总第94期 《人脸识别技术应用安全管理规定(试行)》(征求意见稿)解读
国家互联网信息办公室起草了《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称“管理规定”),并于2023年8月8日向社会公开征求意见。本专题结合以往人脸识别技术以及人脸信息的相关合规要求对该规定所涉及的合规要点进行梳理,并对重要条款进行解读。
在对管理规定进行解读之前,我们首先带领各位读者了解一下人脸识别技术的基本原理和主要应用场景,以及如若不当利用该技术可能带来的潜在风险。
人脸识别,顾名思义,是一种基于人脸图像或视频中面部特征和模式的技术,旨在对个体进行身份认证、识别和验证。它通过将输入的人脸图像与已知人脸图像库中的信息进行比对,从而判断该人脸是否属于已知的个体。人脸识别技术主要使用计算机视觉和模式识别算法进行分析和比对,通过以下步骤完成:
1. 人脸检测:系统通过检测图像或视频中的人脸位置,确定感兴趣的区域。
2. 特征提取:系统对检测到的人脸进行特征提取,从面部的几何结构、纹理和颜色等方面提取关键的面部特征。
3. 特征比对:系统将提取的人脸特征与已知的个体特征进行比对,通常采用匹配算法,如特征向量比对、神经网络等,判断是否存在匹配。
4. 结果输出:系统根据比对结果,输出识别的结果,即确定该人脸的身份或提供相应的访问权限。
面对人脸识别技术使用所带来的隐私和安全问题,我国陆续出台了一系列针对人脸信息规范使用的规定及国家标准,包括如下(仅节选部分关联度高的内容):
一、《中华人民共和国个人信息保护法》
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
二、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
第二条 信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:
(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;
(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;
(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;
(四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;
(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;
(六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;
(七)违背公序良俗处理人脸信息;
(八)违反合法、正当、必要原则处理人脸信息的其他情形。
三、《信息安全技术 个人信息安全规范》(GB/T 35273-2020)
6.3 个人敏感信息的传输和存储
对个人信息控制者的要求包括:
a)传输和存储个人敏感信息时,应采用加密等安全措施;
b)个人生物识别信息应与个人身份信息分开存储;
c)原则上不应存储原始个人生物信息(如样本、图像等),可采取的措施包括但不限于: 1)仅存储个人生物识别信息的摘要信息;2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;3)在使用面部识别特征、指纹、掌纹、虹膜等实现身份、认证等功能后删除可提取个人生物识别信息的原始图像。
9.4 个人信息公开披露
个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应符合以下要求:
f)不应公开披露个人生物识别信息。
四、《信息安全技术 人脸识别数据安全要求》(GB/T 41819-2022)
5 安全通用要求
数据处理者处理人脸识别数据的安全通用要求如下:
a)实现相同目的或达到同等安全要求可采用非人脸识别方式的,应优先选择适用非人脸识别方式。
b)应仅在人脸识别方式比非人脸识别方式更具安全性或便捷性时,采用人脸识别方式进行身份识别;应同时提供人脸识别方式和非人脸识别方式,并由自然人选择使用。
c)不应诱导自然人使用人脸识别方式,包括但不限于将人脸识别方式作为身份识别首选方式或默认方式,设置障碍使自然人难以选择使用非人脸方式等。
d)在自然人拒绝使用人脸识别方式后,不应频繁提示以获得自然人对人脸识别方式的同意,例如,在48h内提示次数超过1次。
e)应符合GB/T 35273,GB/T 40660,GB/T 41479 的要求,以及 GB/T 37988中数据安全能力成熟度等级3规定的要求。
f)应在处理人脸识别数据前自行或委托第三方机构按照GB/T 39335规定的要求开展个人信息保护影响评估,评估的内容包括但不限于:
五、《信息安全技术 个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)
在人脸识别购物柜台张贴或通过屏幕展示简要的个人信息处理规则,并在用户单独同意后采集个人信息。
出于公共安全之外目的在公共场所采集个人图像、身份识别信息的,需取得用户的单独同意。当用户拒绝时,公共场合管理者需提供合理替代性方案,例如,人工的服务通道,无需刷脸认证的门禁,不通过人脸识别的支付方式等。
为应对紧急情况下保护自然人的生命健康和财产安全所必需,例如,车辆在发生交通事故将位置信息、生命体征信息等传输给急救中心及交管部门,或车辆在被盗时将位置信息、人脸识别信息等上传云端并同步至移动智能终端,可适用免于取得用户同意的情形。
六、《网络数据安全管理条例(征求意见稿)》
第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
人脸识别技术的应用非常广泛,包括安全门禁、人员考勤、视频监控、移动支付等领域。随着技术的不断发展和改进,人脸识别技术的准确率和鲁棒性也在不断提高,为我们的生活和工作带来了便捷和安全性。
与此同时,人脸信息被滥用的情况也不断发生,如不具备信息安全保障能力的企业获取人脸信息后发生数据泄露;一些平台未经用户单独同意,使用其人脸信息进行广告定向投放等其他授权范围以外的使用;利用取得的人脸信息盗用他人身份甚至将人脸图像合成到其他视频或照片中,造成对他人财产或声誉的损害,侵犯他人权益。
我国对于人脸技术使用必要性问题一直持审慎态度,在2022年发布的国标《GB/T 41819-2022信息安全技术 人脸识别数据安全要求》中即明确了“优先选择使用非人脸识别方式”“不应诱导自然人使用人脸识别方式”“同时提供人脸识别和非人脸识别方式”的安全要求。《管理规定》进一步从正反两方面对人脸识别技术的应用场景进行了约束。
从正面来看:
从反面来看:
《管理规定》聚焦涉及人脸识别技术应用的特殊场景,针对性地提出了各场景下的重点关注事项,具体包括:
