你担心生物数据信息可能带来隐私风险吗？ – 作者:世平信息SPINFO

近日，社交网站Instagram被指控通过人脸识别技术，未经用户知情同意的情况下，通过照片标签工具非法采集和存储超过1亿用户的生物数据信息并从中获利。

近年来，引入生物识别技术的App逐渐增多，很多App将其视为创新点，其大范围应用迹象已现端倪， 但App过度索权、超范围收集个人信息的现象屡禁不止，而生物识别信息一旦泄露，个人就可能终身暴露在被攻击和骚扰的风险中，生物识别技术应用风险问题可见一斑。

近期国家标准化管理委员会下达2020年第二批推荐性国家标准计划，其中就包括了多个生物识别应用标准，生物数据信息作为App中个人信息采集的重要部分，关注生物数据信息保护，我们就需要关注和重视App中的各项个人信息保护政策和措施。

但目前，App中个人信息保护却面临诸多安全问题和风险，比如打开App虽然有冗长的隐私政策和保护条款，但依然有不少网络运营者强制要求用户提供个人信息，却未清晰说明收集使用个人信息的规则，也未提供撤回同意收集使用个人信息的方法。

查看业务功能与所收集的个人信息的对应关系；

查看个人信息是否被存储、如何存储、存储多久等情况说明；

查看个人信息是否会提供给第三方；

查看是否可关闭或退出定向推送机制；

查看面部特征信息收集是否每次都请求同意；

查看面部特征收集以后是否去标识化处理；

查看利用面部特征进行身份核验的合作授权机构权威性；

查看麦克风权限是否可以关闭；

查看读取语音内容是否仅在主动点击麦克风图标时；

查看用户投诉举报渠道。

如果App隐私政策中没有提供以上内容，或者重点内容阐述不清晰，那作为用户就需要评估一下下载该App是否安全。

App查看个人信息情况如果没有清楚说明用来实现什么功能，也是不合规的行为。

警惕App“狮子大开口”大范围索要与业务功能无关的个人信息；

警惕App 免责声明，将责任推卸给黑客攻击、软件勒索等；

警惕App举报投诉渠道形同虚设；

警惕App强制要求用户提供面部特征行为；

警惕App持续留存生物数据信息行为;

警惕App共享生物数据信息条例不明确。

于网络运营者而言，违规采集、传输用户个人信息导致个人信息泄露，必然会影响企业形象，降低企业信誉度，网络运营者采集个人信息前应确保其目的合法、正当、必要，遵循最小范围原则，不把个人信息作为提供所有业务功能的前提；使用个人信息时需采取加密传输、存储及严密的权限控制、审计等措施确保收集使用环境的安全可信；原则上不存储原始的个人信息。

同时，网络运营者应建立敏感级评估以及敏感信息的合规性检测机制，分级制定企业数据安全保护等级标准和要求，并采用适当的检测工具进行定期合规检测与安全风险评估，确保用户个人信息的采集、存储和使用均符合各项要求，降低违规存储和使用以及数据泄露风险。

世平数据安全合规性检测系统是一款能够帮助监管机构及企业依法、有效地开展个人信息安全合规风险检测，平衡个人信息、敏感数据的利用效率与合规风险的实用检测工具，系统内置个人信息知识库，对标国家《网络安全法》、《信息安全技术个人信息安全规范》以及等保2.0的相关法律法规、标准规范，可通过标准化流程帮助网络运营者检查网络中存在的可确定到个人的信息，并结合业务场景进行数据梳理，判定用户网络中存在的个人隐私信息及其合规性，从而实现个人敏感信息的分类管控，降低个人信息泄露风险。

来源：freebuf.com 2020-08-19 09:37:26 by: 世平信息SPINFO