人臉識別國家標準征求意見不得強制刷臉、預測偏好

行業(yè)新聞

行業(yè)新聞

我的位置：主頁 >行業(yè)新聞

4月23日，《信息安全技術人臉識別數(shù)據(jù)安全要求》國家標準的征求意見稿的面向社會公開征求意見。

據(jù)悉，此次擬出臺的國標主要為解決人臉數(shù)據(jù)濫采，泄露或丟失，以及過度存儲、使用等問題，對于《個人信息保護法》草案中人臉識別相關的規(guī)定也有一定的體現(xiàn)和細化。

國標要求，收集人臉識別數(shù)據(jù)時應征得數(shù)據(jù)主體明示同意，不得利用人臉識別數(shù)據(jù)評估或預測數(shù)據(jù)主體工作表現(xiàn)、經(jīng)濟狀況、健康狀況、偏好、興趣等情況。同時，應提供除人臉識別外的其他身份識別方式供用戶選擇，不應因用戶不同意收集人臉識別數(shù)據(jù)而拒絕數(shù)據(jù)主體使用基本業(yè)務功能等。此外，還對進行人臉識別的開發(fā)商提出了技術資質門檻，要求其具備相應的數(shù)據(jù)安全防護和個人信息保護能力，以防范人臉識別被“活照片”等非法破解。

而針對人臉圖像，國標要求應在完成驗證或辨識后立即刪除，如果開發(fā)商希望存儲人臉圖像，同樣要經(jīng)過數(shù)據(jù)主體單獨書面授權同意。值得注意的是，國標中還特別提到了“原則上不應使用人臉識別方式對不滿十四周歲的未成年人進行身份識別”。

以下為征求意見稿全文：

信息安全技術人臉識別數(shù)據(jù)安全要求

1　范圍

本文件規(guī)定了人臉識別數(shù)據(jù)的基本安全要求、安全處理要求和安全管理要求。

本文件適用于數(shù)據(jù)控制者安全開展人臉識別數(shù)據(jù)相關業(yè)務。

2　規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T 35273—2020 信息安全技術個人信息安全規(guī)范

GB/T AAAAA—AAAA 信息安全技術網(wǎng)絡數(shù)據(jù)活動安全要求

GB/T BBBBB—BBBB 信息安全技術生物特征識別信息保護基本要求

GB/T CCCCC—CCCC 信息安全技術個人信息安全影響評估指南

3　術語和定義

GB/T 35273—2020、GB/T AAAAA—AAAA、GB/T BBBBB—BBBB和GB/T CCCCC—CCCC中界定的以及下列術語和定義適用于本文件。

3.1　人臉圖像　face image

自然人臉部信息的模擬或數(shù)字表示。

注：人臉圖像可通過設備收集，也可對視頻、數(shù)字照片等進行處理后獲得，主要包括可見光圖像、非可見光圖像(如紅外圖像)、三維圖像等。

3.2　人臉特征　face feature

從數(shù)據(jù)主體的人臉圖像提取的反映數(shù)據(jù)主體的參數(shù)。

3.3　人臉識別數(shù)據(jù)　face recognition data

人臉圖像及其處理得到的，可單獨或與其他信息結合識別特定自然人或特定自然人身份的數(shù)據(jù)。

3.4　數(shù)據(jù)主體 data subject

人臉識別數(shù)據(jù)所標識的特定自然人。

[來源：GB/T 35273-2020，3.3，有修改]

3.5 數(shù)據(jù)控制者 data controller

有能力決定人臉識別數(shù)據(jù)處理目的、方式等的組織或個人。

[來源：GB/T 35273-2020，3.4，有修改]

