FaceID 个人信息与隐私保护政策

最近更新时间:【2024 年 9 月 11 日】

前言

北京旷视科技有限公司及其关联公司(以下简称“我们”或“旷视”)尊重并致力于保护个人信息与隐私。FaceID 平台(以下简称“本平台”)是旷视推出的第三方人脸识别 KYC 验证平台,旨在为行业用户提供从端到云的丰富 KYC 验证服务,并严格参照《旷视个人信息与隐私保护政策》(以下简称“《旷视政策》”)中的统一要求和标准处理相关个人信息;为进一步明确在本平台中可能涉及的个人信息处理实践,我们特制定了FaceID个人信息与隐私保护政策(以下简称“FaceID 政策”),以介绍本平台中收集、使用、留存等个人信息的具体处理。

请注意,FaceID政策并未完整介绍旷视在个人信息与隐私保护方面的所有措施与努力。我们承诺严格遵守适用法律法规和监管要求,并高度尊重您的个人信息相关合法权利,为完整了解我们的基本信息、我们的个人信息与隐私保护原则等相关内容,请同时阅读《旷视政策》。

此外,在基于本平台进一步开发、提供的特定业务场景,我们的客户(以下简称“客户”)或我们可能另行向终端个人用户(以下简称“用户”或“”)提供具体的隐私政策或同类法律文本,请同时完整阅读该等业务场景下的隐私政策或同类法律文本,以确保您能充分知悉有关个人信息处理的完整实践。FaceID政策仅适用于本平台,并完全独立于我们的客户或任何第三方可能或需要向您展示或提供的隐私政策或同类法律文本。

概要

1. 我们将通过FaceID政策向您介绍我们所执行的各类个人信息处理。当客户注册登录FaceID平台账号时,为建立客户账号以提供服务,或为遵守法律法规的要求,我们会收集、存储客户法定代表人及联系人的相关信息。

2. 作为第三方人脸识别KYC验证平台,当您使用接入FaceID服务的客户的产品、功能与服务时,我们将基于客户的委托与要求处理客户使用FaceID服务所需处理的相关信息和根据法律法规要求所必需的信息,其中涉及您的敏感个人信息,如客户使用FaceID人脸核身服务必需的姓名、身份证号、人脸图像人脸识别特征;您可以拒绝我们执行信息处理,但这可能导致您无法按客户要求完成某些特殊场景下的业务流程,进而可能影响您使用客户对应场景下相关的功能、服务。我们已在FaceID政策中进一步说明相关情况,有关您个人信息权益的重要条款已用加粗形式提示,请特别关注。

3. 为效率考虑,我们通常建议您直接与所您正使用的产品/服务的客户取得联系,以行使您的个人信息权利,您也可以通过FaceID政策所述途径及方式提出相关权利请求,我们将及时向客户转达并配合客户响应您的相关请求。

4. 为了在FaceID政策范围内执行相关业务流程,或者为您提供服务、优化我们的服务以及保障您的相关财产安全,我们将需要使用您相关设备的某些权限;其中的敏感权限例如摄像头、麦克风、相册等只有在您明确同意后我们才会在您同意的范围内调用或使用。您可以在设备操作系统的管理页面中查询您已经授权我们调用或使用的系统权限类型、使用目的,并进行统一管理。

FaceID 政策拟帮助客户和用户了解以下内容:

一、 我们如何收集使用个人信息

二、 我们如何保留和披露您的个人信息

三、 我们如何保护您的个人信息

四、 个人信息在全球范围内的转移

五、 您的个人信息权利

六、 我们如何处理儿童的个人信息

七、 如何联系我们

八、 FaceID政策如何更新

FaceID政策中,“个人信息”指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。如无其他说明,FaceID政策下的其他相关定义和术语具有与《网络安全法》《个人信息保护法》《信息安全技术 个人信息安全规范》等法律法规、规范性文件、国家标准中相同的含义。

