新版《个人信息安全规范》发布 收集个人生物识别信息须用户明示同意

近日，国家市场监督管理总局、国家标准化管理委员会正式对外发布

专家认为

作为个人信息安全领域最基础、最重要和影响最为广泛的国家标准，《规范》的发布和实施，对后续个人信息保护工作的开展将产生深远影响。

收集人脸指纹须单独告知

记者注意到，《规范》新增对收集个人生物识别信息的要求，业界对此评价指出，这是加强个人信息保护所释放的一个强烈信号。

根据《规范》要求，在收集人脸、指纹等个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。也就是对于收集个人信息者提出“单独告知”及“取得明示同意”的双重要求。这一规定相较于旧版及2019年10月《规范》征求意见稿中，对收集个人敏感信息时，“应当确保获得个人信息主体的明示同意”的要求更为严格。

除了加强对个人生物信息的收集标准要求，《规范》还提升个人生物信息的存储标准要求。

根据《规范》要求，个人生物识别信息要与个人身份信息分开存储；原则上不应存储原始个人生物识别信息，在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后，删除可提取个人生物识别信息的原始图像等措施要求。

中国人民公安大学教授赵辉

《规范》进一步加强个人生物信息的保护，是适应当下新形势下个人信息保护的必要举措。当下移动互联网技术广泛应用于人们的日常生活，个人生物识别信息对于身份鉴别有其独特优势，比如手机指纹解锁、人脸解锁、人脸支付、声音锁等。然而，个人生物识别信息也存在稳定性和唯一性等特点，一旦出现被泄露、被窃取等安全事件，通常的更改密码、发新令牌等身份鉴别更新措施都难以奏效，也很容易给个人信息主体造成财产损失、名誉损失等严重后果。

明确个人生物信息不共享

《规范》新增对个人生物识别信息共享、转让的要求，将不共享、转让个人生物识别信息作为原则。如果确需共享、转让，则必须符合以下四个条件要求：即必要性，确因业务需要；应单独向个人信息主体进行告知；要告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则；征得个人信息主体的明示同意。

赵辉教授

确立对个人生物信息不共享转让为原则，是加强个人信息、个人隐私保护的另一个表现。如果确需共享使用，则首先要满足必要性的要求。也就意味着，今后移动互联网企业等不能如以前那样不受限制地免费使用个人信息，在面对公众个人质疑时，企业必须要有足够的业务数据作为理由支持。

金杜律师事务所高级合伙人宁宣凤律师

必要性、单独告知等条件要求体现国家标准制定者对个人生物识别信息保护的重视。同时针对个人生物识别信息在存储和共享方面体现“原则+例外”的标准制定理念，与欧盟《一般数据保护条例》的保护规定思路是一致的。此外，中国人民银行于今年2月13日发布的《个人金融信息保护技术规范》，也要求“受理终端、个人终端及客户端应用软件，均不应存储个人生物识别信息的样本数据、模板，仅可保存完成当前交易所必须的基本信息要素，并在完成交易后予以清除”。此次《规范》的内容要求也是符合央行的要求。

拓展功能允许用户逐项同意

记者注意到，《规范》对于手机App区分基本业务功能和扩展业务功能也作出了充分尊重个人意愿的规定，比如应根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求，划定产品或服务的基本业务功能；不应将改善服务质量、提升个人信息主体体验、研发新产品单独作为基本业务功能。

Q 具体如何获得用户同意？

A《规范》建议，应通过如弹窗、文字说明、填写框、提示条、提示音等形式进行提示，并且要让用户主动做出肯定性的动作，比如勾选、点击“同意”或“下一步”。

此外，扩展的业务功能，应允许个人信息主体逐项选择同意。用户不同意的，个人信息控制者不得反复征求用户同意，除非用户主动选择开启扩展功能，且不应拒绝提供基本业务功能或降低基本业务功能的服务质量。

赵 辉 认 为

从《规范》中相关的操作指南等标准上看，明示同意、授权同意、撤回同意等部分内容的细化和补充，对个人信息保护工作落地实操层面意义重大。特别值得肯定的是，《规范》将个人信息主体权利单独成章，从整体结构上对标准体系进行规整，也凸显标准制定者对个人信息主体权利保护的关注。

宁宣凤注意到，在《规范》修订过程中，标准制定者也考虑对企业的正常业务运营的需求，从规范角度出发，为企业提供合规路径，化解可能的业务困局。对企业而言，如何合规地实现内部不同业务条线所收集的个人信息的汇聚融合，充分挖掘数据的价值则尤为重要。她建议，相关企业可以根据《规范》的相关要求，开展个人信息安全影响评估并采取个人信息保护措施。

閱讀更多 白水大數據中心 的文章

關鍵字: 软件 银行 可以很