韩国个人信息保护委员会5月27日召开全体会议,审议并通过了针对手机号开通环节人脸核验机制的制度改进建议,将提交韩国科学技术信息通信部。
该项人脸核验试点由韩国科学技术信息通信部自去年12月23日起启动,作为韩国政府打击语音诈骗综合对策的一部分,在手机号开通过程中将身份证照片与本人实时面部影像进行比对,以完成身份核验。
在市民团体投诉及媒体报道引发个人信息侵害担忧后,韩国个人信息保护委员会对该试点的运行情况展开了调查。
委员会认为,韩国科学技术信息通信部在试点引入面部信息这一管理要求更高的生物识别信息作为身份核验手段时,未充分评估其敏感性,也未从个人信息保护角度对制度安排和运行方案进行周全审查。
韩国个人信息保护委员会指出,依据《个人信息保护法》,生物识别信息属于敏感信息,原则上只有在获得信息主体同意或具备明确法律依据的情况下方可处理。但在现行《电信事业法》等相关法规框架下,手机号开通环节是否允许将面部信息用作身份核验手段,法律依据仍不够明确。与此同时,在用户选择权未得到充分保障的情况下取得同意,实际上也难以认定为可自由拒绝的同意。
委员会还表示,应尽量压缩受托处理环节中的信息处理范围,并建议韩国科学技术信息通信部以个人信息保护为核心,重新审视并优化相关制度设计和运营机制。
根据委员会建议,韩国科学技术信息通信部在正式实施前,应先完成充分的事前审查,综合考量生物识别信息处理的敏感性,重点评估制度引入的必要性,以及适用范围、实施方式在实效性、适当性和比例性方面是否合理,并按照PbD(Privacy by Design)原则推进制度设计。
委员会同时指出,若事前审查确认该制度目的正当,且适用范围和实施方式与对信息主体权利的限制相匹配,并具备适当性和实效性,则应在符合《个人信息保护法》要求的前提下推进制度运行。
后续,韩国个人信息保护委员会将检查相关改进建议的落实情况,并表示将在确保个人信息安全处理环境的基础上,支持跨部门语音诈骗防范措施持续推进。
Chi-gyu Hwang
delight@d-today.co.kr