一、 我们如何收集使用个人信息

旷视在不同的业务场景下,将与客户开展多种多样的业务合作。我们将与客户、供应商一道,确保所收集和处理的个人信息已取得您的完整、有效授权同意,但以下情况除外:

a) 根据您的要求订立或履行合同所必需;

b) 为履行法定职责或者法定义务所必需,例如与国家安全、国防安全、与刑事侦查、起诉、审判和判决执行等直接相关的法定职责或者法定义务;

c) 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

d) 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

e) 在合理的范围内处理您自行公开的个人信息,或者其他已经合法公开的个人信息(如合法的新闻报道、政府信息公开等渠道合法公开的个人信息);

f) 法律法规规定的其他情形。

1. 我们收集哪些个人信息及使用目的

就本平台而言,我们或客户都会存在收集、使用您的相关个人信息的情况,主要包括:

1) FaceID平台账号注册和登录

为完成FaceID平台账号注册和登录过程,我们将收集用于注册的用户名、手机号、邮箱地址(如有后续您主动填写);请注意,该等注册和登录过程是使用本平台的前提之一,如拒绝提供该等信息将无法正常注册、登录和/或使用本平台。

在FaceID平台账号注册后,如需启用完整平台能力(如充值付费等),还需进一步通过企业信息审核流程,该等流程中,除客户出具的授权函等法律文件以外,为保障客户合法权益、避免欺诈风险,我们还将收集客户法定代表人(及其代理人,如有)、联系人的相关信息,含法定代表人身份信息(姓名、身份证号、证件有效期及证件照片)、代理人身份信息(姓名、身份证号、证件有效期及证件照片),以核实相关人员身份。

此外,如您选择使用Face++账号登录本平台,我们也将收集您的Face++账号、密码、手机号用于完成登录过程的身份核验。

2) 人脸图像相关技术应用

为提供人脸图像相关技术的能力,我们将基于客户/用户提供的原始图片、视频等数据进一步识别和提取人脸关键点等面部识别特征,用于实现人脸比对、活体检测等具体功能。请您理解,本平台作为旷视人工智能能力开放的一部分,如您拒绝提供原始图片、视频等数据,前述功能将无法实现。

提请您注意的是,我们主要使用神经网络算法等先进算法和模型面向我们的客户提供技术能力的应用;该等功能项下可能涉及处理面部识别特征等生物识别信息,属于个人敏感信息;就您直接使用的特定产品和/或服务下如何收集使用生物识别信息的规则,我们建议您仔细了解该等特定产品和/或服务场景下的相关规则(通常由我们的客户向您说明)后,再行决定是否同意该等处理。

3) 证件信息识别技术应用

为提供证件信息识别相关技术的能力,我们也将基于客户主动提供的原始证件图片、姓名、身份证号码等数据进一步识别和提取证件信息(含身份证上的照片与文字信息),用于实现身份信息的识别与采集功能。该等功能项下可能涉及处理证件信息等个人身份信息,属于个人敏感信息。请您理解,本平台作为旷视人工智能能力开放的一部分,如您拒绝提供相关数据,前述功能将无法实现。

4) 保障相关技术应用过程安全

鉴于我们所服务客户的终端业务场景(如金融信贷场景)需要,必要时我们将额外采集您的部分应用信息、设备及系统信息(含电池充电状态、充电方式)并结合您在人脸图像、证件信息等相关技术应用过程中的具体记录,用于攻击与异常行为检测、应对、存证等主动防御功能。

请您注意,我们将在尽可能兼顾相关技术应用过程的效率前提下尽力保障安全,前述主动防御相关功能可能影响您能否顺利完成相关技术应用过程,进而影响您能否使用或何种程度使用您拟使用的、客户提供的特定产品和/或服务,我们再次建议您仔细了解该等场景下的相关规则(通常由我们的客户向您说明)后,再行决定是否同意、撤回该等处理。

