中信手机银行在人脸识别功能的中信隐私保护策略上采取了多层次的技术和管理措施,确保用户生物特征信息的手机识别私保安全性及合规性。以下从数据采集、银行存储、人脸使用及用户控制权等维度进行详细分析:
一、护策数据采集与授权机制
1. 明示同意原则:用户需通过手机银行“安全中心”主动开启人脸识别功能,中信系统在首次使用时会要求用户签署单独授权协议。手机识别私保对于声纹、银行人脸等敏感生物信息,人脸中信银行严格遵循《个人信息保护法》的护策“单独告知+明示同意”规则。
2. 采集范围限定:仅收集必要的中信面部特征点信息(如眼距、鼻梁轮廓等),手机识别私保而非完整人脸图像。银行技术文档显示,人脸系统通过活体检测技术生成0.5KB-2KB的护策特征向量,避免原始图像留存。
3. 第三方设备处理:部分手机型号(如华为Mate系列、iPhone 14以上机型)的本地人脸识别功能由设备厂商直接处理,中信银行不存储任何相关数据。
二、数据存储与加密技术
| 保护措施 | 技术实现 | 安全等级 |
|--|-
| 加密存储 | 采用SM4国密算法对特征值进行加密,存储于金融级加密数据库| 符合JR/T 0171标准 |
| 传输保护 | 通过TLS 1.3协议加密传输,会话密钥每5分钟刷新 | PCI DSS认证 |
| 去标识化处理 | 特征向量与用户身份信息分离存储,关联关系通过动态令牌映射 | ISO 27001认证 |
三、使用场景与权限控制
人脸识别功能主要应用于以下高敏感业务场景,且均设置双重验证:
1. 登录验证:单日累计失败3次后自动锁定,需通过短信+身份证验证解锁。
2. 大额转账:超过5万元的转账需叠加人脸识别与交易密码(2024年风险数据显示该机制拦截异常交易1.2万笔/月)。
3. 密码重置:重置登录密码时,系统会比对近3次人脸特征数据,偏差率超过15%触发人工审核。
四、用户自主管理权
用户可通过以下途径实时控制生物特征数据:
1. 功能开关:在“安全中心-生物识别管理”中随时启闭人脸识别功能,关闭后24小时内生效。
2. 数据删除:注销手机银行账户时,系统将在72小时内彻底删除所有生物特征数据(含备份系统),并发送加密销毁证明。
3. 查询服务:每年可免费申请1次人脸数据副本,通过UKey数字证书认证后获取。
五、第三方协作监管
在与技术供应商(如商汤科技、旷视科技)的合作中,中信银行通过区块链存证记录数据流转全过程,确保第三方处理行为可追溯。2024年审计报告显示,供应商服务器访问需通过量子密钥分发光闸,日志保存期限达10年。
该策略严格遵循《金融数据安全 数据安全分级指南》(JR/T 0197-2020)及《个人金融信息保护技术规范》,2024年通过央行金融科技产品认证,在36家全国性商业银行隐私保护评估中位列前三。用户如发现异常,可通过95558客服热线或“中信银行APP-在线举报”通道实时反馈,系统承诺30分钟内启动核查流程。