刷脸支付场景下的人脸信息使用,你了解吗?(2)

支付机构应当如何保护人脸信息?

支付机构应建立人脸信息全生命周期安全管理机制。
在采集环节,要坚持“用户授权、最小够用”,明确告知用户信息使用目的、方式和范围,并获得用户授权,避免与需求无关的特征采集。
在存储环节,将原始人脸信息加密存储,并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离。
在使用环节,收单机构、商户等中间环节不得归集或截留原始人脸信息,实现端到端的个人隐私保护。
具体的操作办法可参照央行今年2月13日发布的《个人金融信息保护技术规范》(银发〔2020〕45号)。

相关法律法规:

中国支付清算协会《关于印发<人脸识别线下支付行业自律公约(试行)>的通知》(2020年1月20日起实施)

第三条本公约所称刷脸支付是指线下特约商户通过专用受理终端采用人脸识别技术为用户提供的支付服务。

第六条  会员单位应建立人脸信息全生命周期安全管理机制。在采集环节,要坚持“用户授权、最小够用”,明确告知用户信息使用目的、方式和范围,并获得用户授权,避免与需求无关的特征采集。在存储环节,将原始人脸信息加密存储,并与银行账号或支付账号、身份证号等用户个人隐私进行安全隔离。在使用环节,收单机构、商户等中间环节不得归集或截留原始人脸信息,实现端到端的个人隐私保护。

《非银行支付机构网络支付业务管理办法》(中国人民银行公告[2015]第43号,2016年7月1日起实施)

第二十三条 支付机构采用数字证书、电子签名作为验证要素的,数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》、《金融电子认证规范》(JR/T0118-2015)等有关规定,确保数字证书的唯一性、完整性及交易的不可抵赖性。

支付机构采用一次性密码作为验证要素的,应当切实防范一次性密码获取端与支付指令发起端为相同物理设备而带来的风险,并将一次性密码有效期严格限制在最短的必要时间内。

支付机构采用客户本人生理特征作为验证要素的,应当符合国家、金融行业标准和相关信息安全管理要求,防止被非法存储、复制或重放。

第二十五条 支付机构网络支付业务相关系统设施和技术,应当持续符合国家、金融行业标准和相关信息安全管理要求。如未符合相关标准和要求,或者尚未形成国家、金融行业标准,支付机构应当无条件全额承担客户直接风险损失的先行赔付责任。

第四十二条 支付机构从事网络支付业务有下列情形之一的,中国人民银行及其分支机构依据《非金融机构支付服务管理办法》第四十三条的规定进行处理;情节严重的,中国人民银行及其分支机构依据《中华人民共和国中国人民银行法》第四十六条的规定进行处理:

(一)不符合支付机构支付业务系统设施有关要求的;

(二)不符合国家、金融行业标准和相关信息安全管理要求的,采用数字证书、电子签名不符合《中华人民共和国电子签名法》、《金融电子认证规范》等规定的;

(三)为非法交易、虚假交易提供支付服务,发现客户疑似或者涉嫌违法违规行为未按规定采取有效措施的;

(四)未按规定采取客户支付指令验证措施的;

(五)未真实、完整、准确反映网络支付交易信息,篡改或者隐匿交易信息的;

(六)未按规定处理客户信息,或者未履行客户信息保密义务,造成信息泄露隐患或者导致信息泄露的;

(七)妨碍客户自主选择支付服务提供主体或资金收付方式的;

(八)公开披露虚假信息的;

(九)违规开立支付账户,或擅自经营金融业务活动的。

《非金融机构支付服务管理办法》(中国人民银行令[2010]第2号,2010年9月1日起实施)

第四十三条 支付机构有下列情形之一的,中国人民银行分支机构责令其限期改正,并处3万元罚款;情节严重的,中国人民银行注销其《支付业务许可证》;涉嫌犯罪的,依法移送公安机关立案侦查;构成犯罪的,依法追究刑事责任:

(一)转让、出租、出借《支付业务许可证》的;

(二)超出核准业务范围或将业务外包的;

(三)未按规定存放或使用客户备付金的;

(四)未遵守实缴货币资本与客户备付金比例管理规定的;

(五)无正当理由中断或终止支付业务的;

(六)拒绝或阻碍相关检查监督的;

(七)其他危及支付机构稳健运行、损害客户合法权益或危害支付服务市场的违法违规行为。

《中华人民共和国中国人民银行法(2003修正)》(2004年2月1日起实施)

第四十六条 本法第三十二条所列行为违反有关规定,有关法律、行政法规有处罚规定的,依照其规定给予处罚;有关法律、行政法规未作处罚规定的,由中国人民银行区别不同情形给予警告,没收违法所得,违法所得五十万元以上的,并处违法所得一倍以上五倍以下罚款;没有违法所得或者违法所得不足五十万元的,处五十万元以上二百万元以下罚款;对负有直接责任的董事、高级管理人员和其他直接责任人员给予警告,处五万元以上五十万元以下罚款;构成犯罪的,依法追究刑事责任。