3.6 數(shù)據(jù)處理 process

對人臉識別數(shù)據(jù)進行收集、存儲、使用、共享、轉讓、公開披露、刪除的活動。

4　概述

本文件總結了涉及人臉圖像處理的三類場景，包括：

a) 人臉驗證：將采集的人臉識別數(shù)據(jù)與存儲的特定自然人的人臉識別數(shù)據(jù)進行比對（1：1比對），以確認特定自然人是否為其所聲明的身份。典型應用包括機場、火車站的人證比對，移動智能終端的人臉解鎖功能等。此類場景應滿足本文件的基本安全要求、安全處理要求和安全管理要求。

b) 人臉辨識：將采集的人臉識別數(shù)據(jù)與已存儲的指定范圍內(nèi)的人臉識別數(shù)據(jù)進行比對（1：N比對），以識別特定自然人。典型應用包括公園入園、居民小區(qū)門禁等。此類場景應滿足本文件的基本安全要求、安全處理要求和安全管理要求。

人臉分析：不開展人臉驗證或人臉辨識，僅對采集的人臉圖像進行統(tǒng)計、檢測或特征分析。典型應用包括公共場所人流量統(tǒng)計、體溫檢測、圖片美化等。此類場景應遵循GB/T 35273-2020、GB/T AAAAA-AAAA《網(wǎng)絡數(shù)據(jù)活動安全要求》的要求處理人臉圖像。