特别地,根据国家APP合规治理相关要求,本平台相关SDK产品的具体信息如下表所示,如您是使用了相关SDK产品的APP/小程序开发者,您需要通过隐私政策或同类法律文本向终端用户履行相关告知义务,并确保相关APP/小程序收集使用个人信息遵循合法、正当、必要和诚信的基本原则:

SDK 名称 主要功能与目的 所需权限 收集个人信息类型 SDK 隐私政策链接
FaceID_SDK(Android) 完成人脸识别、活体检测等SDK功能 摄像头 人脸信息,含人脸照片、活体检测短视频及相应提取的生物识别特征 https://faceid.com/openapi/user/conf/url/pp
用于应用鉴权、设备风险检测等SDK安全保障,并确保兼容性 应用信息 应用信息,含已安装异常应用、异常文件、异常系统进程、当前应用包名、指定应用安装时间
设备参数及系统信息 设备信息,含设备品牌型号、系统及版本、处理器架构、重力传感器信息、传感器数量信息、是否存在蓝牙/闪光灯、电池充电状态与充电方式、Android ID、MediaDrm ID
确定连接网络 网络信息 网络信息,即是否连接网络
完成实体证件解析 NFC权限 证件信息,即证件芯片中加密的文本(如姓名、身份证号码等)与人脸照片信息
保障人脸识别、活体检测等SDK功能安全进行并完成留证 录屏权限、录音权限 活体检测期间屏幕所展示内容的录屏视频以及核验时的系统播报声音
FaceID_SDK(iOS) 完成人脸识别、活体检测等 SDK 功能 摄像头 人脸信息,含人脸照片、活体检测短视频及相应提取的生物识别特征
用于应用鉴权、设备风险检测等SDK安全保障,并确保兼容性 应用信息 应用信息,含已安装异常应用、已安装异常插件、当前应用包名
设备参数及系统信息 设备信息,含设备品牌型号、系统及版本、处理器架构、重力传感器信息、传感器数量信息、电池充电状态与充电方式、广告标识符(IDFA)
确定连接网络 网络信息 网络信息,即是否连接网络
完成实体证件解析 NFC权限 证件信息,即证件芯片中加密的文本(如姓名、身份证号码等)与人脸照片信息
保障人脸识别、活体检测等SDK功能安全进行并完成留证 录屏权限、录音权限 活体检测期间屏幕所展示内容的录屏视频以及核验时的系统播报声音
FaceID_SDK(HarmonyOS) 完成人脸识别、活体检测等 SDK 功能 摄像头 人脸信息,含人脸照片、活体检测短视频及相应提取的生物识别特征
用于应用鉴权、设备风险检测等SDK安全保障,并确保兼容性 应用信息 应用信息,含当前应用包名、已安装异常应用、已安装异常插件
设备参数及系统信息 设备信息,含设备品牌型号、系统及版本、处理器架构、重力传感器信息
确定连接网络 网络信息 网络信息,即是否连接网络
保障人脸识别、活体检测等SDK功能安全进行并完成留证 录屏权限、录音权限 活体检测期间屏幕所展示内容的录屏视频以及核验时的系统播报声音
OCR_SDK(Android) 完成图像质量检验与采集的SDK功能 摄像头 证件信息,含证件照片及相应提取的文本信息
用于应用鉴权并确保兼容性适配 应用信息 应用信息,含当前应用包名
设备参数及系统信息 设备信息,含设备品牌型号、系统及版本、处理器架构
确定连接网络 网络信息 网络信息,即是否连接网络
OCR_SDK(iOS) 完成图像质量检验与采集的 SDK 功能 摄像头 证件信息,含证件照片及相应提取的文本信息
用于应用鉴权并确保兼容性适配 应用信息 应用信息,含当前应用包名
设备参数及系统信息 设备信息,含设备品牌型号、系统及版本、处理器架构
确定连接网络 网络信息 网络信息,即是否连接网络
OCR_SDK(HarmonyOS) 完成图像质量检验与采集的 SDK 功能 摄像头 证件信息,含证件照片及相应提取的文本信息
用于应用鉴权 应用信息 应用信息,含当前应用包名
确定连接网络 网络信息 网络信息,即是否连接网络

