4月23日,《信息安全技術人臉識別數據安全要求》國家標準的征求意見稿的面向社會公開征求意見。
據悉,此次擬出臺的國標主要為解決人臉數據濫采,泄露或丟失,以及過度存儲、使用等問題,對于《個人信息保護法》草案中人臉識別相關的規(guī)定也有一定的體現(xiàn)和細化。
國標要求,收集人臉識別數據時應征得數據主體明示同意,不得利用人臉識別數據評估或預測數據主體工作表現(xiàn)、經濟狀況、健康狀況、偏好、興趣等情況。同時,應提供除人臉識別外的其他身份識別方式供用戶選擇,不應因用戶不同意收集人臉識別數據而拒絕數據主體使用基本業(yè)務功能等。此外,還對進行人臉識別的開發(fā)商提出了技術資質門檻,要求其具備相應的數據安全防護和個人信息保護能力,以防范人臉識別被“活照片”等非法破解。
而針對人臉圖像,國標要求應在完成驗證或辨識后立即刪除,如果開發(fā)商希望存儲人臉圖像,同樣要經過數據主體單獨書面授權同意。值得注意的是,國標中還特別提到了“原則上不應使用人臉識別方式對不滿十四周歲的未成年人進行身份識別”。
以下為征求意見稿全文:
1 范圍
本文件規(guī)定了人臉識別數據的基本安全要求、安全處理要求和安全管理要求。
本文件適用于數據控制者安全開展人臉識別數據相關業(yè)務。
2 規(guī)范性引用文件
下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 35273—2020 信息安全技術 個人信息安全規(guī)范
GB/T AAAAA—AAAA 信息安全技術 網絡數據活動安全要求
GB/T BBBBB—BBBB 信息安全技術 生物特征識別信息保護基本要求
GB/T CCCCC—CCCC 信息安全技術 個人信息安全影響評估指南
3 術語和定義
GB/T 35273—2020、GB/T AAAAA—AAAA、GB/T BBBBB—BBBB和GB/T CCCCC—CCCC中界定的以及下列術語和定義適用于本文件。
3.1 人臉圖像 face image
自然人臉部信息的模擬或數字表示。
注:人臉圖像可通過設備收集,也可對視頻、數字照片等進行處理后獲得,主要包括可見光圖像、非可見光圖像(如紅外圖像)、三維圖像等。
3.2 人臉特征 face feature
從數據主體的人臉圖像提取的反映數據主體的參數。
3.3 人臉識別數據 face recognition data
人臉圖像及其處理得到的,可單獨或與其他信息結合識別特定自然人或特定自然人身份的數據。
3.4 數據主體 data subject
人臉識別數據所標識的特定自然人。
[來源:GB/T 35273-2020,3.3,有修改]
3.5 數據控制者 data controller
有能力決定人臉識別數據處理目的、方式等的組織或個人。
[來源:GB/T 35273-2020,3.4,有修改]
3.6 數據處理 process
對人臉識別數據進行收集、存儲、使用、共享、轉讓、公開披露、刪除的活動。
4 概述
本文件總結了涉及人臉圖像處理的三類場景,包括:
a) 人臉驗證:將采集的人臉識別數據與存儲的特定自然人的人臉識別數據進行比對(1:1比對),以確認特定自然人是否為其所聲明的身份。典型應用包括機場、火車站的人證比對,移動智能終端的人臉解鎖功能等。此類場景應滿足本文件的基本安全要求、安全處理要求和安全管理要求。
b) 人臉辨識:將采集的人臉識別數據與已存儲的指定范圍內的人臉識別數據進行比對(1:N比對),以識別特定自然人。典型應用包括公園入園、居民小區(qū)門禁等。此類場景應滿足本文件的基本安全要求、安全處理要求和安全管理要求。
- 人臉分析:不開展人臉驗證或人臉辨識,僅對采集的人臉圖像進行統(tǒng)計、檢測或特征分析。典型應用包括公共場所人流量統(tǒng)計、體溫檢測、圖片美化等。此類場景應遵循GB/T 35273-2020、GB/T AAAAA-AAAA《網絡數據活動安全要求》的要求處理人臉圖像。
