媒体报道

北源观点丨解读《信息安全技术 人脸识别数据安全要求》

2021-05-18 09:15:22 吉布斯科技 39

人脸识别

摘要

2021年4月23日,国家标准化管理委员会发布了《信息安全技术 人脸识别数据安全要求》征求意见稿(下称《意见稿》或本标准),内容涉及人脸识别有关的术语和定义、人脸图像处理的场景以及人脸识别有关数据的基本安全要求、安全处理要求和安全管理要求。该标准旨在引导数据控制者安全开展人脸识别数据相关业务。315曝光了AI摄像头违法违规收集人脸信息事件。人脸数据滥采、泄露、丢失和人脸信息过度存储和使用引发的安全事件和个人信息权益侵害乱象引起了社会的关注。北源数据合规团队在《何以“合规”之术驭315曝光的“猛虎”——人脸识别技术?》指出了人脸数据法规及相应规范标准缺位等问题以及有关法律风险分析。本标准的出台恰逢其时,将有助于促进人脸识别数据的保护和有关产业的健康发展。


人脸识别

一、标准制定背景

根据编制工作组在《国家标准<信息安全技术 人脸识别数据安全要求>编制说明》,该标准制定的任务源于国家标准化管理委员会于2020年下达的国标计划号为20205157-T-469信息安全国家标准制定项目。历经一年多,完成了本标准文本的制作和完善,并将于2021年06月22日前完成社会公众意见的征集。本标准旨在从安全技术及管理要求层面提出标准规范,以引导数据控制者安全开展人脸识别数据相关业务,从而解决三大问题:第一,人脸数据滥采问题;第二,人脸数据泄露或丢失问题;第三,人脸信息过度存储、使用的问题。

基于人脸识别的广泛的落地应用和巨大的社会以及经济价值、以及其与个人财产、人身利益紧密结合以及本身的敏感属性和特点,国家标准化管理委员会出台《信息安全技术 人脸识别数据安全要求》具有重大意义,其弥补了人脸识别数据的安全保护和合法合规相关标准规范的缺位,也将进一步促进人脸识别数据的保护和有关产业的健康发展。


人脸识别

二、标准适用范围

该标准主要从人脸识别数据的基本安全、安全处理和安全管理三个方面对人脸识别数据的处理提出要求。适用范围为数据控制者开展人脸识别数据相关业务的相关应用场景,如人脸验证、人脸辨识和人脸分析。


人脸识别

三、重点术语定义

该标准在术语预定义部分主要对“人脸图像”、“人脸特征”和“人脸识别数据”分别进行了如下定义:


序号

术语

定义

1

人脸图像

自然人脸部信息的模拟或数字表示,主要包括可见光图像、非可见光图像(如红外图像)、三维图像等

2

人脸特征

从数据主体的人脸图像提取的反映数据主体的参数

3

人脸识别数据

人脸图像及其处理得到的,可单独或与其他信息结合识别特定自然人或特定自然人身份的数据


人脸识别

四、人脸识别的应用场景

该标准总结了如下三类涉及人脸图像处理的典型场景,包括:


序号

场景

解释

1

人脸验证

将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对(1:1比对),以确认特定自然人是否为其所声明的身份。典型应用包括机场、火车站的人证比对,移动智能终端的人脸解锁等功能。

2

人脸辨识

将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行比对(1:N比对),以识别特定自然人。典型应用包括公园入园、居民小区门禁等。

3

人脸分析

不开展人脸验证或人脸辨识,仅对采集的人脸图像进行统计、检测或特征分析。典型应用包括公共场所人流量统计、体温检测、图片美化等。


人脸识别

五、基本安全要求

在基本安全要求章节,本标准主要重申了《网络安全法》和GB/T 35273-2020等相关法律法规或标准文件中的基本要求,比如处理人脸识别数据时应遵循授权同意、最小必要原则,数据主体权益保障,以及采取安全措施进行数据安全防护和个人信息保护能力等通用要求。

此外,针对人脸识别数据的处理,本标准也提出了新的要求,重点体现在对人脸识别数据的收集使用等处理作出了特定的限制和强化对数据主体的知情和授权选择的保护程度,具体如下:


序号

具体要求

1

非人脸识别方式安全性或便捷性显著低于人脸识别方式时才考虑使用人脸识别

2

原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别

3

应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用

4

应提供安全措施保障数据主体的知情同意权

5

人脸识别数据不应用于除身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等


人脸识别

六、安全处理要求

本标准的安全处理要求部分主要落在人脸识别数据的生命周期中的几个关键处理环节,从人脸识别数据的收集、存储、使用、委托处理、共享、转让和公开披露环节对其应遵循的要求进行明确。大部分要求仍为现行个人信息保护法律法规对个人信息保护要求的重申,为通用的合法、正当和必要原则的细化,但也提出了对人脸识别数据处理的特殊要求,具体如下:


序号

环节

特殊要求

1

收集

用于采集人脸识别数据的设备应遵循相关标准要求。

示例:公共安全区域对人脸图像的采集应符合GB 37300-2018、GB/T 38671-2020的要求。

在公共场合收集人脸识别数据时,应设置数据主体主动配合人脸识别的机制。

注:主动配合指要求数据主体直视收集设备并做出特定姿势、表情,或者通过标注“人脸识别”的专用收集通道等。

2

存储

应采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等。

不应存储人脸图像,经数据主体单独书面授权同意的除外。

3

使用

应在完成验证或辨识后立即删除人脸图像。

应生成可更新、不可逆、不可链接的人脸特征

注1:可更新指从同一人脸图像可产生不同的人脸特征。当特定人脸特征泄露时,可重新生成不同的人脸特征。

注2:不可逆指无法从人脸特征恢复人脸图像。

注3:不可链接指根据同一人脸图像产生的不同人脸特征之间不具备关联性。

应具备防护呈现干扰攻击的能力

注4:呈现干扰攻击主要包括使用人脸照片、纸质面具、人脸视频、人脸合成动画、仿真人脸三维面具等攻击和干扰人脸识别。

在本地和远程人脸识别方式均适用时,应使用本地人脸识别。

注5:本地人脸识别是在采集终端中完成人脸识别数据的采集和人脸识别。远程人脸识别是通过采集终端完成人脸识别数据采集,并在服务器端完成人脸识别。

4

委托处理

共享

转让

公开披露

不应公开披露人脸识别数据,原则上不应共享、转让人脸识别数据。

原则上不应进行委托处理,确需委托处理的,应在委托处理前审核受委托者的数据安全能力,并对委托处理行为开展个人信息安全影响评估。


人脸识别

七、安全管理要求

本标准的安全管理要求部分主要落在企业在建立个人信息安全管理制度应涉及人脸识别数据的保护策略与处理规则、采取人脸数据本地存储策略和出境前开展安全评估上。该要求与现行的《网络安全法》的要求相似,此外也与数据安全法和个人信息保护法立法趋势相同,具体如下:


序号

具体要求

解读

1

应落实数据安全管理责任,在个人信息安全管理制度中明确人脸识别数据保护要求,包括但不限于保护策略、处理规则等

该项要求个人信息处理者除了制定一般个人信息安全制度外,还需在该制度中单独明确人脸识别数据保护策略与处理规则等内容

2

在发生或者可能发生人脸识别数据泄露、损毁、丢失的情况时,应立即采取补救措施,按照规定及时告知数据主体,并向相关主管部门报告。

这一要求并未比现行个人信息保护法律法规提出更高的要求,“泄露、损毁、丢失”的通知与上报是一项基本法律要求,《网络安全法》第十二条第二款就规定了“及时告知用户并向有关主管部门报告”。

3

在我国境内收集或产生的人脸识别数据应在境内存储。因业务需要确需出境的,应按照个人信息出境相关规定进行安全评估

同上,这一项是关于数据出境的要求。人脸识别信息属于敏感个人信息,该类信息出境相关法律法规或标准文件的要求。目前大部分关于数据出境的文件都尚未生效,比如《网信办个人信息和重要数据出境安全评估办法意见(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》。


人脸识别

总结

国家标准化管理委员会本次出台的《信息安全技术 人脸识别数据安全要求》具有重大意义,其弥补了人脸识别数据的安全保护和合法合规相关标准规范的缺位,也将引导人脸识别数据的保护的提升和有关产业的健康发展。笔者相信随后将会有一系列的有关于人脸识别数据等其他敏感个人信息的法规或者标准的出台,人脸识别乃至生物识别产业将会有法可依,有规可循。


参考来源:


1. 关于国家标准《信息安全技术 人脸识别数据安全要求》征求意见稿征求意见的通知


https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20210423182442&norm_id=20201104200034&recode_id=41855 

(点击左下方“阅读原文”跳转)



2. 何以“合规”之术驭315曝光的“猛虎”——人脸识别技术


https://mp.weixin.qq.com/s/nFH1hCNhaJYIAg7Kb8RH0g


作者:李黎

审稿:许瑞凤

 (文中观点不代表北源律师事务所的观点或法律意见)


人脸识别



北源律师事务所服务介绍



个人信息处理合规评估【整体评估】

就企业与个人信息处理活动有关的产品或服务业务或过程,进行合规评估服务。


数据合规现状评估及能力优化专项

服务【专项评估】

仅对企业与个人信息处理活动有关的某一个产品或服务业务或过程,或以某一产品/服务的其中环节(收集、传输、存储、使用、对外提供等)进行评估。


【常年】数据合规顾问

顾问服务包括但不限于解答企业关于数据合规的法律咨询,就日常业务的数据安全风险提供防控意见,就数据纠纷出具向第三方主张权利的律师函,建立、优化企业内部数据合规管理制度(如审核隐私政策、用户许可协议)等。


【专项】合规顾问

(1)大数据相关产品/服务提供合规指引

(2)个人信息保护制度体系设立

(3)合同等法律文书优化

(4)出具整改意见或法律意见书

(5)数据合规资讯刊物

(6)专题研究/报告


培训/论坛

(1)数据合规及个人信息保护基础知识法律培训

(2)专项法规解读

(3)合规技能培训

(4)专题定制


事件应对

(1)监管政策变化应对

(2)网络安全事件应急响应

(3)行政检查应对

(4)数据相关争议解决


数据保护官



专家论证


人脸识别

首页
产品
新闻
联系