查看原文
其他

《信息安全技术人脸识别数据安全要求》(征求意见稿)发布

闪涛律师团队 LEGAL EYE 看法见法 2024-01-09



关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师


本期关键词:人脸识别;《信息安全技术人脸识别数据安全要求》;数据收集、存储、使用;《个人信息保护法》;《个人信息安全影响评估指南》;安全评估


来源:21世纪经济报道、界面新闻



4月23日,信安标委就《信息安全技术人脸识别数据安全要求》国家标准(以下简称“《国标要求》”)征求意见稿面向社会公开征求意见。



《国标要求》制定目的



编制说明指出,人脸识别在金融、交通、人社、医疗等等行业均得到广泛的落地应用,创造了巨大的社会以及经济价值。但同时,人脸识别信息不易改变,一旦丢失可能永远失去,是个人敏感信息的一种。


目前,由于相关标准规范缺失,人脸识别数据滥采、存储、使用方面没有明确的安全要求,造成安全防护措施薄弱,未经用户明确授权或超范围使用人脸信息的情况普遍存在挑战。


因此,《国标要求》的制定主要为解决人脸数据滥采,泄露或丢失,以及过度存储、使用等问题适用于数据控制者安全开展人脸识别数据相关业务



A

人脸数据滥采问题:由于人脸信息的采集难度低、采集设备易获取,导致个人隐私泄露风险持续增高。

B

人脸数据泄露或丢失问题:由于人脸数据敏感性等特征,针对人脸数据的攻击风险持续增高。

C

人脸信息过度存储、使用:人脸信息作为个人敏感信息,直接对应个人身份,具有唯一性和终身性。通过人脸信息进行身份鉴别具有快速、便捷的特点。


1


《个人信息保护法》草案第27条也对人脸识别进行专门规定,要求在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。



《国标要求》中的基本安全要求部分列出了人脸数据收集的原则性要求,而这些要求与《信息安全技术个人信息安全规范》一脉相承,同样体现了最小必要、数据主体权利保障、取得同意先于收集行为、数据安全保障能力等原则。



《国标要求》适用范围



《国标要求》总结了涉及人脸图像处理的三类场景,包括:



01

人脸验证


将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对(1:1比对),以确认特定自然人是否为其所声明的身份。典型应用包括机场、火车站的人证比对,移动智能终端的人脸解锁功能等。此类场景应满足本文件的基本安全要求、安全处理要求和安全管理要求。



02

人脸辨识


将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行比对(1:N比对),以识别特定自然人。典型应用包括公园入园、居民小区门禁等。此类场景应满足本文件的基本安全要求、安全处理要求和安全管理要求。



03

人脸分析


不开展人脸验证或人脸辨识,仅对采集的人脸图像进行统计、检测或特征分析。典型应用包括公共场所人流量统计、体温检测、图片美化等。此类场景应遵循GB/T 35273-2020、GB/T AAAAA-AAAA《网络数据活动安全要求》的要求处理人脸图像。




《国标要求》新规定



01

针对人脸数据的收集


《国标要求》明确:

  • 收集人脸识别数据时应征得数据主体明示同意不应收集未授权自然人的人脸图像;

  • 在自然人拒绝使用人脸识别功能或服务后,不应频繁提示以获取自然人对人脸识别方式的授权同意;

  • 做身份识别时,应提供除人脸识别外的其他方式供用户选择,不应因用户不同意收集人脸识别数据而拒绝数据主体使用基本业务功能等;

  • 原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。



02

针对人脸数据的存储


《国标要求》对进行人脸识别的数据控制者提出了技术资质门槛,要求数据控制者应采取安全措施存储和传输人脸识别数据;应具备与其所处理人脸识别数据的数量规模、处理方式等相适应的数据安全防护和个人信息保护能力。


此外,在我国境内收集或产生的人脸识别数据应在境内存储。因业务需要确需出境的,应按照个人信息出境相关规定进行安全评估。



03

针对人脸数据的使用


针对人脸图像,《国标要求》应在完成验证或辨识后立即删除,若数据控制者希望存储人脸图像,要经过数据主体单独书面授权同意,书面授权形式包括通过合同书、信件、电报、传真、电子数据交换和电子邮件方式进行授权。


《国标要求》提出,不应公开披露人脸识别数据,原则上不应共享、转让人脸识别数据。因业务需要,确需共享、转让的,应按照《个人信息安全影响评估指南》开展安全评估,并单独告知数据主体共享或转让的目的、接收方身份、接收方数据安全能力、数据类别、可能产生的影响等相关信息,并征得数据主体的书面授权。


《国标要求》也要求数据控制者不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。


《国标要求》强调,在发生或者可能发生人脸识别数据泄露、损毁、丢失的情况时,应立即采取补救措施,按照规定及时告知数据主体,并向相关主管部门报告






陆续更新,敬请期待





版权归闪涛律师团队所有,未经许可不得转载。

如认为本文侵犯版权,请及时联系闪涛律师团队。

  

关键词:区块链;人工智能;大数据;智能合约;涉外法


团队介绍



闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域




闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。


闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员




                       



往期回顾 


人脸识别需谨慎,个人信息要保护

全国人大常委会法工委:深入研究论证人脸识别等有关问题

从案例说开:谈谈英国法律框架下的监管人脸识别技术

点一下在看再走吧


继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存