2. 有关 Cookie 的特别声明

Cookie是网站、应用程序或服务传输并存储在您设备上的小文件,如互联网上绝大多数网站一样,我们向您发送Cookies主要是为了简化您重复登录的步骤、存储您的偏好、帮助您判断账户或数据安全,或者自动记录某些信息(如互联网协议IP地址、浏览器类型、互联网服务提供商ISP、设备软件版本信息、网页浏览数、引荐网页、日期/时间戳、点击流数据等)以分析、管理我们的网站。关于我们使用Cookie的更多详情,请参阅《旷视政策》。

二、 我们如何保留和披露您的个人信息

1. 您个人信息的保留情况

除非有可适用的法律法规或监管规定明确要求,我们将根据实现处理目的所需的最短时间内保留您的个人信息。

在本平台下,我们主要提供技术能力的具体应用,为确保本平台功能的正常使用,我们将在您使用本平台期间及随后的合理期限内保留您所使用的设备信息。在具体功能实现后,我们将尽快删除或匿名化处理客户提供的原始图片、视频等数据和/或基于该等原始数据形成的服务成果。

2. FaceID业务中涉及的外部合作情况

我们在与客户、供应商的合作中,谨遵守合法正当、最小必要与安全审慎原则,与客户、供应商提前达成、并始终遵循相关协议约定,以保护您的个人信息安全。

FaceID政策项下涉及的第三方信息交互如下:

a) 与我们的客户之间的个人信息交互;请您理解,本平台为第三方技术平台,通常作为个人信息处理的受托人,按照客户要求执行具体处理,该等过程中,我们将根据客户提供的要求与原始个人信息进行必要的技术处理,并向客户提供相应的服务结果。请您理解,该等过程虽涉及与客户之间的个人信息交互,但并不构成实质上的第三方信息共享。

b) 针对信贷场景FaceID产品的用户我们将基于您在依法运营的个人征信机构(即朴道征信有限公司)的企业客户处办理相关业务及后续发生本人信贷业务时提供的授权,向依法运营的个人征信机构(即朴道征信有限公司)提供您的在线身份验证记录(即本平台相关服务日志)及分析产品,以供其在您的前述信贷业务存续期间查询、采集、获取并使用、保留、加工您的相关个人信用信息,用于开展个人征信业务之必要目的。

c) 针对涉及线下实证NFC服务的用户,我们将与实证(NFC)服务的供应商(即上海方付通科技服务股份有限公司金联汇通信息技术有限公司)共同为您提供相关实体证件的真伪核验服务,相关实证服务可能通过接入供应商提供的软件开发包(SDK)、应用程序接口(API)等合作方式实现,我们已对接入的相关供应商在以下表格中列明,供应商的具体情况与协议请参照供应商网站链接。请注意,有关供应商的代码、版本等具体数据处理实践,请以供应商公示的官方说明为准。

实证服务SDK(方付通)

涉及个人信息:

实证服务二要素服务:证件芯片中加密的姓名、身份号码信息
实证服务三要素服务:证件芯片中加密的姓名、身份号码、人像照片信息
实证服务全要素服务:证件芯片中加密的文本与人脸照片信息

使用目的:完成实证服务

使用场景:需要对个人所持实体证件的真伪核验、个人身份信息识读的业务场景

合作方主体:上海方付通科技服务股份有限公司

收集方式:SDK采集加密信息

合作方官网链接:https://www.f-road.com.cn/

实证服务SDK(金联汇通)

