经过3.15曝光人脸识别滥用[1]、人脸识别第一案二审[2]、公安部破获22起贩卖人脸数据案件[3]、以及房企因收集人脸信息被市监局处以罚款[4]等事件后,人脸数据已经站在了风口浪尖。正在这个合规如火如荼的时间点,信安标委发布了国家标准《信息安全技术人脸识别数据安全要求(征求意见稿)》(“标准”),既在合规的实操路径上立了一盏灯,也为各监管机构的合规活动加了一把火。虽然标准还处于征求意见稿的阶段,未来仍可能有进一步的修订,但已经可以大致反映未来的监管风向。本文旨在拆解该标准,为各企业的人脸数据全生命周期活动提供一些指引。根据标准“1范围”,标准适用于数据控制者[5]开展人脸识别数据[6]相关业务。
标准主体分为基本安全要求、安全处理要求和安全管理要求三个部分。基本安全要求部分列出了人脸数据收集的原则性要求,而这些要求与《信息安全技术个人信息安全规范》(“规范”)一脉相承,同样体现了最小必要、数据主体权利保障、取得同意先于收集行为、数据安全保障能力等原则。a) 人脸验证:将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对(1:1比对),以确认特定自然人是否为其所声明的身份。典型应用包括机场、火车站的人证比对,移动智能终端的人脸解锁功能等。此类场景应满足本文件的基本安全要求、安全处理要求和安全管理要求。b) 人脸辨识:将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行比对(1:N比对),以识别特定自然人。典型应用包括公园入园、居民小区门禁等。此类场景应满足本文件的基本安全要求、安全处理要求和安全管理要求。c)人脸分析:不开展人脸验证或人脸辨识,仅对采集的人脸图像进行统计、检测或特征分析。典型应用包括公共场所人流量统计、体温检测、图片美化等。此类场景应遵循GB/T 35273-2020、GB/T AAAAA-AAAA《网络数据活动安全要求》的要求处理人脸图像。从上述分类看,人脸分析的主要区别之一是不涉及比对,仅对采集的人脸图像进行统计、检测或特征分析。主要区别之二是人脸分析应满足的是GB/T 35273-2020[7]、GB/TAAAAA-AAAA《网络数据活动安全要求》[8]的要求,而非基本安全要求、安全处理要求和安全管理要求。除此之外,基本安全要求也对人脸验证和人脸辨识的应用有所限制:1)非人脸识别方式安全性或便捷性显著低于人脸识别方式(示例:机场、火车站进行人证比对时,使用人脸识别以外的身份识别方式会导致相关服务便捷性的明显下降);2)原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别;3)应同时提供非人脸识别的身份识别方式,并提供数据主体[9]选择使用;4)应提供安全措施保障数据主体的知情同意权;5)人脸识别数据不应用于除身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。上述1)为便捷性要求,2)为年龄要求,3)为多样选择要求,4)为同意要求,5)为身份识别目的要求。值得注意的是,现在各机构、企业较少为人脸数据的人脸验证和人脸辨识提供多样性选择,以机场为例,其人脸验证是必备环节。在标准发布后,这一情况或许会有所改变。从结构上看,标准仍然采用了收集、存储、使用、及委托处理、共享、转让、公开披露的结构,与规范相同。d)用于采集人脸识别数据的设备应遵循相关标准要求(示例:公共安全区域对人脸图像的采集应符合GB 37300-2018[10]、GB/T38671-2020[11]的要求)。如果企业试图采集人脸数据的,首先应保证设备符合相应标准。e) 在公共场合收集人脸识别数据时,应设置数据主体主动配合人脸识别的机制(注:主动配合指要求数据主体直视收集设备并做出特定姿势、表情,或者通过标注“人脸识别”的专用收集通道等)。企业在采集人脸数据时,应注意提示数据主体,并要求配合,而不能无声无息地采集人脸数据。b) 应采取安全措施存储和传输人脸识别数据,包括但不限于加密存储和传输人脸识别数据,采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等。企业应采取物理或逻辑的方式将人脸识别数据和个人身份信息分别存储。a) 应在完成验证或辨识后立即删除人脸图像[12]。b) 应生成可更新、不可逆、不可链接的人脸特征[13]。注1:可更新指从同一人脸图像可产生不同的人脸特征。当特定人脸特征泄露时,可重新生成不同的人脸特征。注3:不可链接指根据同一人脸图像产生的不同人脸特征之间不具备关联性。企业应确保其生成的人脸特征具有可更新、不可逆、不可链接的特性。注4:呈现干扰攻击主要包括使用人脸照片、纸质面具、人脸视频、人脸合成动画、仿真人脸三维面具等攻击和干扰人脸识别。企业应确保其算法、识别机制等足以抵御上述干扰攻击。d) 在本地和远程人脸识别方式均适用时,应使用本地人脸识别。注5:本地人脸识别是在采集终端中完成人脸识别数据的采集和人脸识别。远程人脸识别是通过采集终端完成人脸识别数据采集,并在服务器端完成人脸识别。4.在委托处理、共享、转让、公开披露部分,值得注意的是:a) 不应公开披露人脸识别数据,原则上不应共享、转让人脸识别数据。因业务需要,确需共享、转让的,应按照GB/T CCCCC《个人信息安全影响评估指南》开展安全评估,并单独告知数据主体共享或转让的目的、接收方身份、接收方数据安全能力、数据类别、可能产生的影响等相关信息,并征得数据主体的书面授权。b) 原则上不应进行委托处理,确需委托处理的,应在委托处理前审核受委托者的数据安全能力,并对委托处理行为开展个人信息安全影响评估。也即人脸数据不允许公开披露,而委托处理、共享、转让均需要个人信息安全影响评估、安全评估等前置流程,企业应注意在程序上不要有疏漏。1.标准要求数据控制者a) 应落实数据安全管理责任,在个人信息安全管理制度中明确人脸识别数据保护要求,包括但不限于保护策略、处理规则等。实践中,企业应通过制定《用户协议》《隐私协议》等文件,将企业内部的个人信息安全管理制度告知用户。2.标准要求数据控制着b) 在发生或者可能发生人脸识别数据泄露、损毁、丢失的情况时,应立即采取补救措施,按照规定及时告知数据主体,并向相关主管部门报告。企业应提前制定规章制度、流程,完善补救措施的种类、实施步骤,按照规定及时告知数据主体,并向相关主管部门报告。同样,该部分也应放入《用户协议》《隐私协议》等文件,作为安全制度的一部分。a) 在我国境内收集或产生的人脸识别数据应在境内存储。因业务需要确需出境的,应按照个人信息出境相关规定进行安全评估。因人脸数据拥有个人敏感信息及个人生物识别信息的双重属性,企业在相关数据出境时应提前做好评估流程。注释:(上下滑动查看更多)
[1] https://www.sohu.com/a/455806757_115563
[2]https://www.chinacourt.org/index.php/article/detail/2021/04/id/5956124.shtml
[3]https://www.mps.gov.cn/n2254536/n2254544/n2254552/n7755162/n7755204/c7758859/content.htm
[4]http://www.zjzwfw.gov.cn/zjzw/punish/frontpunish/detail.do?unid=330200012021030012&webid=114&guid=330200012021030012
[5]数据控制者data controller:有能力决定人脸识别数据处理目的、方式等的组织或个人,[来源:GB/T 35273-2020,3.4,有修改]
