A4:视点总第5012期 >2021-04-28编印

“国标”来了 “刷脸”的技术边界在哪里?
刊发日期:2021-04-28 阅读次数: 作者:  语音阅读:

4月23日,《信息安全技术 人脸识别数据安全要求》国家标准(以下简称“国标”)的征求意见稿的面向社会公开征求意见。

人脸识别是近年来的热议话题,现实中未告知情况下获取人脸识别数据、“强制”人脸识别等乱象时有发生。此次拟出台的国标主要为解决人脸数据滥采,泄露或丢失,以及过度存储、使用等问题,对于《个人信息保护法》草案中人脸识别相关的规定也有一定的体现和细化。

需明示同意 只用于身份识别

编制说明指出,人脸识别在金融、交通、人社、医疗等等行业均得到广泛的落地应用,创造了巨大的社会以及经济价值。但同时,人脸识别信息不易改变,一旦丢失可能永远失去,是个人敏感信息的一种。“由于相关标准规范缺失,人脸识别数据滥采、存储、使用方面没有明确的安全要求,造成安全防护措施薄弱,未经用户明确授权或超范围使用人脸信息的情况普遍存在挑战。”

因此,国标的制定主要为解决人脸数据滥采,泄露或丢失,以及过度存储、使用等问题,适用于数据控制者安全开展人脸识别数据相关业务。

事实上,人脸识别一直是社会关注而热议的话题,人脸识别数据被违规采集及滥用的情况曾被多次曝出。如在售楼处安装人脸识别系统、今年的“3·15”晚会上揭露的多家商户在未告知或征得同意的情况下,通过人脸识别系统偷偷获取客户的人脸识别信息等。

《个人信息保护法》草案第27条也对人脸识别进行专门规定,要求在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。

国标针对上述乱象做出了一定回应,同时对于《个人信息保护法》草案中的相关规定也有体现和细化。

如,国标要求收集人脸识别数据时,应向数据主体告知收集目的、数据类型和数量、处理方式、存储时间等规则,并征得数据主体的明示同意。只有在非人脸识别方式安全性或便捷性显著低于人脸识别方式(如机场、火车站进行人证比对等)情况下,方可开展人脸验证或人脸辨识;人脸识别数据不应用于除身份识别之外的其他目的,如评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。

此外,国标规定在公共场合收集人脸识别数据时,应设置数据主体主动配合(指要求数据主体直视收集设备并做出特定姿势、表情,或者通过标注“人脸识别”的专用收集通道等)人脸识别的机制。该规定可有效防范人脸数据在不知情的时候被收集,保障数据主体的知情同意权。

为防范此前媒体多次报道的利用“活照片”破解刷脸的技术,国标对进行人脸识别的企业或开发商的资质也提出了要求。国标规定,数据控制者应具备相应的数据安全防护和个人信息保护能力,能够防护呈现干扰攻击。呈现干扰攻击主要包括使用人脸照片、纸质面具、人脸视频、人脸合成动画、仿真人脸三维面具等攻击和干扰人脸识别。

不得强制“刷脸” 存储需书面授权

4月9日,全国“人脸识别第一案”迎来终审判决。此前,原告郭兵因不满动物园将入园方式由指纹识别变更为人脸识别,且不允许未进行人脸激活的客户正常入园,将野生动物世界告上法庭。杭州中院最终判决野生动物世界赔偿郭兵1038元,同时删除郭兵面部特征信息和指纹识别信息。

现实中,类似“未进行人脸激活的客户无法正常入园”的强制人脸识别情况时有发生,国标对此也有相应规定。如要求同时提供除人脸识别外的其他身份识别方式,让数据主体选择使用, 不应因数据主体不同意收集人脸识别数据而拒绝数据主体使用基本业务功能等。

即使数据主体授权了人脸识别,依据国标规定,仍能在明示停止使用功能、服务,或撤回授权等情况下,要求数据控制者删除人脸识别数据或进行匿名化处理。人脸识别数据原则上不应共享、转让,若因业务确需如此,则应按照相关规定开展安全评估,并单独告知数据主体共享或转让的目的、接收方身份、接收方数据安全能力、数据类别、可能产生的影响等相关信息,征得数据主体的书面授权。

而针对人脸图像,国标要求应在完成验证或辨识后立即删除,如果开发商希望存储人脸图像,同样要经过数据主体单独书面授权同意。

值得注意的是,国标中还特别提到了“原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别”。

此前,为防止未成年人沉迷游戏,应部分政协委员、人大代表及家长的呼吁,游戏厂商拟引入人脸识别验证,然而随着未成年人个人信息保护日趋重要,这些举措的实施也将变得困难。

对此,浙江大学光华法学院互联网法律研究中心主任高艳东曾建议企业进行更多创新,从心理成熟度方向出发,在游戏准入阶段设计相应“测试”,“在区别是否心智成熟的同时,加强未成年人的成就感与自我约束”。(张雅婷 郭美婷)