人脸识别数据安全标准化研究报告(2021版)
人脸识别数据安全标准化需求主要包括以下三个方面。一是《个人信息保护法》《规定》等法律法规对人脸识别数据安全标准化工作提出了新的要求。《个人信息保护法》要求“针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准”。《规定》提出保护自然人的人脸识别数据安全。落实相关法律法规要求,亟需在个人信息保护基础上,针对人脸识别数据社交属性强、采集难度低的特点,加快推动人脸识别数据处理相关标准研制,特别是落实个人信息保护法的合法、正当、必要和诚信原则,出台安全标准,减少非必要的人脸识别数据全流程处理,降低人脸识别数据滥用和泄漏的安全风险。二是各应用场景需要更加细化的人脸识别数据安全标准。在人脸验证、人脸辨识与人脸分析场景中,由于数据处理目的、部署模式等方面的不同,其人脸识别数据安全特性以及风险差异明显。例如,人脸识别数据用于公共场所的人流量统计时,只需要识别出面部轮廓就可以进行统计,不需要识别个人身份,因此采集设备要求不高、采集设备距离被采集人较远、采集时个人大多无感知;但用于金融支付时,为保护个人财产安全,必须准确识别个人身份,需要使用高精度人脸图像、甚至三维人脸信息等提高识别准确度,并与个人互动以确保真实性。通用的人脸识别数据安全标准难以覆盖各应用场景的安全特点,仍然需要进一步细化。特别是围绕各应用场景下如何落实个人的知情权、选择权,如何实现个人的单独同意等,需要在现有标准基础上,进一步开展编制工作。三是人脸识别相关技术快速发展带来的评估标准需求。目前,人脸识别技术主要通过深度学习等人工智能技术实现对自然人的识别,相关识别技术仍处在发展阶段,可能面临对抗样本、深度伪造、呈现攻击、数据投毒等新型攻击,其安全性依赖于开展持续的、标准化的评估,相关数据安全风险评估、应用安全性评估、安全能力成熟度评估等标准化工作急需进一步完善。
人脸识别数据安全标准化研究报告(2021版)
(全文略)
充分发挥标准在支撑国家网络安全治理、服务技术产业发展、保障人民群众合法权益中的基础性、规范性、引领性作用,通过标准指导数据处理者安全、规范地处理人脸识别数据。一是聚焦国家对人脸识别等新技术应用的安全监管需求,推进编制人脸识别数据安全影响评估指南,为《网络数据安全管理条例(征求意见稿)》提出的“利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估”提供支撑,减少人脸识别数据的无序收集和违规滥用。二是结合人脸识别数据部署模式、应用场景、处理目的差异等不同数据安全需求,在加速推进《信息安全技术 人脸识别数据安全要求》国家标准研制的基础上,面向金融、安防、医疗、交通等重点行业,提出各行业人脸识别数据采集精度、数据存储周期、身份认证模式等方面的安全标准要求。三是编制通用的人脸识别系统部署应用安全管理实施指南,从业务、系统、数据等方面的提供规范化、系统化的安全管理指引,降低因安全管理措施不足或漏洞带来的安全风险。
人脸识别作为人工智能等新技术应用的典型代表,由于在便捷性、准确性等方面的优势,目前已在金融、安防、医疗、交通等领域广泛应用。为明确人脸识别安全需求并指明相关标准化工作方向,应提前开展人脸识别技术创新应用安全风险分析与标准化前瞻研究。一是加强人脸识别技术与各行业、领域融合的应用安全风险研究,注重差异化需求,围绕人脸识别数据安全风险评估、人脸识别技术应用安全性评估等开展标准研究,推动标准化人脸识别安全能力建设前置与系统布局。二是依托“新一代信息安全与隐私保护标准化技术工业和信息化部重点实验室”,联合人脸识别等新兴技术企业和数据安全企业,发挥各自优势,探索人工智能等新兴技术在人脸识别数据安全防护方面的投入和应用,推动人脸识别数据安全技术研发、安全产品开发、安全测试与评估实施。
随着人脸识别技术的快速发展与应用,其潜在的数据安全风险愈发突出,规范技术应用、促进产业安全健康发展亟需高质量的标准支撑,强化人脸识别数据安全标准验证与实施成为形势所需。一是聚焦金融、安防、医疗、交通等重要行业、重点领域典型场景,面向全流程数据处理活动,开展人脸识别数据安全标准条款验证,及时发现空白领域和不适用条款、适时开展制修订工作;二是联合企业、高校和科研院所等相关单位,结合人脸识别系统建设部署与应用实施,通过标准试点、宣贯培训等机制,建立“产学研用”一体化的标准化工作机制,促进人脸识别数据安全控制措施的部署实施与迭代升级。
目前,ISO、IEC、ITU-T、IEEE 等国际标准化组织在生物特征识别数据安全领域已具有较多的标准化成果,应牢牢依托我国人脸识别等生物特征识别技术优势、丰富应用场景和广大用户基础,总结形成具有我国特色的生物特征识别数据安全标准化成果,深度参与相关国际标准化工作。一是跟踪研究国际国外生物特征识别数据安全政策法规和标准研制进展,引进实施国际先进的生物特征识别数据安全标准化成果,进一步补充完善我国生物特征识别数据安全标准框架;二是在ISO、IEC层面,目前还没有人脸识别数据安全的国际标准,应充分发挥我国参与国际标准化工作的交流机制,鼓励生物特征识别技术企业、数据安全企业及互联网平台企业积极贡献国际标准提案,促进我国生物特征识别数据安全标准与国际标准的互联互通,共同构建安全、开放、互信的良性技术生态。