人脸识别国家标准制定中:不得强制刷脸、验完应删除

日期:2021-04-25 / 人气: / 来源:

 

 

4月23日,《信息安全技术人脸识别数据安全要求》国家标准(以下简称“国标”)的征求意见稿的面向社会公开征求意见。

 

人脸识别是近年来的热议话题,现实中未告知情况下获取人脸识别数据、“强制”人脸识别等乱象时有发生。此次拟出台的国标主要为解决人脸数据滥采,泄露或丢失,以及过度存储、使用等问题,对于《个人信息保护法》草案中人脸识别相关的规定也有一定的体现和细化。

 

国标要求,收集人脸识别数据时应征得数据主体明示同意,不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。

 

同时,应提供除人脸识别外的其他身份识别方式供用户选择,不应因用户不同意收集人脸识别数据而拒绝数据主体使用基本业务功能等。

 

针对人脸图像,国标要求应在完成验证或辨识后立即删除,如果开发商希望存储人脸图像,同样要经过数据主体单独书面授权同意。

 

此外,还对进行人脸识别的开发商提出了技术资质门槛,要求其具备相应的数据安全防护和个人信息保护能力,以防范人脸识别被“活照片”等非法破解。

 

需明示同意,只用于身份识别

 

编制说明指出,人脸识别在金融、交通、人社、医疗等等行业均得到广泛的落地应用,创造了巨大的社会以及经济价值。但同时,人脸识别信息不易改变,一旦丢失可能永远失去,是个人敏感信息的一种。“由于相关标准规范缺失,人脸识别数据滥采、存储、使用方面没有明确的安全要求,造成安全防护措施薄弱,未经用户明确授权或超范围使用人脸信息的情况普遍存在挑战。”

 

因此,国标的制定主要为解决人脸数据滥采,泄露或丢失,以及过度存储、使用等问题,适用于数据控制者安全开展人脸识别数据相关业务。

 

事实上,人脸识别一直是社会关注而热议的话题,人脸识别数据被违规采集及滥用的情况曾被多次曝出。如在售楼处安装人脸识别系统、今年的“3·15”晚会上揭露的多家商户在未告知或征得同意的情况下,通过人脸识别系统偷偷获取客户的人脸识别信息等。

 

《个人信息保护法》草案第27条也对人脸识别进行专门规定,要求在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。

 

国标针对上述乱象做出了一定回应,同时对于《个人信息保护法》草案中的相关规定也有体现和细化。

 

如,国标要求收集人脸识别数据时,应向数据主体告知收集目的、数据类型和数量、处理方式、存储时间等规则,并征得数据主体的明示同意。只有在非人脸识别方式安全性或便捷性显著低于人脸识别方式(如机场、火车站进行人证比对等)情况下,方可开展人脸验证或人脸辨识;人脸识别数据不应用于除身份识别之外的其他目的,如评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。

 

此外,国标规定在公共场合收集人脸识别数据时,应设置数据主体主动配合(指要求数据主体直视收集设备并做出特定姿势、表情,或者通过标注“人脸识别”的专用收集通道等)人脸识别的机制。该规定可有效防范人脸数据在不知情的时候被收集,保障数据主体的知情同意权。

 

为防范此前媒体多次报道的利用“活照片”破解刷脸的技术,国标对进行人脸识别的企业或开发商的资质也提出了要求。国标规定,数据控制者应具备相应的数据安全防护和个人信息保护能力,能够防护呈现干扰攻击。呈现干扰攻击主要包括使用人脸照片、纸质面具、人脸视频、人脸合成动画、仿真人脸三维面具等攻击和干扰人脸识别。

作者:网络


现在致电 18382465455 OR 查看更多联系方式 →

Go To Top 回顶部