查看原文
其他

人脸识别国家标准征求意见稿出台

日前,《信息安全技术 人脸识别数据安全要求》国家标准(以下简称“国标”)的征求意见稿面向社会公开征求意见。

人脸识别是近年来的热议话题,现实中未告知行为人的情况下获取人脸识别数据、“强制”人脸识别等乱象时有发生。此次拟出台的国标主要为解决人脸数据滥采、泄露或丢失,以及过度存储、使用等问题,对于《个人信息保护法》草案中人脸识别相关的规定也有一定地体现和细化。


国标要求,收集人脸识别数据时应征得数据主体明示同意,不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。同时,应提供除人脸识别外的其他身份识别方式供用户选择,不应因用户不同意收集人脸识别数据而拒绝数据主体使用基本业务功能等。


此外,还对进行人脸识别的开发商提出了技术资质门槛,要求其具备相应的数据安全防护和个人信息保护能力,以防范人脸识别被“活照片”等手段非法破解。

需明示同意,只用于身份识别

编制说明指出,人脸识别在金融、交通、人社、医疗等等行业均得到广泛地落地应用,创造了巨大的社会以及经济价值。但同时,人脸识别信息不易改变,一旦丢失可能永远失去,是个人敏感信息的一种。“由于相关标准规范缺失,人脸识别数据滥采、存储、使用方面没有明确的安全要求,造成安全防护措施薄弱,未经用户明确授权或超范围使用人脸信息的情况普遍存在挑战。”


因此,国标的制定主要为解决人脸数据滥采,泄露或丢失,以及过度存储、使用等问题,适用于数据控制者安全开展人脸识别数据相关业务。


事实上,人脸识别一直是社会关注而热议的话题,人脸识别数据被违规采集及滥用的情况曾被多次曝出。如在售楼处安装人脸识别系统、今年的“3·15”晚会揭露了多家商户在未告知或征得同意的情况下,通过人脸识别系统偷偷获取客户的人脸识别信息等。


《个人信息保护法(草案)》第27条也对人脸识别进行专门规定,要求在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。


国标针对上述乱象作出了一定回应,同时对《个人信息保护法(草案)》中的相关规定也有体现和细化。


如,国标要求收集人脸识别数据时,应向数据主体告知收集目的、数据类型和数量、处理方式、存储时间等规则,并征得数据主体的明示同意。只有在非人脸识别方式安全性或便捷性显著低于人脸识别方式(如机场、火车站进行人证比对等)的情况下,方可开展人脸验证或人脸辨识;人脸识别数据不应用于除身份识别之外的其他目的,如评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。


此外,国标规定在公共场合收集人脸识别数据时,应设置数据主体主动配合(指要求数据主体直视收集设备并做出特定姿势、表情,或者通过标注“人脸识别”的专用收集通道等)人脸识别的机制。该规定可有效防范人脸数据在不知情的时候被收集,保障数据主体的知情同意权。


为防范此前媒体多次报道的利用“活照片”破解刷脸的技术,国标对进行人脸识别的企业或开发商的资质也提出了要求。国标规定,数据控制者应具备相应的数据安全防护和个人信息保护能力,能够防护呈现干扰攻击。呈现干扰攻击主要包括使用人脸照片、纸质面具、人脸视频、人脸合成动画、仿真人脸三维面具等攻击和干扰人脸识别。


不得强制刷脸,存储需书面授权

4月9日,全国“人脸识别第一案”迎来终审判决。21世纪经济报道此前报道,原告郭兵因不满动物园将入园方式由指纹识别变更为人脸识别,且不允许未进行人脸激活的客户正常入园,将野生动物世界告上法庭。浙江省杭州市中级人民法院最终判决野生动物世界赔偿郭兵1038元,同时删除郭兵面部特征信息和指纹识别信息。


现实中,类似“未进行人脸激活的客户无法正常入园”的强制人脸识别情况时有发生,国标对此也有相应规定。如要求同时提供除人脸识别外的其他身份识别方式,让数据主体选择使用, 不应因数据主体不同意收集人脸识别数据而拒绝数据主体使用基本业务功能等。


即使数据主体授权了人脸识别,依据国标规定,仍能在明示停止使用功能、服务,或撤回授权等情况下,要求数据控制者删除人脸识别数据或进行匿名化处理。人脸识别数据原则上不应共享、转让,若因业务确需如此,则应按照相关规定开展安全评估,并单独告知数据主体共享或转让的目的、接收方身份、接收方数据安全能力、数据类别、可能产生的影响等相关信息,征得数据主体的书面授权。

而针对人脸图像,国标要求应在完成验证或辨识后立即删除,如果开发商希望存储人脸图像,同样要经过数据主体单独书面授权同意。


值得注意的是,国标中还特别提到了“原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别”。


此前,为防止未成年人沉迷游戏,应部分政协委员、人大代表及家长的呼吁,游戏厂商拟引入人脸识别验证,然而随着未成年人个人信息保护日趋重要,这些举措的实施也将变得困难。


对此,浙江大学光华法学院互联网法律研究中心主任高艳东曾建议企业进行更多创新,从心理成熟度方向出发,在游戏准入阶段设计相应“测试”,在区别是否心智成熟的同时,加强未成年人的成就感与自我约束。

附:

关于征求《信息安全技术 人脸识别数据安全要求》

国家标准(征求意见稿)意见的通知

信安秘字[2021] 46号

全国信息安全标准化技术委员会归口的《信息安全技术人脸识别数据安全要求》国家标准现已形成标准征求意见稿。

根据《全国信息安全标准化技术委员会标准制修订工作程序》要求,现将该国家标准(征求意见稿)面向社会公开征求意见。标准相关材料已发布在信安标委网站(网址:https://www.tc260.org.cn/front/bzzqyjList.html?start=0&length=10),如有意见或建议请于2021年6月22日24:00前反馈秘书处。

联系人:王姣  

010-64102730/13661025214   wangjiao@cesi.cn

点击“阅读原文”查看征求意见稿原文点击“阅读原文”查看征求意见稿原文

点击“阅读原文”查看征求意见稿原文



“人脸识别第一案”二审增判删除指纹识别信息

隐私何在?5万余条求职者信息被售卖

民法典首例!个人信息保护民事公益诉讼案


声明:本文转载自“中国标准化”微信公众号,“全国信息安全标准化技术委员会”官方网站,在此致谢。


编辑:朱   琳

排版:王   俏

审核:刘 畅


觉得内容还不错的话,给我点个“赞”和“在看”呗

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存