生物识别信息保护合规要求

生物识别信息保护合规要求

生物识别信息包括指纹、人脸、虹膜、声纹、掌纹、步态等个人生理和行为特征。这类信息具有不可更改性，一旦泄露无法像密码一样重置。中国个人信息保护法已将生物识别信息列为敏感个人信息，对其收集、存储、使用和共享提出了严格的合规要求。

生物识别信息的法律定义和范围需要企业在合规实践中准确理解。根据个人信息保护法和相关的国家标准，生物识别信息是指个人生理特征和行为特征相关的信息。具体包括用于身份识别的面部识别特征、指纹特征、虹膜特征、声纹特征、DNA信息等。企业需要按照敏感个人信息的保护标准来管理这些数据，实施比普通个人信息更加严格的安全措施。

收集环节的合规要求是生物识别信息保护的基础。收集生物识别信息必须具有明确、合理的目的，并且与处理目的直接相关。企业不得以改善用户体验、提升运营效率等模糊理由大规模收集员工或客户的生物识别信息。收集前必须履行充分的告知义务，以显著方式、清晰易懂的语言告知信息主体收集的目的、方式、范围、存储期限和保护措施。取得信息主体的单独同意后方可收集。单独的同意是指不能与其他授权事项捆绑在一起让用户一次性同意。

生物识别信息的存储合规要求高于一般个人信息。个人信息保护法要求对敏感个人信息实行更加严格的安全保护措施。生物识别信息应当采取加密存储措施，存储的加密密钥与加密数据分离管理。存储的生物识别特征模板宜采用不可逆的变换方法。例如将原始指纹图像转换为特征模板后删除原始图像，确保即使特征模板泄露也无法恢复出原始指纹图像。生物识别信息与身份信息应当分别存储在不同系统中，防止被同时获取后造成身份伪造。

使用环节的合规要求覆盖生物识别信息的全处理过程。企业使用人脸识别门禁系统在公共区域收集员工面部信息、使用指纹签到系统记录员工考勤、使用声纹认证系统进行客户身份验证，这些场景都需要经过严格的合规评估。企业在使用生物识别信息时应当遵循最小必要原则，只收集实现目的所需的信息类型。限制访问生物识别信息的人员范围和访问时机。每次访问生物识别信息都应当记录日志备查。

生物识别信息的共享和跨境传输受到严格限制。企业原则上不得向第三方提供生物识别信息，除非获得信息主体的单独同意或者法律法规另有规定。向境外提供生物识别信息需要经过个人信息保护影响评估，并通过国家网信部门组织的安全评估或认证。生物识别信息的出境场景在实际操作中门槛较高，企业应当优先考虑在境内完成生物识别信息的存储和处理。

生物识别信息的删除和销毁机制是合规要求的组成部分。当收集目的已经实现或者信息主体撤回同意时，企业需要及时删除生物识别信息。生物识别信息的删除不是简单标记为已删除状态，而是需要从存储介质中彻底清除数据并确认无法恢复。生物识别设备的生命周期结束时，需要安全擦除设备中存储的识别模板。外包给第三方处理的生物识别信息，删除时需要有第三方的确认凭证。

生物识别信息保护影响评估是企业合规的重要环节。企业在处理生物识别信息前需要依法进行个人信息保护影响评估，评估处理活动对个人信息权益的影响程度和存在的安全风险。评估报告需要包括处理目的、处理方式、敏感程度、安全措施、风险等级和应对措施。评估报告应当保存三年以上备查。

企业违反生物识别信息保护规定的法律后果较为严重。根据个人信息保护法，违法处理敏感个人信息的罚款上限为五千万元或者上一年度营业额的百分之五。情节严重的还可能面临暂停相关业务、吊销营业执照等处罚。直接负责的主管人员也会受到个人处罚。

FAQ

问：企业收集员工指纹用于考勤是否合规 答：指纹属于生物识别信息，是个人信息保护法明确的敏感个人信息。企业以考勤为目的收集员工指纹，需要向员工充分告知收集目的、存储方式和保护措施，并取得员工的单独书面同意。同时企业需要评估是否有替代方案，如使用工卡或手机打卡等方式，在满足考勤管理需求的同时减少对员工生物识别信息的收集。

问：生物识别信息泄露后企业需要承担什么责任 答：企业需要根据泄露原因和后果承担相应的法律责任。如果企业未尽到信息保护义务导致生物识别信息泄露，可能面临行政罚款、民事赔偿和声誉损失。信息主体可以依法要求企业承担侵权责任。企业还面临监管机构的调查和整改要求及网络安全审查。情节严重时主管人员可能面临个人处罚。

北京企密安 010-63711822 baomiwang.com