信息安全技術-人臉識別數據安全要求

日前，《信息安全技術人臉識別數據安全要求》國家標準（以下簡稱“國標”）的征求意見稿面向社會公開征求意見。人臉識別是近年來的熱議話題，現實中未告知行為人的情況下獲取人臉識別數據、“強制”人臉識別等亂象時有發生。此次擬出臺的國標主要為解決人臉數據濫采、泄露或丟失，以及過度存儲、使用等問題，對于《個人信息保護法》草案中人臉識別相關的規定也有一定地體現和細化。
信息安全技術-人臉識別數據安全要求
國標要求，收集人臉識別數據時應征得數據主體明示同意，不得利用人臉識別數據評估或預測數據主體工作表現、經濟狀況、健康狀況、偏好、興趣等情況。同時，應提供除人臉識別外的其他身份識別方式供用戶選擇，不應因用戶不同意收集人臉識別數據而拒絕數據主體使用基本業務功能等。
此外，還對進行人臉識別的開發商提出了技術資質門檻，要求其具備相應的數據安全防護和個人信息保護能力，以防范人臉識別被“活照片”等手段非法破解。
需明示同意，只用于身份識別
編制說明指出，人臉識別在金融、交通、人社、醫療等等行業均得到廣泛地落地應用，創造了巨大的社會以及經濟價值。但同時，人臉識別信息不易改變，一旦丟失可能永遠失去，是個人敏感信息的一種。“由于相關標準規范缺失，人臉識別數據濫采、存儲、使用方面沒有明確的安全要求，造成安全防護措施薄弱，未經用戶明確授權或超范圍使用人臉信息的情況普遍存在挑戰。”
因此，國標的制定主要為解決人臉數據濫采，泄露或丟失，以及過度存儲、使用等問題，適用于數據控制者安全開展人臉識別數據相關業務。
事實上，人臉識別一直是社會關注而熱議的話題，人臉識別數據被違規采集及濫用的情況曾被多次曝出。如在售樓處安裝人臉識別系統、今年的“3·15”晚會揭露了多家商戶在未告知或征得同意的情況下，通過人臉識別系統偷偷獲取客戶的人臉識別信息等。
《個人信息保護法（草案）》第27條也對人臉識別進行專門規定，要求在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。所收集的個人圖像、個人身份特征信息只能用于維護公共安全的目的，不得公開或者向他人提供；取得個人單獨同意或者法律、行政法規另有規定的除外。
國標針對上述亂象作出了一定回應，同時對《個人信息保護法（草案）》中的相關規定也有體現和細化。
如，國標要求收集人臉識別數據時，應向數據主體告知收集目的、數據類型和數量、處理方式、存儲時間等規則，并征得數據主體的明示同意。只有在非人臉識別方式安全性或便捷性顯著低于人臉識別方式（如機場、火車站進行人證比對等）的情況下，方可開展人臉驗證或人臉辨識；人臉識別數據不應用于除身份識別之外的其他目的，如評估或預測數據主體工作表現、經濟狀況、健康狀況、偏好、興趣等情況。
此外，國標規定在公共場合收集人臉識別數據時，應設置數據主體主動配合（指要求數據主體直視收集設備并做出特定姿勢、表情，或者通過標注“人臉識別”的專用收集通道等）人臉識別的機制。該規定可有效防范人臉數據在不知情的時候被收集，保障數據主體的知情同意權。
為防范此前媒體多次報道的利用“活照片”破解刷臉的技術，國標對進行人臉識別的企業或開發商的資質也提出了要求。國標規定，數據控制者應具備相應的數據安全防護和個人信息保護能力，能夠防護呈現干擾攻擊。呈現干擾攻擊主要包括使用人臉照片、紙質面具、人臉視頻、人臉合成動畫、仿真人臉三維面具等攻擊和干擾人臉識別。
不得強制刷臉，存儲需書面授權
4月9日，全國“人臉識別第一案”迎來終審判決。21世紀經濟報道此前報道，原告郭兵因不滿動物園將入園方式由指紋識別變更為人臉識別，且不允許未進行人臉激活的客戶正常入園，將野生動物世界告上法庭。浙江省杭州市中級人民法院最終判決野生動物世界賠償郭兵1038元，同時刪除郭兵面部特征信息和指紋識別信息。
現實中，類似“未進行人臉激活的客戶無法正常入園”的強制人臉識別情況時有發生，國標對此也有相應規定。如要求同時提供除人臉識別外的其他身份識別方式，讓數據主體選擇使用，不應因數據主體不同意收集人臉識別數據而拒絕數據主體使用基本業務功能等。
即使數據主體授權了人臉識別，依據國標規定，仍能在明示停止使用功能、服務，或撤回授權等情況下，要求數據控制者刪除人臉識別數據或進行匿名化處理。人臉識別數據原則上不應共享、轉讓，若因業務確需如此，則應按照相關規定開展安全評估，并單獨告知數據主體共享或轉讓的目的、接收方身份、接收方數據安全能力、數據類別、可能產生的影響等相關信息，征得數據主體的書面授權。
而針對人臉圖像，國標要求應在完成驗證或辨識后立即刪除，如果開發商希望存儲人臉圖像，同樣要經過數據主體單獨書面授權同意。
值得注意的是，國標中還特別提到了“原則上不應使用人臉識別方式對不滿十四周歲的未成年人進行身份識別”。
此前，為防止未成年人沉迷游戲，應部分政協委員、人大代表及家長的呼吁，游戲廠商擬引入人臉識別驗證，然而隨著未成年人個人信息保護日趨重要，這些舉措的實施也將變得困難。
對此，浙江大學光華法學院互聯網法律研究中心主任高艷東曾建議企業進行更多創新，從心理成熟度方向出發，在游戲準入階段設計相應“測試”，在區別是否心智成熟的同時，加強未成年人的成就感與自我約束。