a) 應遵循GB/T 35273-2020、GB/T AAAAA-AAAA《網絡數據活動安全要求》、GB/T BBBBB-BBBB 《生物特征識別信息保護基本要求》的要求。c) 應采取安全措施確保數據主體權利,包括但不限于獲取人臉識別數據使用情況、撤回授權、注銷賬號、投訴、獲得及時響應等。e) 應具備與其所處理人臉識別數據的數量規(guī)模、處理方式等相適應的數據安全防護和個人信息保護能力。f) 開展人臉驗證或人臉辨識時,應至少滿足以下要求:1)非人臉識別方式安全性或便捷性顯著低于人臉識別方式。示例:機場、火車站進行人證比對時,使用人臉識別以外的身份識別方式會導致相關服務便捷性的明顯下降。2)原則上不應使用人臉識別方式對不滿十四周歲的未成年人進行身份識別。3)應同時提供非人臉識別的身份識別方式,并提供數據主體選擇使用。5)人臉識別數據不應用于除身份識別之外的其他目的,包括但不限于評估或預測數據主體工作表現(xiàn)、經濟狀況、健康狀況、偏好、興趣等。a) 收集人臉識別數據時,應向數據主體告知收集規(guī)則,包括但不限于收集目的、數據類型和數量、處理方式、存儲時間等,并征得數據主體明示同意。b) 在自然人拒絕使用人臉識別功能或服務后,不應頻繁提示以獲取自然人對人臉識別方式的授權同意。c) 不應因數據主體不同意收集人臉識別數據而拒絕數據主體使用基本業(yè)務功能。d) 用于采集人臉識別數據的設備應遵循相關標準要求。示例:公共安全區(qū)域對人臉圖像的采集應符合GB 37300-2018、GB/T 38671-2020的要求。e) 在公共場合收集人臉識別數據時,應設置數據主體主動配合人臉識別的機制。注:主動配合指要求數據主體直視收集設備并做出特定姿勢、表情,或者通過標注“人臉識別”的專用收集通道等。f) 在滿足應用場景安全要求前提下,應僅收集用于生成人臉特征所需的最小數量、最少圖像類型的人臉圖像。a) 在發(fā)生以下情況時,應刪除人臉識別數據或進行匿名化處理:1) 數據主體明示停止使用功能、服務,或撤回授權;b) 應采取安全措施存儲和傳輸人臉識別數據,包括但不限于加密存儲和傳輸人臉識別數據,采用物理或邏輯隔離方式分別存儲人臉識別數據和個人身份信息等。c) 不應存儲人臉圖像,經數據主體單獨書面授權同意的除外。注:書面授權形式包括通過合同書、信件、電報、傳真、電子數據交換和電子郵件方式進行授權。注1:可更新指從同一人臉圖像可產生不同的人臉特征。當特定人臉特征泄露時,可重新生成不同的人臉特征。注3:不可鏈接指根據同一人臉圖像產生的不同人臉特征之間不具備關聯(lián)性。注4:呈現(xiàn)干擾攻擊主要包括使用人臉照片、紙質面具、人臉視頻、人臉合成動畫、仿真人臉三維面具等攻擊和干擾人臉識別。d) 在本地和遠程人臉識別方式均適用時,應使用本地人臉識別。注5:本地人臉識別是在采集終端中完成人臉識別數據的采集和人臉識別。遠程人臉識別是通過采集終端完成人臉識別數據采集,并在服務器端完成人臉識別。a) 不應公開披露人臉識別數據,原則上不應共享、轉讓人臉識別數據。因業(yè)務需要,確需共享、轉讓的,應按照GB/T CCCCC《個人信息安全影響評估指南》開展安全評估,并單獨告知數據主體共享或轉讓的目的、接收方身份、接收方數據安全能力、數據類別、可能產生的影響等相關信息,并征得數據主體的書面授權。b) 原則上不應進行委托處理,確需委托處理的,應在委托處理前審核受委托者的數據安全能力,并對委托處理行為開展個人信息安全影響評估。a) 應落實數據安全管理責任,在個人信息安全管理制度中明確人臉識別數據保護要求,包括但不限于保護策略、處理規(guī)則等。b) 在發(fā)生或者可能發(fā)生人臉識別數據泄露、損毀、丟失的情況時,應立即采取補救措施,按照規(guī)定及時告知數據主體,并向相關主管部門報告。a) 在我國境內收集或產生的人臉識別數據應在境內存儲。因業(yè)務需要確需出境的,應按照個人信息出境相關規(guī)定進行安全評估。
