2020年3月6日,GB/T 35273-2020《信息安全技术个人信息安全规范》国家标准正式发布,该标准将于2020年10月1日正式实施。从2018年5月1日生效的GB/T 35273-2017《信息安全技术个人信息安全规范》,到GB/T 35273-2020《信息安全技术个人信息安全规范》,我国的个人信息安全规范日益健全,内涵要义也越来越充实。
与2019年10月24日公开的《信息安全技术个人信息安全规范》相比,2020年新发布方案呈现出的变化十分明显。纵览(GB/T 35273-2020)《信息安全技术个人信息安全规范》可以发现,变化主要集中在以下几个方面。
具体来讲,这些变化体现在将“隐私政策”调整为“个人信息保护政策”、将个人信息主体的权利作为专门的条款要求、优化个人信息主体注销账户的相关规定、放宽第三方接入管理的部分要求、放宽任命专职个人信息保护负责人和个人信息保护工作机构的部分条件、新增建立自动化审计系统的要求、新增采用密码技术宜遵循密码管理相关国家标准的要求、删减收集个人信息合法性的部分要求和新增及强化个人生物识别信息的采集、存储和共享转让的要求等。
此时颁布的GB/T 35273-2020《信息安全技术个人信息安全规范》,将个人生物识别信息保护提到了一个新高度。GB/T 35273-2020《信息安全技术个人信息安全规范》指出,在收集个人信息时,要经过授权同意。收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征个人信息主体的明示同意。其中,个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。
新规范对生物识别信息获取方式和内容的明确规范,又一次让人们将关注的目光聚焦于生物识别这项技术上。一般来说,个人生物识别信息难以或不可能发生变化、与个人密切绑定且不同人的信息不一致。正因为个人生物识别信息难以或不可能发生变化、与个人密切绑定,其一旦出现被泄漏、被窃取等安全事件,很容易给个人信息主体造成财产损失、名誉损失等严重后果。而对生物识别信息的收集、共享等进行规范,就能在一定程度上降低因滥用、盗用个人信息而带来的风险。
如今,我们可实现身份识别有很多种方式,指纹识别、静脉识别、虹膜识别、人脸识别等。以门禁系统来说,基于生物识别的升级,门禁系统也了有指纹识别门禁、静脉识别门禁、虹膜识别门禁、人脸识别门禁等等,而多模态,则是将以上所有的生物识别进行集成融合,从功能上来看,多种方式可以灵活切换,用户可以根据实际情况进行识别。在使用相应的识别技术时,人们也要增强自身的安全意识,以免上当受骗。
作为个人信息安全领域影响广泛的国家标准,GB/T 35273-2020《信息安全技术个人信息安全规范》的发布和实施,对后续个人信息保护工作的开展将会产生深远影响。随着物联网、人工智能技术的发展及社会信息变革,对个人生物识别信息的利用将会越发广泛,而随着应用场景的多样化,对个人信息主体保护的挑战也将逐渐升级。