《人脸识别技术应用安全管理规定(试行) (征求意见稿)》解读与思考
近年来,人脸识别技术不断成熟,已大量应用于治安管理、金融支付、门禁考勤等诸多领域,极大便捷了公众生活。然而,人脸识别技术在得到广泛应用的同时,仍存在一些不规范现象。人脸识别因其技术特点,涉及公众敏感个人信息,其不规范应用易引发一系列安全隐患,可能导致公民隐私权、财产权受到威胁。在此背景下,中央网信办适时出台了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《规定》),从政策法规层面为规范人脸识别技术应用、保护个人权益、维护公共利益指明了方向。
(资料图片)
01 《规定》明确人脸识别技术应用安全要求
此次出台的《规定》共二十五条,解答并回应了公众广泛关注的人脸识别技术滥用等诸多问题,对相关组织或个人如何规范使用人脸识别技术提出了具体安全要求。
一是,明确“非必要,不使用”原则,不得滥用人脸识别技术。针对滥用人脸识别技术进行身份认证,如部分APP在用户登录过程中,强制或诱导用户注册、使用人脸识别技术进行身份验证等行为,《规定》第四条明确了“非必要,不使用”的原则,并指出“优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道”进行身份信息认证。
二是,使用人脸识别技术应告知个人获取同意,并遵循自愿原则。针对人脸识别技术使用者未经个人同意采集人脸信息的行为,《规定》第五条提出,人脸识别技术使用者应取得个人的单独同意或者依法取得书面同意,方可使用人脸识别技术处理人脸信息,法律、行政法规规定不需取得个人同意的除外。《规定》第九条指出,在使用人脸识别技术认证个人身份时,应确保个人自愿选择、充分知情、主动参与,并在验证过程中以语音或文字明确提示身份验证的目的。
三是,明确数据“最小存储”原则,不得存储原始人脸图像。针对人脸识别技术使用者不规范存储人脸识别数据的现象,《规定》第十七指出,人脸识别技术使用者在存储人脸识别数据时,不得保存人脸原始图像、图片、视频,《规定》十八条明确提出,人脸识别技术使用者应尽量避免采集与提供服务无关的人脸信息,因现实或技术等原因无法避免的,应当及时删除或者进行匿名化处理。
02 标准支撑《规定》细化落地
我国网络安全国家标准构筑了个人信息保护的标准体系,GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》(以下简称“GB/T 41819-2022”)专门围绕人脸识别重点安全问题提出了细化安全要求,该标准已于今年5月正式实施。GB/T 41819-2022全面针对人脸数据滥采、泄露或丢失、过度存储和使用等突出问题,提出了具体的安全要求,可以对《规定》细化落地起到全面技术支撑作用。
《规定》第七条、第八条中,提出对人脸、身份信息等采取严格保护措施,防止信息泄露的相关要求。在GB/T 41819中,标准第七章、第八章、第九章、第十一章都有相关技术标准条款能够帮助落实《规定》在该方面的要求。标准中,一是提出使用者在数据存储阶段需要采取数据隔离、加密存储等措施;二是提出在数据使用阶段应采取及时删除人脸图像、优先使用本地人脸图像等措施;三是提出在数据传输过程使用加密传输协议、数据校验等手段;四是提出数据使用结束后的删除处理要求,并给出了详细的操作规范。
《规定》第五条中,提出使用人脸识别技术告知个人并获取同意方面的要求。在GB/T 41819中,标准第六章有较为细化的条款能够帮助落实《规定》在该方面的要求。标准中,一是明确了采集人脸识别数据前需向个人告知的具体信息范围,包括但不限于数据处理者及个人信息保护负责人的名称和联系方式、处理规则、必要性依据等;二是给出了在识别过程中应持续告知数据主体验证目的的具体技术要求;三是提出人脸数据采集技术上应使用需个人主动配合的方式,以达到从技术上实现充分告知个人的目的。
GB/T 41819总共包含十一章40条,基本覆盖《规定》各项条款,有关单位、个人在理解和落实《规定》各项要求过程中,都能从GB/T 41819找到技术参考。
03 小结
《规定》征求意见稿的适时出台,是我国加强人脸识别技术应用治理、促进相关产业安全健康发展的重要举措,是保障我国人民群众个人信息安全的重要措施。人脸识别技术使用者、产品或者服务提供者应当严格落实《规定》相关要求,借鉴参考GB/T 41819《信息安全技术 人脸识别数据安全要求》等网络安全国家标准做好技术改进、安全提升,共同促进人脸识别技术应用迈入安全有序的新发展阶段。
(本文作者:中国电子技术标准化研究院网络安全研究中心 郝春亮 杨思佳)