5　基本安全要求數(shù)據(jù)控制者：a)   應遵循GB/T 35273-2020、GB/T AAAAA-AAAA《網(wǎng)絡數(shù)據(jù)活動安全要求》、GB/T BBBBB-BBBB 《生物特征識別信息保護基本要求》的要求。b)   處理人臉識別數(shù)據(jù)時應遵循最小必要原則。c)   應采取安全措施確保數(shù)據(jù)主體權利，包括但不限于獲取人臉識別數(shù)據(jù)使用情況、撤回授權、注銷賬號、投訴、獲得及時響應等。d)   不應收集未授權自然人的人臉圖像。e)   應具備與其所處理人臉識別數(shù)據(jù)的數(shù)量規(guī)模、處理方式等相適應的數(shù)據(jù)安全防護和個人信息保護能力。f)   開展人臉驗證或人臉辨識時，應至少滿足以下要求：1）非人臉識別方式安全性或便捷性顯著低于人臉識別方式。示例：機場、火車站進行人證比對時，使用人臉識別以外的身份識別方式會導致相關服務便捷性的明顯下降。2）原則上不應使用人臉識別方式對不滿十四周歲的未成年人進行身份識別。3）應同時提供非人臉識別的身份識別方式，并提供數(shù)據(jù)主體選擇使用。4）應提供安全措施保障數(shù)據(jù)主體的知情同意權。5）人臉識別數(shù)據(jù)不應用于除身份識別之外的其他目的，包括但不限于評估或預測數(shù)據(jù)主體工作表現(xiàn)、經(jīng)濟狀況、健康狀況、偏好、興趣等。
6　安全處理要求6.1　收集數(shù)據(jù)控制者：a)   收集人臉識別數(shù)據(jù)時，應向數(shù)據(jù)主體告知收集規(guī)則，包括但不限于收集目的、數(shù)據(jù)類型和數(shù)量、處理方式、存儲時間等，并征得數(shù)據(jù)主體明示同意。b)   在自然人拒絕使用人臉識別功能或服務后，不應頻繁提示以獲取自然人對人臉識別方式的授權同意。c)   不應因數(shù)據(jù)主體不同意收集人臉識別數(shù)據(jù)而拒絕數(shù)據(jù)主體使用基本業(yè)務功能。d)   用于采集人臉識別數(shù)據(jù)的設備應遵循相關標準要求。示例：公共安全區(qū)域對人臉圖像的采集應符合GB 37300-2018、GB/T 38671-2020的要求。e)   在公共場合收集人臉識別數(shù)據(jù)時，應設置數(shù)據(jù)主體主動配合人臉識別的機制。注：主動配合指要求數(shù)據(jù)主體直視收集設備并做出特定姿勢、表情，或者通過標注“人臉識別”的專用收集通道等。f)   在滿足應用場景安全要求前提下，應僅收集用于生成人臉特征所需的最小數(shù)量、最少圖像類型的人臉圖像。6.2　存儲數(shù)據(jù)控制者：a)   在發(fā)生以下情況時，應刪除人臉識別數(shù)據(jù)或進行匿名化處理：1)   數(shù)據(jù)主體明示停止使用功能、服務，或撤回授權；2)   數(shù)據(jù)主體授權的存儲期限到期；3)   數(shù)據(jù)控制者無法提供或停止提供服務；4)   其他應刪除人臉圖像或進行匿名化處理的情況。b)   應采取安全措施存儲和傳輸人臉識別數(shù)據(jù)，包括但不限于加密存儲和傳輸人臉識別數(shù)據(jù)，采用物理或邏輯隔離方式分別存儲人臉識別數(shù)據(jù)和個人身份信息等。c)   不應存儲人臉圖像，經(jīng)數(shù)據(jù)主體單獨書面授權同意的除外。注：書面授權形式包括通過合同書、信件、電報、傳真、電子數(shù)據(jù)交換和電子郵件方式進行授權。6.3　使用數(shù)據(jù)控制者：a)   應在完成驗證或辨識后立即刪除人臉圖像。b)   應生成可更新、不可逆、不可鏈接的人臉特征。注1：可更新指從同一人臉圖像可產(chǎn)生不同的人臉特征。當特定人臉特征泄露時，可重新生成不同的人臉特征。注2：不可逆指無法從人臉特征恢復人臉圖像。注3：不可鏈接指根據(jù)同一人臉圖像產(chǎn)生的不同人臉特征之間不具備關聯(lián)性。c)   應具備防護呈現(xiàn)干擾攻擊的能力。注4：呈現(xiàn)干擾攻擊主要包括使用人臉照片、紙質面具、人臉視頻、人臉合成動畫、仿真人臉三維面具等攻擊和干擾人臉識別。d)   在本地和遠程人臉識別方式均適用時，應使用本地人臉識別。注5：本地人臉識別是在采集終端中完成人臉識別數(shù)據(jù)的采集和人臉識別。遠程人臉識別是通過采集終端完成人臉識別數(shù)據(jù)采集，并在服務器端完成人臉識別。6.4　委托處理、共享、轉讓、公開披露數(shù)據(jù)控制者：a)   不應公開披露人臉識別數(shù)據(jù)，原則上不應共享、轉讓人臉識別數(shù)據(jù)。因業(yè)務需要，確需共享、轉讓的，應按照GB/T CCCCC《個人信息安全影響評估指南》開展安全評估，并單獨告知數(shù)據(jù)主體共享或轉讓的目的、接收方身份、接收方數(shù)據(jù)安全能力、數(shù)據(jù)類別、可能產(chǎn)生的影響等相關信息，并征得數(shù)據(jù)主體的書面授權。b)   原則上不應進行委托處理，確需委托處理的，應在委托處理前審核受委托者的數(shù)據(jù)安全能力，并對委托處理行為開展個人信息安全影響評估。
7　安全管理要求數(shù)據(jù)控制者：a)   應落實數(shù)據(jù)安全管理責任，在個人信息安全管理制度中明確人臉識別數(shù)據(jù)保護要求，包括但不限于保護策略、處理規(guī)則等。b)   在發(fā)生或者可能發(fā)生人臉識別數(shù)據(jù)泄露、損毀、丟失的情況時，應立即采取補救措施，按照規(guī)定及時告知數(shù)據(jù)主體，并向相關主管部門報告。a)   在我國境內(nèi)收集或產(chǎn)生的人臉識別數(shù)據(jù)應在境內(nèi)存儲。因業(yè)務需要確需出境的，應按照個人信息出境相關規(guī)定進行安全評估。

久热热,午夜免费在线无码区,WWW:C0m毛片网,久久制服美女av