为规范人脸识别技术应用,保护个人信息权益及其他人身和财产权益,维护社会秩序和公共安全,8月8日,国家网信办发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(下称《规定》),向社会公开征求意见。

来看《规定》重点要求:


【资料图】

1、只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。

2、宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。

3、在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人,应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出。

4、在公共场所使用人脸识别技术,或者存储超过 1 万人人脸信息的人脸识别技术使用者,应当向所属地市级以上网信部门备案。

不得强制、误导个人接受人脸识别技术验证个人身份

目前,人脸识别技术已经被广泛运用于身份认证、移动支付、手机解锁、出入门禁等诸多方面。顶象发布的《人脸识别安全白皮书》数据显示,人脸识别应用最多是安防占54%,其次是金融占16%。此后分别是娱乐10%、医疗7%、电商零售6%、出行3%、政务2%、其他2%。但也要注意到,人脸识别技术在给个人身份认证提供便利的同时,也存在信息泄露和个人身份被盗用的风险。

《规定》明确,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。同时,除法律、行政法规规定不需要取得个人同意的情况外,使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。

在人脸识别技术应用场所方面,《规定》要求,旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备。宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。

同时,在公共场所安装图像采集、个人身份识别设备的建设、使用、运行维护单位,对获取的个人图像、身份识别信息负有保密义务,不得非法泄露或者对外提供。

近年来,有的房地产售楼中心为判定客源,在消费者进入售楼中心后便开始抓拍消费者人脸照片并记录消费者在售楼中心内的行动轨迹,甚至将消费者人脸照片储存在本地服务器。此类问题引发社会广泛关注。

对此,《规定》提出,在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人,应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出。

人脸识别技术使用者应个人或者利害关系人请求使用人脸识别技术远距离、无感式辨识特定个人或者利害关系人的,应当将相关服务限定在最小必要的时间、地点或者人群范围内,不得关联与个人请求事项无直接必然相关的个人信息。

加强个人信息保护影响评估

《规定》提出,人脸识别技术使用者处理人脸信息,应当事前进行个人信息保护影响评估。评估内容包括,处理人脸信息是否具有特定的目的和充分的必要性;发生或者可能发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、非法利用的风险以及可能造成的危害;可能对个人权益带来的损害和影响,以及降低不利影响的措施是否有效等。

在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。备案内容覆盖处理人脸信息的必要性说明;人脸信息的处理目的、处理方式和安全保护措施;人脸信息的处理规则和操作规程;个人信息保护影响评估报告等。

在人脸信息处理方面,《规定》要求,除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。面向社会公众提供人脸识别技术服务的,相关技术系统应当符合网络安全等级保护第三级以上保护要求,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。

使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息,无法避免的,应当及时删除或者进行匿名化处理。

此外,《规定》要求,人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略。

国家互联网应急中心高级工程师张震此前指出,在人脸采集方式滥用问题上,一方面企业使用人脸识别技术的必要性范围需要清晰界定,另一方面不同应用场景下采集人脸信息的设备参数如何规定,以及不必要的高分辨率采集行为所引发的风险由谁承担需要进一步明确。

张震认为,在分类分级场景明确上达成业内共识,让企业能够按照约束范围采集相关数据。同时,产业要重视数据安全储存上,时刻警惕未来黑灰产或许会利用人脸信息对个人人身财产、社会市场经济乃至国家安全产生不可预知的破坏性影响,建议尝试采取云端分离、数字加密、提取局部特征等方式来存储数据,最大限度保证原始数据的安全性。

(文章来源:券商中国)

推荐内容