人脸识别数据安全国家标准征求意见稿
访问量:101 发布日期:2021-4-26 10:34:54 发布人:admin
空白行
近日,《信息安全技术
人脸识别数据安全要求》国家标准(以下简称“国标”)的征求意见稿的面向社会公开征求意见。
人脸识别是近年来的热议话题,现实中未告知情况下获取人脸识别数据、“强制”人脸识别等乱象时有发生。此次拟出台的国标主要为解决人脸数据滥采,泄露或丢失,以及过度存储、使用等问题,对于《个人信息保护法》草案中人脸识别相关的规定也有一定的体现和细化。国标要求,收集人脸识别数据时应征得数据主体明示同意,不得利用
人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。同时,应提供除人脸识别外的其他身份识别方式供用户选择,不应因用户不同意收集
人脸识别数据而拒绝数据主体使用基本业务功能等。此外,还对进行人脸识别的开发商提出了技术资质门槛,要求其具备相应的数据安全防护和个人信息保护能力,以防范人脸识别被“活照片”等非法破解。
需明示同意,只用于身份识别
编制说明指出,
人脸识别在金融、交通、人社、医疗等等行业均得到广泛的落地应用,创造了巨大的社会以及经济价值。但同时,
人脸识别信息不易改变,一旦丢失可能永远失去,是个人敏感信息的一种。“由于相关标准规范缺失,
人脸识别数据滥采、存储、使用方面没有明确的安全要求,造成安全防护措施薄弱,未经用户明确授权或超范围使用人脸信息的情况普遍存在挑战。”因此,国标的制定主要为解决人脸数据滥采,泄露或丢失,以及过度存储、使用等问题,适用于数据控制者安全开展人脸识别数据相关业务。事实上,人脸识别一直是社会关注而热议的话题,
人脸识别数据被违规采集及滥用的情况曾被多次曝出。如在售楼处安装
人脸识别系统、今年的“3·15”晚会上揭露的多家商户在未告知或征得同意的情况下,通过
人脸识别系统偷偷获取客户的
人脸识别信息等。《个人信息保护法》草案第27条也对
人脸识别进行专门规定,要求在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。国标针对上述乱象做出了一定回应,同时对于《个人信息保护法》草案中的相关规定也有体现和细化。如,国标要求收集人脸识别数据时,应向数据主体告知收集目的、数据类型和数量、处理方式、存储时间等规则,并征得数据主体的明示同意。只有在非
人脸识别方式安全性或便捷性显著低于人脸识别方式(如机场、火车站进行人证比对等)情况下,方可开展人脸验证或人脸辨识;人脸识别数据不应用于除身份识别之外的其他目的,如评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。此外,国标规定在公共场合收集人脸识别数据时,应设置数据主体主动配合(指要求数据主体直视收集设备并做出特定姿势、表情,或者通过标注“人脸识别”的专用收集通道等)
人脸识别的机制。该规定可有效防范人脸数据在不知情的时候被收集,保障数据主体的知情同意权。为防范此前媒体多次报道的利用“活照片”破解刷脸的技术,国标对进行人脸识别的企业或开发商的资质也提出了要求。国标规定,数据控制者应具备相应的数据安全防护和个人信息保护能力,能够防护呈现干扰攻击。呈现干扰攻击主要包括使用人脸照片、纸质面具、人脸视频、人脸合成动画、仿真人脸三维面具等攻击和干扰人脸识别。
不得强制刷脸,存储需书面授权
如要求同时提供除
人脸识别外的其他身份识别方式,让数据主体选择使用,不应因数据主体不同意收集
人脸识别数据而拒绝数据主体使用基本业务功能等。即使数据主体授权了
人脸识别,依据国标规定,仍能在明示停止使用功能、服务,或撤回授权等情况下,要求数据控制者删除
人脸识别数据或进行匿名化处理。人脸识别数据原则上不应共享、转让,若因业务确需如此,则应按照相关规定开展安全评估,并单独告知数据主体共享或转让的目的、接收方身份、接收方数据安全能力、数据类别、可能产生的影响等相关信息,征得数据主体的书面授权。而针对人脸图像,国标要求应在完成验证或辨识后立即删除,如果开发商希望存储人脸图像,同样要经过数据主体单独书面授权同意。值得注意的是,国标中还特别提到了“原则上不应使用
人脸识别方式对不满十四周岁的未成年人进行身份识别”。此前,为防止未成年人沉迷游戏,应部分政协委员、人大代表及家长的呼吁,游戏厂商拟引入人脸识别验证,然而随着未成年人个人信息保护日趋重要,这些举措的实施也将变得困难。
文章来源:
凯发ag旗舰厅-凯发体育客户端