须用户同意就将人脸信息记录下来,并对客户进行分类。
科技在不断进步,在给商家带来盈利的同时,商家也一定要守住自己的底线。
国家市场监管总局发布的《个人信息安全规范》明确规定,人脸信息属于生物识别信息,也属于个人敏感信息,收集个人信息时应获得个人信息主体的授权同意。2021年1月1日正式实施的《民法典》第1035条明确规定,处理个人信息应征得该自然人或者其监护人同意。
今天,就和小编一起来回顾一下,于2020年10月1日已经实施的国家标准GB/T 35273-2020《信息安全技术个人信息安全规范》部分内容
关于企业的合规说明
(一) 关于个人信息优化
1. 建议企业根据现有业务中涉及个人生物识别信息收集的项目,在启动个人生物识别信息采集功能之前,设置个人生物识别信息采集声明,向用户告知采集的目的、方式和范围,并取得用户的明示同意;如业务中需要重复或多次采集个人生物识别信息的,应每次单独向用户进行告知,并取得用户的明示同意;
2. 建议企业在实践中可采取如下相应措施,确保原则上不存储原始个人生物识别信息:仅存储个人生物识别信息的摘要信息、在采集终端直接使用个人生物识别信息实现身份识别、认证等功能、在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像等。
3. 建议企业在实践中确保原则上不共享、转让个人生物识别信息,根据现有业务中涉及个人生物识别信息,如存在确需共享、转让个人生物识别信息的项目,在进行个人生物识别信息共享、转让之前,应事先对个人信息安全影响进行评估,设置个人生物识别信息共享或转让声明,向用户告知采集或共享、转让的目的、方式和范围,并取得用户的明示同意;如业务中需要重复或多次共享、转让个人生物识别信息的,应每次单独向用户进行告知,并取得用户的明示同意。
(二) 关于用户对个人信息的管理能力
1.
建议企业通过不同形式向用户告知存在需收集个人信息的业务功能及需要收集的个人信息类型和用户拒绝提供将造成的影响,确保能够获取用户的授权同意,保障用户的自主意愿和选择权;同时保障关闭或重启相应业务功能的便捷性;
2.
设置简便易操作的注销账户方法,不设置不合理的条件或提出额外要求增加用户的义务,在承诺时限内及时响应用户的注销请求并完成核查和处理,确保用户注销后的个人信息及时删除或做匿名化处理;
3. 若注销某个通用账户,会导致其他产品或服务的基本功能无法实现或者质量下降的,应向用户进行详细说明;
4.
在个人信息收集环节对法律法规规定需要留存的数据进行筛查,以便在用户注销账户并对完成个人信息的删除或匿名化处理之后,对法律规定需要留存的数据妥善保管,并确保其不被再次用于日常业务活动。
(三) 关于个人信息汇聚融合
建议企业通过不同形式告知用户关于汇聚融合不同业务的个人信息的目的、方式和范围,在超出原有授权同意范围使用个人信息时,再次征得用户的明示同意,并根据要求开展个人信息安全影响评估以及采取个人信息保护措施。
(四) 关于个人信息商业化
1.
建议企业在运营或对外业务合作中对用户画像的使用进行严格的核查和限制,如核查业务中是否存在使用大数据分析技术等对个人信息进行分析,以形成特征标签、用户画像的情形。使用用户画像时应消除明确身份指向性,避免用户被精确定位;
2.
建议企业在用户提供个性化展示功能与内容时对相应功能和内容进行显著标识;同时保障用户退出或关闭个性化展示服务的权利;建立删除或匿名化定向推送活动中基于个人信息的选项。
(五) 关于第三方接入管理
建议企业对自身产品或服务中的第三方产品或服务进行核查,及时删除或停止接入不必要或存在隐秘收集或滥用个人信息以及存在信息安全隐患的第三方产品或服务;若必须接入第三方产品或服务,应当向用户明确标识该产品或服务由第三方提供并详细披露第三方个人信息处理活动的具体情况。