此外,《管理规定》还对使用人脸识别技术远距离、无感式辨识特定自然人的场景(第10条)、处理敏感个人信息的场景(第11条)、处理未成年人人脸信息的场景(第13条)进行了规定。
除上述特殊场景下的注意事项外,《管理规定》明确了人脸识别技术使用者需履行的一般性合规义务,具体包括:
根据《管理规定》第23条,网信、电信、公安、市场监管等有关部门将依据《网络安全法》《数据安全法》《个人信息保护法》《治安管理处罚法》等法律法规进行处罚,涉及民事责任、行政责任以及刑事责任。值得注意的是,根据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条,违法违规处理人脸信息将构成害自然人人格权益的行为。
人脸识别技术在为公众带来便利的同时,也不断暴露出不当利用所带来的隐私风险。《管理规定》第22条确立了人脸识别技术领域的投诉、举报机制,标志着监管部门整顿人脸识别技术应用、促进相关产业安全健康发展的决心。
以下将对《管理规定》的重要条款进行一一解读,希望帮助读者理解其中的合规要求与注意要点。
第二条 在中华人民共和国境内利用人脸识别技术处理人脸信息,提供人脸识别技术产品或者服务,应当遵守本规定。法律、行政法规另有规定的从其规定。
第四条 只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。
第五条 使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外。
第六条 旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备。
第七条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,设置显著提示标识。
第八条 组织机构为实施内部管理安装图像采集、个人身份识别设备的,应当根据实际需求合理确定图像信息采集区域,采取严格保护措施,防止违规查阅、复制、公开、对外提供、传播个人图像等行为,防止个人信息泄露、篡改、丢失或者被非法获取、非法利用。
第九条 宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
第十条 在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人,应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出。
第十一条 除维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,或者取得个人单独同意外,任何组织或者个人不得利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息。
第十二条 涉及社会救助、不动产处分等个人重大利益的,不得使用人脸识别技术替代人工审核个人身份,人脸识别技术可以作为验证个人身份的辅助手段。
第十四条 物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人不同意通过人脸信息进行身份验证的,物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。
第十五条 人脸识别技术使用者处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
个人信息保护影响评估主要包括下列内容:
(一)是否符合法律、行政法规的规定和国家标准的强制性要求,是否符合伦理道德;
(二)处理人脸信息是否具有特定的目的和充分的必要性;
(三)是否限于实现目的所必需的准度、精度及距离要求;
(四)采取的保护措施是否合法有效并与风险程度相适应;
(五)发生或者可能发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、非法利用的风险以及可能造成的危害;
(六)可能对个人权益带来的损害和影响,以及降低不利影响的措施是否有效。
个人信息保护影响评估报告应当至少保存三年。处理人脸信息的目的、方式发生变化,或者发生重大安全事件的,人脸识别技术使用者应当重新进行个人信息保护影响评估。
第十六条 在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。申请备案应当提交下列材料:
(一)人脸识别技术使用者及其个人信息保护负责人的基本情况;
(二)处理人脸信息的必要性说明;
(三)人脸信息的处理目的、处理方式和安全保护措施;
(四)人脸信息的处理规则和操作规程;
(五)个人信息保护影响评估报告;
(六)网信部门认为需要提供的其他材料。
人脸识别技术使用者处理人脸信息,有法律、行政法规规定应当保密的,按有关规定执行。
备案信息发生实质性变更的,应在变更之日起20个工作日内办理备案变更手续。终止人脸识别技术使用的,应在终止之日起30个工作日内办理备案注销手续。
第十七条 除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。
面向社会公众提供人脸识别技术服务的,相关技术系统应当符合网络安全等级保护第三级以上保护要求,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。属于关键信息基础设施的,还应当符合关键信息基础设施安全保护的相关要求。
第十八条 使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息,无法避免的,应当及时删除或者进行匿名化处理。
第十九条 人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
第二十条 按照国家有关规定列入网络关键设备和网络安全专用产品目录的图像采集设备、个人身份识别设备,应当按照相关国家标准的强制性要求,由具备资格的机构认证合格或者检测符合要求后,方可销售或者提供。
第二十一条 网信部门会同电信主管部门、公安机关、市场监管部门等有关部门依据职责,加强对人脸识别技术使用的监督检查,指导督促人脸识别技术使用者履行备案手续,及时发现安全隐患并督促限期整改。
人脸识别技术使用者、产品或者服务提供者应当对有关部门依法开展的监督检查予以配合。
第二十三条 人脸识别技术使用者或者相关产品、服务提供者违反本规定的,由网信、电信、公安、市场监管等有关部门在职责范围内依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规进行处罚。违反《治安管理处罚法》的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
违反本规定,给他人造成损害的,依法承担民事责任。