4月23日��,《信息安全技術(shù)人臉識別數(shù)據(jù)安全要求》國家標準(以下簡稱“國標”)的征求意見稿的面向社會公開征求意見�����。
人臉識別是近年來的熱議話題��,現(xiàn)實中未告知情況下獲取人臉識別數(shù)據(jù)�����、“強制”人臉識別等亂象時有發(fā)生��。此次擬出臺的國標主要為解決人臉數(shù)據(jù)濫采�,泄露或丟失��,以及過度存儲��、使用等問題����,對于《個人信息保護法》草案中人臉識別相關(guān)的規(guī)定也有一定的體現(xiàn)和細化。
國標要求,收集人臉識別數(shù)據(jù)時應(yīng)征得數(shù)據(jù)主體明示同意�����,不得利用人臉識別數(shù)據(jù)評估或預(yù)測數(shù)據(jù)主體工作表現(xiàn)���、經(jīng)濟狀況�、健康狀況�、偏好、興趣等情況���。同時��,應(yīng)提供除人臉識別外的其他身份識別方式供用戶選擇��,不應(yīng)因用戶不同意收集人臉識別數(shù)據(jù)而拒絕數(shù)據(jù)主體使用基本業(yè)務(wù)功能等���。
此外,還對進行人臉識別的開發(fā)商提出了技術(shù)資質(zhì)門檻�����,要求其具備相應(yīng)的數(shù)據(jù)安全防護和個人信息保護能力����,以防范人臉識別被“活照片”等非法破解。
需明示同意��,只用于身份識別
編制說明指出���,人臉識別在金融����、交通�����、人社��、醫(yī)療等等行業(yè)均得到廣泛的落地應(yīng)用�����,創(chuàng)造了巨大的社會以及經(jīng)濟價值����。但同時,人臉識別信息不易改變��,一旦丟失可能永遠失去�,是個人敏感信息的一種?�!坝捎谙嚓P(guān)標準規(guī)范缺失���,人臉識別數(shù)據(jù)濫采、存儲、使用方面沒有明確的安全要求����,造成安全防護措施薄弱���,未經(jīng)用戶明確授權(quán)或超范圍使用人臉信息的情況普遍存在挑戰(zhàn)�。”
因此�����,國標的制定主要為解決人臉數(shù)據(jù)濫采,泄露或丟失����,以及過度存儲、使用等問題�,適用于數(shù)據(jù)控制者安全開展人臉識別數(shù)據(jù)相關(guān)業(yè)務(wù)�。
事實上����,人臉識別一直是社會關(guān)注而熱議的話題,人臉識別數(shù)據(jù)被違規(guī)采集及濫用的情況曾被多次曝出�����。如在售樓處安裝人臉識別系統(tǒng)�、今年的“3·15”晚會上揭露的多家商戶在未告知或征得同意的情況下,通過人臉識別系統(tǒng)偷偷獲取客戶的人臉識別信息等���。
《個人信息保護法》草案第27條也對人臉識別進行專門規(guī)定�����,要求在公共場所安裝圖像采集�����、個人身份識別設(shè)備���,應(yīng)當為維護公共安全所必需,遵守國家有關(guān)規(guī)定,并設(shè)置顯著的提示標識���。所收集的個人圖像����、個人身份特征信息只能用于維護公共安全的目的����,不得公開或者向他人提供���;取得個人單獨同意或者法律���、行政法規(guī)另有規(guī)定的除外。
國標針對上述亂象做出了一定回應(yīng)��,同時對于《個人信息保護法》草案中的相關(guān)規(guī)定也有體現(xiàn)和細化��。
如�����,國標要求收集人臉識別數(shù)據(jù)時���,應(yīng)向數(shù)據(jù)主體告知收集目的�、數(shù)據(jù)類型和數(shù)量、處理方式�����、存儲時間等規(guī)則��,并征得數(shù)據(jù)主體的明示同意�。只有在非人臉識別方式安全性或便捷性顯著低于人臉識別方式(如機場、火車站進行人證比對等)情況下���,方可開展人臉驗證或人臉辨識����;人臉識別數(shù)據(jù)不應(yīng)用于除身份識別之外的其他目的����,如評估或預(yù)測數(shù)據(jù)主體工作表現(xiàn)、經(jīng)濟狀況�����、健康狀況���、偏好��、興趣等情況�����。
