《人脸门禁数据合规核查要点及风险判定（试行）》.docxVIP

《人脸门禁数据合规核查要点及风险判定（试行）》

首先开展人脸门禁处理活动前提合规性核查，确认人脸门禁的部署场景符合法定要求，不存在在应当保障公共通行权的场所，如住宅小区、写字楼园区、企事业单位内部办公区域强制使用人脸门禁、未提供替代通行方式的情形，核查过程中需要逐一核验，针对不同意提供人脸信息的通行人员，运营方是否设置了刷卡、二维码核验、人工登记等合理替代通行方案，不存在因拒绝同意人脸收集就限制通行权限的情况。其次核查处理敏感个人信息的前置程序履行情况，处理人脸信息的运营主体是否针对人脸门禁处理活动开展了个人信息保护影响评估，评估内容是否完整覆盖处理目的合法性、收集范围必要性、安全保护措施有效性、对自然人权益的影响风险等内容，评估报告是否按要求留存，涉及大规模处理人脸信息的是否已向属地履行个人信息保护职责的部门完成报备。

进入收集环节合规核查，首先核查最小必要原则的落实情况，确认收集的人脸信息仅用于实现门禁身份核验的特定目的，是否存在超范围收集，比如额外采集与门禁核验无关的个人信息，或者无差别抓拍采集门禁场景周边过路不特定人员的人脸信息，确认仅采集用于身份核验所需的人脸特征信息，未要求通行人员提供额外的生物识别信息或者其他敏感个人信息。其次核查告知与同意规则的落实，确认针对人脸信息的处理事项已经向所有通行人员做了清晰明确的单独告知，告知内容涵盖处理目的、处理方式、存储期限、安全保护