涉及个人信息:公民身份号码、姓名、民族、性别、出生日期、住址、有效期限、签发机关、人像照片

使用目的:完成实证服务

使用场景:需要对个人所持实体证件的真伪核验、个人身份信息识读的业务场景

合作方主体:金联汇通信息技术有限公司

收集方式:SDK采集加密信息

合作方官网链接:http://www.eidlink.com/

合作方隐私政策链接:http://www.eidlink.com/customer_eid.html

d) 针对涉及可信身份认证需求的用户,我们将基于您在客户处办理相关业务的具体场景需求,与“互联网+”可信身份认证平台服务提供方(包括但不限于北京中盾安信科技发展有限公司)共同提供相关身份核验服务,并向其提供您的身份信息(含姓名、身份证件号码与FaceID业务流程中获取的活体图片),以完成相关服务过程。

此外,根据《网络安全法》等强制性法律法规要求,我们将切实保留网络日志不少于六个月。

除非适用的法律法规或监管规定明确要求,或存在其他《旷视政策》中明确的披露场景,我们不会以任何形式、出于任何目的对除客户以外的外部第三方共享和披露本平台下涉及的个人信息。

三、 我们如何保护您的个人信息

我们已采取了合理、可行的管理措施和技术措施,以保护所处理的个人信息并应对个人信息安全事件,请参见《旷视政策》以了解更多的措施。但是请注意,虽然我们采取了合理的措施保护您的个人信息,但没有任何网站、Internet 传输、计算机系统或无线连接是绝对安全的

具体而言,本平台下,我们用以保护您提供的个人信息的主要安全防护措施包括但不限于:

1) 我们会在可行的情况下及时将您的个人信息进行去标识化处理,从而降低其他组织或个人重新识别到您的风险;

2) 我们会定期审查个人信息处理的方式(包括物理性安全措施),并不断强化API和SDK等技术工具的安全性;

3) 我们将不断努力保障您的个人信息安全,并实施传输全程安全加密等保障手段,以免您的个人信息在未经授权的情况下被访问、使用或披露。

四、 个人信息在全球范围内的转移

我们的服务器位于中国、新加坡、印度尼西亚和日本。

由于相关法律法规要求,原则上,在中国境内收集和产生的个人信息将统一在中国境内服务器进行处理,如因客户要求需要向境外传输的,我们将合理敦促客户遵循相关法律规定完成必要的前置性合规义务,包括但不限于征求您的同意。

对于中国境外的业务,我们的客户将自行决定支持的服务器;根据我们客户的选择,您的个人信息将从您所处的司法辖区转移至位于新加坡、印度尼西亚或日本的服务器上进行处理。

如确有必要在全球范围内转移您的个人信息时,我们将与我们的客户一道,致力于在符合相关司法辖区的强制性规则要求前提下转移您的个人信息。

五、 您的个人信息权利

我们高度尊重您依法享有的个人信息相关合法权利。以下我们列出了您的权利,以及我们将如何保护您的这些权利。请注意,针对具体的请求,出于安全考虑,在处理您的请求前,我们可能需要先行验证您的身份。

1) 知情权:我们致力于提升个人信息处理的透明性,并将通过FaceID政策及其他相关法律文本向您告知我们如何处理您的个人信息。

2) 访问权:您有权访问您的个人信息。

3) 更正权:当您发现我们处理的关于您的个人信息有错误时,您有权要求我们做出更正。

4) 删除权:若我们没有合法理由继续持有并处理您的信息,您可以向我们要求删除您的个人信息,我们将及时按照您的要求予以删除。

5) 注销账户:如您是通过注册或任何可用的方式获取我们提供的账户而使用相关产品或服务的,您可通过具体的产品或服务场景下向您提供的注销账户渠道提交注销申请,我们将及时完成核查和处理。

6) 拒绝自动决策权:您有权不受制于全自动处理作出的决定,包括用户画像。若这些决定显著影响您的合法权利,您有权要求解释。

7) 解释权:您有权要求我们对您的个人信息处理规则进行解释说明。

8) 可携权:在符合国家网信部门规定条件且技术可行的前提下,您可请求将个人信息转移至指定的处理者,如您确有需要,请您提前与我们联系以确认是否符合前述条件及转移的具体途径。