此外�,國標規(guī)定在公共場合收集人臉識別數(shù)據(jù)時,應(yīng)設(shè)置數(shù)據(jù)主體主動配合(指要求數(shù)據(jù)主體直視收集設(shè)備并做出特定姿勢�����、表情�,或者通過標注“人臉識別”的專用收集通道等)人臉識別的機制����。該規(guī)定可有效防范人臉數(shù)據(jù)在不知情的時候被收集,保障數(shù)據(jù)主體的知情同意權(quán)���。
為防范此前媒體多次報道的利用“活照片”破解刷臉的技術(shù)��,國標對進行人臉識別的企業(yè)或開發(fā)商的資質(zhì)也提出了要求�。國標規(guī)定�����,數(shù)據(jù)控制者應(yīng)具備相應(yīng)的數(shù)據(jù)安全防護和個人信息保護能力,能夠防護呈現(xiàn)干擾攻擊���。呈現(xiàn)干擾攻擊主要包括使用人臉照片�、紙質(zhì)面具�����、人臉視頻�、人臉合成動畫、仿真人臉三維面具等攻擊和干擾人臉識別��。
不得強制刷臉���,存儲需書面授權(quán)
4月9日����,全國“人臉識別第一案”迎來終審判決����。21世紀經(jīng)濟報道此前報道,原告郭兵因不滿動物園將入園方式由指紋識別變更為人臉識別���,且不允許未進行人臉激活的客戶正常入園����,將野生動物世界告上法庭。杭州中院最終判決野生動物世界賠償郭兵1038元�����,同時刪除郭兵面部特征信息和指紋識別信息�。
現(xiàn)實中,類似“未進行人臉激活的客戶無法正常入園”的強制人臉識別情況時有發(fā)生�,國標對此也有相應(yīng)規(guī)定。如要求同時提供除人臉識別外的其他身份識別方式��,讓數(shù)據(jù)主體選擇使用��, 不應(yīng)因數(shù)據(jù)主體不同意收集人臉識別數(shù)據(jù)而拒絕數(shù)據(jù)主體使用基本業(yè)務(wù)功能等����。
即使數(shù)據(jù)主體授權(quán)了人臉識別�����,依據(jù)國標規(guī)定��,仍能在明示停止使用功能、服務(wù)�����,或撤回授權(quán)等情況下�,要求數(shù)據(jù)控制者刪除人臉識別數(shù)據(jù)或進行匿名化處理。人臉識別數(shù)據(jù)原則上不應(yīng)共享�、轉(zhuǎn)讓,若因業(yè)務(wù)確需如此�,則應(yīng)按照相關(guān)規(guī)定開展安全評估,并單獨告知數(shù)據(jù)主體共享或轉(zhuǎn)讓的目的�����、接收方身份�、接收方數(shù)據(jù)安全能力、數(shù)據(jù)類別��、可能產(chǎn)生的影響等相關(guān)信息�����,征得數(shù)據(jù)主體的書面授權(quán)����。
而針對人臉圖像�,國標要求應(yīng)在完成驗證或辨識后立即刪除����,如果開發(fā)商希望存儲人臉圖像,同樣要經(jīng)過數(shù)據(jù)主體單獨書面授權(quán)同意���。
值得注意的是��,國標中還特別提到了“原則上不應(yīng)使用人臉識別方式對不滿十四周歲的未成年人進行身份識別”���。
此前,為防止未成年人沉迷游戲���,應(yīng)部分政協(xié)委員���、人大代表及家長的呼吁,游戲廠商擬引入人臉識別驗證�,然而隨著未成年人個人信息保護日趨重要,這些舉措的實施也將變得困難�����。
對此��,浙江大學(xué)光華法學(xué)院互聯(lián)網(wǎng)法律研究中心主任高艷東曾建議企業(yè)進行更多創(chuàng)新���,從心理成熟度方向出發(fā)�,在游戲準入階段設(shè)計相應(yīng)“測試”�,“在區(qū)別是否心智成熟的同時,加強未成年人的成就感與自我約束”�����。
轉(zhuǎn)自:21世紀經(jīng)濟報道
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊��,僅代表作者個人觀點��,不代表本網(wǎng)觀點和立場���。版權(quán)事宜請聯(lián)系:010-65363056�����。
延伸閱讀
