APP收集和使用人臉信息如何落實(shí)最小、必要原則？

11月26日，電信終端產(chǎn)業(yè)協(xié)會(huì)官網(wǎng)公布了《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范總則》，并于當(dāng)日開(kāi)始實(shí)施。

該總則指出，隨著移動(dòng)應(yīng)用種類(lèi)和數(shù)量呈爆發(fā)式增長(zhǎng)，APP侵害用戶(hù)權(quán)益事件層出不窮，個(gè)人信息保護(hù)態(tài)勢(shì)愈加嚴(yán)峻，如何保護(hù)用戶(hù)個(gè)人信息，尤其是人臉、通訊錄、短信、位置、圖片等個(gè)人敏感信息受到國(guó)家和社會(huì)公眾高度關(guān)注。APP收集使用個(gè)人信息最小必要評(píng)估旨在對(duì)移動(dòng)互聯(lián)網(wǎng)行業(yè)收集使用用戶(hù)人臉、通訊錄、短信、位置、圖片等個(gè)人敏感信息進(jìn)行規(guī)范，落實(shí)最小、必要的原則。

所謂“最小、必要”原則，指的是處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得進(jìn)行與處理目的無(wú)關(guān)的個(gè)人信息處理。

其中備受關(guān)注的，是APP對(duì)用戶(hù)人臉信息的收集與使用，該系列標(biāo)準(zhǔn)中的《收集使用個(gè)人信息最小必要評(píng)估規(guī)范 人臉信息》對(duì)此做出了詳細(xì)規(guī)定。

《收集使用個(gè)人信息最小必要評(píng)估規(guī)范 人臉信息》的引言寫(xiě)道，隨著移動(dòng)通信技術(shù)的快速發(fā)展，移動(dòng)互聯(lián)網(wǎng)應(yīng)用正逐漸滲透到人們生活、工作的各個(gè)領(lǐng)域，個(gè)人信息安全問(wèn)題成各方關(guān)注的重點(diǎn)。越來(lái)越多移動(dòng)應(yīng)用軟件使用人臉識(shí)別實(shí)現(xiàn)場(chǎng)景體驗(yàn)、賬戶(hù)登錄、移動(dòng)支付等功能，人臉信息是用戶(hù)個(gè)人信息的重要部分。

目前行業(yè)中尚未有從APP收集使用人臉信息必要性出發(fā)的最小化評(píng)估規(guī)范，缺乏統(tǒng)一的標(biāo)準(zhǔn)。基于上述考慮，提出本文件，旨在對(duì)移動(dòng)互聯(lián)網(wǎng)行業(yè)收集使用用戶(hù)人臉信息進(jìn)行規(guī)范，落實(shí)最小、必要的原則，進(jìn)一步促進(jìn)移動(dòng)互聯(lián)網(wǎng)行業(yè)的健康穩(wěn)定發(fā)展。

該標(biāo)準(zhǔn)對(duì)人臉信息的收集、存儲(chǔ)、使用和刪除做出要求。

收集方面，標(biāo)準(zhǔn)提出不應(yīng)強(qiáng)制或欺騙誤導(dǎo)人臉信息主體進(jìn)行人臉識(shí)別，當(dāng)人臉信息主體不進(jìn)行人臉識(shí)別時(shí)，不應(yīng)禁止人臉信息主體的正常使用，僅可停止訪(fǎng)問(wèn)人臉識(shí)別相關(guān)功能，法律法規(guī)要求的除外。

收集人臉信息應(yīng)遵循“最小必要”原則，收集前應(yīng)通過(guò)隱私協(xié)議等方式向人臉信息主體告知以下信息：收集、使用人臉信息的目的、方式、類(lèi)型和范圍，以及授權(quán)存儲(chǔ)時(shí)間等規(guī)則；收集的人臉信息處理方式的描述，如：僅本地收集、遠(yuǎn)程核身等；控制者的聯(lián)系信息，至少包括的信息有：組織機(jī)構(gòu)信息、聯(lián)系方式；人臉信息主體實(shí)現(xiàn)查看、修改、刪除其人臉信息以及撤回其授權(quán)同意的方式。

存儲(chǔ)方面，應(yīng)將人臉信息與人臉信息主體的身份信息分開(kāi)存儲(chǔ)；人臉模板應(yīng)進(jìn)行加密存儲(chǔ)，并采用授權(quán)訪(fǎng)問(wèn)方式讀取;應(yīng)只存儲(chǔ)滿(mǎn)足人臉信息主體授權(quán)同意的目的所需的最少人臉信息。

使用方面， 不應(yīng)基于人臉信息生成用戶(hù)畫(huà)像，且不應(yīng)基于人臉信息進(jìn)行定向推送；在對(duì)人臉信息的操作完成后，應(yīng)對(duì)操作過(guò)程中產(chǎn)生的臨時(shí)數(shù)據(jù)及時(shí)清除并確保不可恢復(fù)；不應(yīng)共享或轉(zhuǎn)讓人臉信息。

刪除方面，在以下條件滿(mǎn)足其中之一時(shí)，應(yīng)及時(shí)對(duì)人臉信息進(jìn)行刪除處理：1）超出授權(quán)同意的人臉信息存儲(chǔ)期限；2）超出業(yè)務(wù)所必需地使用人臉信息；3）法律法規(guī)規(guī)定的存儲(chǔ)期限已經(jīng)屆滿(mǎn)。APP提供的刪除方法或途徑應(yīng)便于人臉信息主體查找和操作；不應(yīng)設(shè)置不合理的刪除條件，如僅提供現(xiàn)場(chǎng)辦理、要求人臉信息主體填寫(xiě)精確的歷史操作記錄等。

電信終端產(chǎn)業(yè)協(xié)會(huì)是由中國(guó)信息通信研究院聯(lián)同國(guó)內(nèi)電信運(yùn)營(yíng)商、電信終端設(shè)備制造商、系統(tǒng)設(shè)備制造商、認(rèn)證檢測(cè)機(jī)構(gòu)和研究機(jī)構(gòu)共同發(fā)起的自愿性、非盈利的國(guó)家級(jí)社會(huì)組織，主管單位為工業(yè)和信息化部。

《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范 人臉信息》稱(chēng)，本標(biāo)準(zhǔn)規(guī)定了移動(dòng)應(yīng)用軟件對(duì)人臉信息的收集、使用、存儲(chǔ)、銷(xiāo)毀等活動(dòng)中的最小必要規(guī)范和評(píng)估方法，并通過(guò)個(gè)人信息處理活動(dòng)中的典型應(yīng)用場(chǎng)景來(lái)說(shuō)明如何落實(shí)最小必要原則。本標(biāo)準(zhǔn)適用于移動(dòng)互聯(lián)網(wǎng)應(yīng)用軟件提供者規(guī)范用戶(hù)個(gè)人信息中的人臉信息的處理活動(dòng)，也適用于主管監(jiān)管部門(mén)、第三方評(píng)估機(jī)構(gòu)等組織對(duì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序收集圖片信息行為進(jìn)行監(jiān)督、管理和評(píng)估。

責(zé)任編輯：PSY