媒体报道

观察 | 人脸识别国标征求意见稿:不得强制刷脸,原则上不应共享人脸识别数据

2021-05-17 09:32:55 吉布斯科技 1

人脸识别技术滥用现象有望得到遏制。4月23日,《信息安全技术人脸识别数据安全要求》国家标准(以下简称《国标要求》)征求意见稿面向社会公开征求意见。此次拟出台的国标主要为解决人脸数据滥采、泄露或丢失,以及过度存储、使用等问题,对于《个人信息保护法》草案中人脸识别相关的规定也有一定的体现和细化。


人脸识别 



对相关开发商提出技术资质门槛


 

《国标要求》明确,收集人脸识别数据时应征得数据主体明示同意,不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。

 

《国标要求》要求,应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用。不应收集未授权自然人的人脸图像。在自然人拒绝使用人脸识别功能或服务后,不应频繁提示以获取自然人对人脸识别方式的授权同意。不应因数据主体不同意收集人脸识别数据而拒绝数据主体使用基本业务功能。


人脸识别 

此外,《国标要求》对进行人脸识别的开发商提出了技术资质门槛,应采取安全措施存储和传输人脸识别数据。应具备与其所处理人脸识别数据的数量规模、处理方式等相适应的数据安全防护和个人信息保护能力。

 

针对人脸图像,《国标要求》明确应在完成验证或辨识后立即删除,若开发商希望存储人脸图像,要经过数据主体单独书面授权同意,书面授权形式包括通过合同书、信件、电报、传真、电子数据交换和电子邮件方式进行授权。


人脸识别 

《国标要求》提出,不应公开披露人脸识别数据,原则上不应共享、转让人脸识别数据。因业务需要,确需共享、转让的,应按照《个人信息安全影响评估指南》开展安全评估,并单独告知数据主体共享或转让的目的、接收方身份、接收方数据安全能力、数据类别、可能产生的影响等相关信息,并征得数据主体的书面授权。

 

《国标要求》强调,在发生或者可能发生人脸识别数据泄露、损毁、丢失的情况时,应立即采取补救措施,按照规定及时告知数据主体,并向相关主管部门报告。此外,在我国境内收集或产生的人脸识别数据应在境内存储。因业务需要确需出境的,应按照个人信息出境相关规定进行安全评估。

人脸识别 

总体来看,《个人信息保护法》草案中人脸识别相关的规定在国标中几乎都有体现,如收集人脸识别数据时,应向数据主体告知收集规则,包括但不限于收集目的、数据类型和数量、处理方式、存储时间等,并征得数据主体明示同意;不应收集未授权自然人的人脸图像;应设置数据主体主动配合人脸识别的机制;不应公开披露人脸识别数据,原则上不应共享、转让人脸识别数据。

 



配套法律法规逐步完善优化


 

人脸识别使用在社会及个人生活中越来越普及,由此公众对技术滥用、信息泄露的担忧与恐慌也与日俱增。无论是居民社区“刷脸”门禁、售楼处的人脸识别摄像头,还是号称“中国人脸识别第一案”的郭兵诉杭州野生动物园一案,都引发了广泛的社会关注与讨论。此外,今年央视“3·15”晚会还曝光了人脸识别摄像头滥用,海量人脸信息被违规收集存储。


人脸识别 

针对种种问题,人脸识别技术普及应用的配套法律法规也在逐步完善优化。

 

2020年10月21日,全国人大公布了《个人信息保护法(草案)》,更细化地明确了公共场所安装图像采集、个人身份识别设备的用途限制。目前该草案仍在立法推进过程中,对于提升全社会对包括人脸在内个人信息的安全感具有深远而重要的意义。与此同时,杭州、天津等多地的法律法规也不同程度地明晰了部分适用主体使用人脸信息应用的边界与限制。


人脸识别 

此外,今年1月1日正式施行的《民法典》明确规定,“处理个人信息应当遵循合法、正当、必要原则,不得过度处理。”3月22日,国家网信办、工信部、公安部和国家市场监督管理总局四部门联合印发了《常见类型移动互联网应用程序必要个人信息规范规定》,明确了39类常见类型APP的“必要个人信息范围”,该规定于5月1日起施行。

 

有专家表示,在新的立法尚未确定的情况之下,制定国标对行业发展具有实际上的指导意义。在出现民事侵权,需要确定过错及侵权责任要件时,也会起到重要参考作用。

 

另有分析指出,国标的制定将对行业发展起到重要引导作用,为执法检查提供依据。不过,目前的难点还是在于如何平衡信息保护与产业发展的关系,不能一禁了之。


首页
产品
新闻
联系