全国网络安全标准化技术委员会发布《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》

点击文末“阅读原文”，查看通知原文。

为指导相关方开展人脸识别支付场景个人信息安全保护工作，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》。

《实践指南》针对人脸识别支付场景，明确了数据收集、存储、传输、导出及删除等环节的安全要求，适用于支付服务提供方、验证服务方、场所管理方和设备运营方。 其主要内容如下：

• 核心要求：

• 所有相关方需遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等法律法规。

• 人脸识别数据处理需获得用户单独授权，并明确数据用途和保护措施。

• 需采取技术措施确保人脸特征不可逆、不可链接。

• 禁止未经授权使用或存储人脸识别数据，要求及时删除非必要数据。

• 不得将人脸识别数据用于身份验证以外的其他用途。

• 不同角色的安全义务：

• 支付服务提供方：确保数据收集和存储安全，杜绝未授权数据使用。

• 验证服务方：需保护数据传输和存储安全，明确数据保存期限，超期需删除。

• 场所管理方：需避免摄像头非正常调用，防止隐私区域监控。

• 设备运营方：应提供非人脸识别的支付选项，禁止强制绑定手机号，保障用户选择权。

• 指南特别强调：

• 人脸识别支付不应成为唯一支付方式。

• 未成年人使用需监护人同意。

• 设备需有显著提示功能，确保用户知情权。

来源：TC260