9) 查询权:您有权查询您的个人信息。如您确有需要的,在符合相关规定条件的前提下,您也可联系我们获取您的个人信息副本。

10) 撤销权:每个功能模块需要一些基本的个人信息才能得以完成,当您撤销同意或授权后,我们无法继续为您提供撤回同意或授权所对应的服务,也将不再处理您相应的个人信息。但您撤回同意或授权的决定,不会影响此前基于您的同意或授权而开展的个人信息处理。撤销信息授权的途径为:邮件发送您的撤销申请至我们的联系邮箱business@megvii.com

如我们未能及时响应您的请求,或您对于我们的答复有任何异议,您可通过本政策内的联系方式向我们投诉或向相关监管部门申诉。

六、 我们如何处理儿童的个人信息

请您注意,我们的所有产品、网站和服务主要面向企业客户,我们并不会自行主动收集、处理儿童个人信息。如任何客户或用户希望或意图向我们提供或要求我们处理儿童的个人信息,请务必确保已严格按照《个人信息保护法》《儿童个人信息网络保护规定》等相关法律法规的要求,取得儿童监护人的事先同意授权。

如我们发现任何客户或用户在未经父母或监护人同意的情况下提供包含儿童个人信息的原始数据,我们将立即删除该等原始数据并不会就该等数据提供任何服务。为免歧义,我们将不满14周岁的任何人均视为儿童。如您是已满14周岁但尚未满18周岁的未成年人,我们建议您在您的父母或监护人的监护与指导下共同阅读相关法律文件(包括但不限于客户隐私政策及本FaceID政策)。

此外,我们格外重视儿童个人信息的安全、可控。我们内部已明确将儿童个人信息列为最高安全等级的数据类型,并切实采取了加密存储、严格的访问权限控制等技术和管理措施,提供额外的安全保护。

七、 如何联系我们

如您对本政策及您的个人信息存在任何相关问题、申/投诉,或您需要任何个人信息权利相关的协助,为及时满足您的请求考虑,我们建议您向具体业务场景下的个人信息处理者(通常为我们的客户)直接提出请求,并由其视情况向我们转交。我们会在收到转交的请求后尽快进行回应。

如您确有需要,您可以通过向 business@megvii.com 发送邮件联系我们,为确保您的请求清晰、明确,请在前述邮件中提供:

1) 您的姓名(名称)和联系方式;

2) 您的详细请求、意见和/或相应的链接。

对于您合理的请求,我们原则上不收取费用,但对多次重复、超出合理限度的请求,我们将视情收取一定成本费用。对于那些无端重复、需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者非常不切实际(例如,涉及备份磁带上存放的信息)的请求,我们可能会予以拒绝。

一般而言,我们会在15个工作日内或法律法规规定的期限内尽快回复,但以下情形除外:

1) 与履行法律法规规定的义务相关的;

2) 与国家安全、国防安全直接相关的;

3) 与公共安全、公共卫生、重大公共利益直接相关的;

4) 与刑事侦查、起诉、审判和执行判决等直接相关的;

5) 有充分证据表明您可能存在主观恶意或滥用权利的;

6) 出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;

7) 响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的;

8) 涉及商业秘密的。

八、 FaceID政策如何更新

我们保留不时更新或修改FaceID政策的权利。但未经您明确同意,我们不会削减您按照FaceID政策所应享有的权利。您可通过本页面查看最新版本的FaceID政策。

对于重大变更,我们会提供更为显著的通知(包括对于某些服务,我们会通过电子邮件等方式发送通知,说明具体的变更内容)。

FaceID政策所指的重大变更包括但不限于:

1) 我们的服务模式发生重大变化,如处理个人信息的目的、处理的个人信息类型、个人信息的使用方式等;

2) 我们在所有权结构、组织架构等方面发生重大变化,如业务调整、破产并购等引起的所有者变更等;

3) 个人信息共享、转让或公开披露的主要对象发生变化;

4) 您参与个人信息处理方面的权利及其行使方式发生重大变化;

5) 我们负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化时;

6) 个人信息安全影响评估报告表明存在高风险时。