《中华人民共和国电子商务法》(2019年1月1日起实施)

第五十七条 用户应当妥善保管交易密码、电子签名数据等安全工具。用户发现安全工具遗失、被盗用或者未经授权的支付的,应当及时通知电子支付服务提供者。

未经授权的支付造成的损失,由电子支付服务提供者承担;电子支付服务提供者能够证明未经授权的支付是因用户的过错造成的,不承担责任。

电子支付服务提供者发现支付指令未经授权,或者收到用户支付指令未经授权的通知时,应当立即采取措施防止损失扩大。电子支付服务提供者未及时采取措施导致损失扩大的,对损失扩大部分承担责任。

《个人金融信息保护技术规范》(银发〔2020〕45号,2020年2月13日起实施)

引言

个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。为加强个人金融信息安全管理,指导各相关机构规范处理个人金融信息,最大程度保障个人金融信息主体合法权益,维护金融市场稳定,编制本标准。

4.1 个人金融信息内容

个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人金融信息主体某些情况的信息,具体如下:

a)账户信息指账户及账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。

b)鉴别信息指用于验证主体是否具有访问或使用权限的信息,包括但不限于银行卡密码、预付卡支付密码;个人金融信息主体登录密码、账户查询密码、交易密码;卡片验证码(CVN和CVN2)、动态口令、短信验证码、密码提示问题答案等。

c)金融交易信息指个人金融信息主体在交易过程中产生的各类信息,包括但不限于交易金额、支付记录、透支记录、交易日志、交易凭证;证券委托、成交、持仓信息;保单信息、理赔信息等。

d)个人身份信息指个人基本信息、个人生物识别信息等:

个人基本信息包括但不限于客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址,以及在提供产品和服务过程中收集的照片、音视频等信息;

个人生物识别信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。

e)财产信息指金融业机构在提供金融产品和服务过程中,收集或生成的个人金融信息主体财产信息,包括但不限于个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金存缴金额等。

f)借贷信息指个人金融信息主体在金融业机构发生借贷业务产生的信息,包括但不限于授信、信用卡和贷款的发放及还款、担保情况等。

g)其他信息:

对原始数据进行处理、分析形成的,能够反映特定个人某些情况的信息,包括但不限于特定个人金融信息主体的消费意愿、支付习惯和其他衍生信息;

在提供金融产品与服务过程中获取、保存的其他个人信息。

4.2 个人金融信息类别

根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。具体如下:

a)C3类别信息主要为用户鉴别信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成严重危害,包括但不限于:

银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡密码、网络支付交易密码;

账户(包括但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码;

用于用户鉴别的个人生物识别信息。

b)C2类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息。该类信息一旦遭到未经授权的查看或未经授权的变更,会对个人金融信息主体的信息安全与财产安全造成一定危害,包括但不限于:

支付账号及其等效信息,如支付账号、证件类识别标识与证件信息(身份证、护照等)、手机号码。

账户(包括但不限于支付账号、证券账户、保险账户)登录的用户名。

用户鉴别辅助信息,如动态口令、短信验证码、密码提示问题答案、动态声纹密码;若用户鉴别辅助信息与账号结合使用可直接完成用户鉴别,则属于C3类别信息。

直接反映个人金融信息主体金融状况的信息,如个人财产信息(包括网络支付账号余额)、借贷信息。

用于金融产品与服务的关键信息,如交易信息(如交易指令、交易流水、证券委托、保险理赔)等。

用于履行了解你的客户(KYC)要求,以及按行业主管部门存证、保全等需要,在提供产品和服务过程中收集的个人金融信息主体照片、音视频等影像信息。

其他能够识别出特定主体的信息,如家庭地址等。

c)C1类别信息主要为机构内部的信息资产,主要指供金融业机构内部使用的个人金融信息。该类信息一旦遭到未经授权的查看或未经授权的变更,可能会对个人金融信息主体的信息安全与财产安全造成一定影响,包括但不限于:

账户开立时间、开户机构;

基于账户信息产生的支付标记信息;

C2和C3类别信息中未包含的其他个人金融信息。

个人金融信息主体因业务需要(如贷款)主动提供的有关家庭成员信息(如身份证号码、手机号码、财产信息等),应依据C3、C2、C1敏感程度类别进行分类,并实施针对性的保护措施。

两种或两种以上的低敏感程度类别信息经过组合、关联和分析后可能产生高敏感程度的信息。同一信息在不同的服务场景中可能处于不同的类别,应依据服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护措施。


电话:021-55898737

传真:021-55898737

地址:上海市隆昌路588号(复旦软件园)1号楼1010室

法律咨询

021-55898737

微信咨询