电子证件安全认证服务个人信息保护政策

为便于用户在移动互联网环境中更加便利地证明自己的身份,公安部第三研究所(以下称“公安部三所”)推出电子证件安全认证服务,用户可以通过该服务向应用机构提供有关身份证件信息并证明自己的身份,在此将详细说明公安部三所在获取、管理及保护用户个人信息方面的政策及措施。

发布日期:2021年6月4日

如果您有任何疑问、意见或建议,请通过以下联系方式与公安部三所联系:

电子邮件:service@eid.net.cn


本政策将帮助您了解以下内容:

● 电子证件安全认证的个人信息收集使用规则

● 使用活体检测和人证比对功能时的个人信息收集使用规则

● 个人信息的使用

● 采取的个人信息保护措施

● 对第三方责任的声明

● 本政策的更新

公安部三所深知个人信息对您的重要性,并会尽全力保护您的个人信息安全可靠。公安部三所致力于维持您对我们的信任,恪守以下原则,保护您的个人信息:权责一致原则、目的明确原则、选择同意原则、最小必要原则、确保安全原则、主体参与原则、公开透明原则等。同时,公安部三所承诺将按业界成熟的安全标准,采取相应的安全保护措施来保护您的个人信息。

请在使用公安部三所的产品或服务前,仔细阅读并了解本《个人信息保护政策》。

1 名词解释

1.1 电子证件安全认证(简称“实证”)

是应用机构通过终端设备完成对用户个人所持电子证件的真伪核验、个人身份信息识读和个人信息保护的过程。

1.2 电子证件(简称“证件”)

电子证件是指个人身份证件类、旅行证件类和eID电子证照等通过安全芯片实现密码防伪的证件。其中:身份证件类包括大陆第二代居民身份证、港澳台居民居住证、外国人永久居留证;旅行证件类包括护照、港澳通行证、台湾通行证、台胞证、回乡证;eID电子证照是个人在移动终端上开通的电子证照,不仅由安全芯片实现密码防伪,而且需要个人授权出示(口令、指纹等保护措施)以保护个人身份信息防止被他人滥用。

1.3 电子证件信息(简称“证件信息”)

对于身份证类证件和eID电子证照,个人信息包括:姓名、民族、性别、出生日期、住址、公民身份号码、签发机关、有效期限、照片;对于旅行证类证件,证件信息包括:姓名(英文/拼音)、证件号码、出生日期、有效期限、照片等。

1.4 活体检测

通过记录用户的人脸视频,在服务端进行活体检测,以确定真实生理特征的一种功能。

1.5 人证比对

将电子证件安全认证获取的电子身份证件内置照片与活体检测到的照片进行比对,返回相似度数的一种功能。

1.6 应用机构

向用户提供服务时,经用户明确授权同意,有权通过电子证件安全认证获取用户的全部或部分证件信息并核实用户身份的机构。

2 电子证件安全认证的个人信息收集使用规则

2.1 电子证件安全认证的业务流程

应用机构在向用户提供服务之前需要通过电子证件安全认证获取用户的全部或部分证件信息,经用户明确同意后,将电子证件贴近电子证件安全认证终端设备(例如NFC手机),如果读取成功,公安部三所电子证件安全认证系统将获得用户的全部证件信息。

请用户注意应用机构的用户协议或者弹窗提示以明确应用机构所收集的证件信息的范围。

如果用户将证件贴近终端设备进行证件读取操作代表用户同意公安部三所获取用户的全部证件信息,并同意公安部三所按照应用机构的收集范围向应用机构返回相关证件信息。

3 使用活体检测和人证比对功能时的个人信息收集使用规则

如果应用机构进一步需要公安部三所对用户进行活体检测或人证比对,则应用机构会要求用户录制一段人脸视频或拍摄一张人脸照片,交由给公安部三所电子证件安全认证系统后台进行活体比对或人证比对业务判断并输出结果。

4 个人信息的使用

4.1 公安部三所会根据应用机构合规合理的收集范围向应用机构返回必要的、最小化的证件信息。

4.2 公安部三所收集到的人脸信息和证件信息仅用于活体检测与人证比对业务。

4.3 公安部三所电子证件安全认证系统获取的证件信息在返回给应用机构后,公安部三所不留存任何个人信息,仅留存去标识化处理后的服务日志。

5 采取的个人信息保护措施

5.1 公安部三所针对业务全流程制定了《电子证件安全认证服务管理规范》及业务处理流程,做到合规运营有原则、技术安全有保障、行业入网有要求、识读内容有控制、运营操作有规范、信息保护有措施。

5.2 电子证件安全认证所采用的相关密码设备,均有商用密码型号并取得了计算机信息系统安全专用产品销售许可证。在信息传递中采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的措施,降低个人信息数据在传输过程中会被截留、解密的风险。

5.3 除通过以上措施来保护用户的个人信息,公安部三所还会根据具体的应用场景采取各种技术措施和其他必要措施来保护用户的个人信息。但请用户理解,在互联网环境下,由于技术的限制和可能存在的恶意行为,任何措施都不可能保证服务的百分之百安全。

6 对第三方责任的声明

应用机构应当有自己的个人信息保护政策。公安部三所会努力去要求这些主体对用户的个人信息采取保护措施,但公安部三所无法保证这些主体一定会按照公安部三所的要求采取保护措施,亦不对这些主体的行为及后果承担任何责任。如果用户发现这些应用机构或第三方开发的应用存在风险时,建议用户终止相关操作以保护自身合法权益。

7 本政策的更新

如业务发展或国家法律政策发生变化,公安部三所会更新本个人信息保护政策。公安部三所会在本页面上发布对本政策所做的任何变更。

鉴于公安部三所为应用机构的技术服务方,无法直接面向用户,如用户不同意对于本政策的更新,请停止使用公安部三所提供的相关服务。