近期,多地推出了儿童刷脸定制公交的新闻引起了大家的关注。所谓定制公交是指为“在固定时间节点、有固定特殊出行需求”的人提供量身定制的公交专线。这种专门为学生定制公交根据学生出行需求,按照学校放学时间和流向开通定制公交,让学生可以直接从小区附近的公交站往返学校,减少学生等车、转乘车的麻烦,减轻了家长接送孩子上下学负担,受到很多学校和家长的欢迎。
借助人脸识别技术,公交公司进一步推出了针对儿童刷脸乘坐的功能,家长可以根据特定的App,实时了解自家小孩是否已经上车以及该辆车所处的位置。刷脸功能的应用,让家长在乘车安全上吃了颗“定心丸”,然而除了乘车安全外,个人信息安全也应当得到重视,这样才能让智慧服务更可靠更安心。
分析与建议
经简单调研发现,刷脸乘坐公交功能的开通,需要下载使用特定App进行注册、充值、录入人脸图像一些列操作,这其中的主要安全关注点有以下方面:
一、由于刷脸乘坐公交的应用场景对效率要求较高,对识别精准度方面的要求不算特别高,大多数此类App使用的人脸识别技术是通过用户主动上传照片作为身份验证参照原始信息。
参照GB/ T35273《个人信息安全规范》,照片属于人脸原始样本信息,宜进行加密和单独存储,仅提取摘要可供刷脸时匹配即可,每次刷脸上传的照片也不宜长期存储,应在满足刷脸验证需要后及时删除。
二、经测试,部分App在使用充值功能前,需要上传包含身份证号、身份证件照等实名信息。在从儿童刷脸乘坐公交的需求来看,事实上需要完成的是“人”与“充值额度”的对应匹配,录入的人脸能够消费余额即可,知晓身份证信息对完成该功能其实并无帮助。因此,很多电子公交卡都采用简单注册即可充值使用的方式,避免了收集过多的敏感信息。收集的越少,信息被滥用、泄漏后的危害就越小。
三、就刷脸乘坐公交的功能而言,首先应保障用户的选择权,用户可以选择其他方式(如二维码、NFC等)乘坐公交。其次是要保障用户撤回同意的权利,一旦不想继续使用该功能,应提供撤回/注销并删除人脸信息的机制。对于儿童而言,监护人应当可以替儿童行使相应的权利。最后,就是要将收集使用个人信息的规则、采取的安全措施、投诉举报的渠道等在隐私政策等文件中予以公开,保障用户知情权。对于刷脸乘坐公交这个特定功能而言,其所收集的任何个人信息未经用户的明示同意不能用于其他目的。
点评
为儿童提供安全的成长环境是全社会的责任,为儿童提供的新服务、新应用时,安全理应是最重要的考虑要素。人脸信息属于个人生物识别信息,儿童个人信息也是典型的个人敏感信息,采集使用儿童个人生物识别信息更应当慎之又慎,重视安全。在GB/T 39335-2020 《个人信息安全影响评估指南》里指出,对于此类可能涉及风险较高的个人信息处理行为,需要进行充分评估、消除风险后才予以上线使用。
声明:本文来自App个人信息举报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。