人脸识别国标征求意见:不得强制刷脸、验完应删除
据2021年4月25日消息:4月23日,全国信息安全标准化技术委员会官网发布国家标准《信息安全技术 人脸识别数据安全要求》征求意见稿(下称“标准”),并面向社会公开征求意见。公众如有意见或建议可于2021年6月22日前反馈。
标准编制说明指出,人脸识别作为人工智能技术的一种,在金融、交通、人社、医疗等等行业均得到广泛的落地应用,创造了巨大的社会以及经济价值。人脸识别信息有着不易改变,一旦丢失可能永远失去的特点,是个人敏感信息的一种。本标准主要解决如下问题:
一是人脸数据滥采问题。由于人脸信息的采集难度低、采集设备易获取,导致个人隐私泄露风险持续增高。
二是人脸数据泄露或丢失问题。由于人脸数据敏感性等特征,针对人脸数据的攻击风险持续增高。
三是人脸信息过度存储、使用。人脸信息作为个人敏感信息,直接对应个人身份,具有唯一性和终身性。通过人脸信息进行身份鉴别具有快速、便捷的特点。
目前,由于相关标准规范缺失,人脸识别数据滥采、存储、使用方面没有明确的安全要求,造成安全防护措施薄弱,未经用户明确授权或超范围使用人脸信息的情况普遍存在挑战。本标准主要用于通过标准化的形式来将人脸识别数据安全等进行规范,有助于促进和规范当前人脸识别工作的推进和管理。
标准细则中指出,开展人脸验证或人脸辨识时,应至少满足以下要求:非人脸识别方式安全性或便捷性显著低于人脸识别方式。例如机场、火车站进行人证比对时,使用人脸识别以外的身份识别方式会导致相关服务便捷性的明显下降;原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别;应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用;应提供安全措施保障数据主体的知情同意权;人脸识别数据不应用于除身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。
标准还指出,在数据收集方面,收集人脸识别数据时,应向数据主体告知收集规则,包括但不限于收集目的、数据类型和数量、处理方式、存储时间等,并征得数据主体明示同意;在自然人拒绝使用人脸识别功能或服务后,不应频繁提示以获取自然人对人脸识别方式的授权同意;不应因数据主体不同意收集人脸识别数据而拒绝数据主体使用基本业务功能;用于采集人脸识别数据的设备应遵循相关标准要求等。
在数据存储方面,应采取安全措施存储和传输人脸识别数据,包括但不限于加密存储和传输人脸识别数据,采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等。不应存储人脸图像,经数据主体单独书面授权同意的除外。
在数据使用和委托处理、共享、转让、公开披露等方面,相关主体应在完成验证或辨识后立即删除人脸图像;不应公开披露人脸识别数据,原则上不应共享、转让人脸识别数据等。
相关附件:
信息安全技术 人脸识别数据安全要求-编制说明
信息安全技术 人脸识别数据安全要求-标准文本
信息安全技术 人脸识别数据安全要求-意见汇总处理表