4月22日,国家标准《信息安全技术 人脸识别数据安全要求》征求意见稿正式出炉。
近年来,随着人工智能技术的愈发成熟,人脸识别应用也愈发广泛。凭借高效、便捷、精准且无接触的特点,“刷脸”不断走进安防、支付、交通、办公等众多场景,给人们带来便利的同时也催生出广阔蓝海。据相关数据显示,目前我国人脸识别市场规模已经来到25亿元,预计2024年将突破100亿元。
不过,人脸识别应用虽快、发展虽猛、市场虽大,但背后却也潜藏着诸多风险。作为个人敏感信息的一种,人脸识别信息有着不易改变,一旦丢失可能永远失去的特点。基于此,如果发展应用过程中人脸数据被滥采、人脸数据遭到泄露或丢失、人脸信息被人为过度存储、使用,可能带来隐私和安全问题。
在此背景下,为保护人脸识别数据安全,推动人脸识别科学应用,维护人们隐私与权益,我国需完善相关标准规范,针对人脸识别数据滥采、存储、使用方面提出明确安全要求,加强安全防护措施。4月22日,国家标准《信息安全技术 人脸识别数据安全要求》征求意见稿的出炉,无疑带来了重要福音。
据了解,本文件规定了人脸识别数据的基本安全要求、安全处理要求和安全管理要求。其中标准由政企研三方合力编制,遵循了通用性、实用性、安全性与隐私、符合性原则。标准格式按照GB/T 1.1—2020标准要求编写,制定参考了多项国家和行业标准。适用于数据控制者安全开展人脸识别数据相关业务。
在文件中,其首先对人脸图像、人脸特征、人脸识别数据、数据主体、数据控制者、数据处理等作出术语定义。之后,总结了本文件涉及人脸识别图像处理的三个场景,包括人脸验证、人脸辨识以及人脸分析。最后,本文件提出了人脸识别的具体三大安全要求:基本安全要求、安全处理要求、安全管理要求。
其中在基本安全要求上。文件提出数据控制者应遵循已有几部标准的要求;处理人脸识别数据时应遵循最小必要原则;应采取安全措施确保数据主体权利;应具备相适应的数据安全防护和个人信息保护能力;不应收集未授权自然人的人脸图像。同时,在开展人脸验证或人脸辨识时,应满足另外五方面要求。
在安全处理要求上。文件分别从收集、存储、使用三方面对数据控制者提出要求:
收集时,应向数据主体告知收集规则,遭到拒绝不能频繁提示、不能妨碍后者正常使用;采集过程要遵循标准,满足所需即可。存储时,遇特殊情况应删除数据或匿名化处理,应采取安全措施存储和传输人脸识别数据未经授权同意不能存储人脸图像。使用时,应在用后立即删除人脸图像,应具备防护呈现干扰攻击的能力。
此外在安全管理要求。文件对数据控制者提出三点要求,即应落实数据安全管理责任,在个人信息安全管理制度中明确人脸识别数据保护要求;在发生或者可能发生人脸识别数据泄露、损毁、丢失的情况时,应立即采取补救措施;在我国境内收集或产生的人脸识别数据应在境内存储,如需出境,应按规定进行安全评估。
综合来看,本标准为我国人脸识别数据安全保护提供了有效指导,是产业标准重要的集大成者。伴随着本标准征求意见后进一步完善和最终实施,相信我国人脸识别应用发展将迎来全新篇章。