近日,规范人脸识别技术的一项重要国家推荐性标准GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》(“《人脸识别数据安全要求》”或“正式稿”)正式由全国信息安全标准化委员会(“信安标委”)全文发布,并将于2023年5月1日正式生效实施。在信安标委今年4月份公布的征求意见稿的基础上,正式发布的《人脸识别数据安全要求》进一步优化了内容结构编排并针对人脸识别数据处理的全生命周期进一步细化和明确了安全要求,具有重要的实践指导意义。
一、优化内容编排:凸显数据全生命周期安全管理
在内容结构上,征求意见稿将“基本安全要求”“安全处理要求”与“安全管理要求”三部分内容并列编排,并将数据的收集、存储、使用、提供、公开等具体处理环节置于“安全处理要求”章节下作为子集描述。正式稿在征求意见稿前述编排的基础上进行了优化调整:首先,将“基本安全要求”章节更名为“安全通用要求”,并在内容上吸收和丰富了“安全管理要求”的相关条款;其次,撤销了“安全处理要求”的独立章节设置,将人脸识别数据的收集、存储、使用、传输、提供、公开和删除等全生命周期处理的各个环节分别列为与“安全通用要求”并列的章节,凸显了人脸识别数据处理安全在各生命周期的重要性。
二、廓清术语定义:人脸图像、人脸特征与人脸识别数据
一直以来,实务中对于人脸识别技术涉及的人脸图像、人脸特征与人脸识别数据三个术语存在不同程度的混淆,此次正式稿也在“术语和定义”部分对其进行了厘清。其中:
人脸图像——是自然人脸部信息的模拟或数字表示,可从设备收集或通过视频、数字照片等获取,主要包括可见光图像、非可见光图像(如红外图像)、三维图像等类型。此一定义与征求意见稿描述基本一致。
人脸特征——是从人脸图像提取的反映自然人脸部信息特征的参数,该定义将征求意见稿的“反映数据主体的参数”进一步限定到“反映自然人脸部信息特征的参数”,外延更加准确和清晰。
人脸识别数据——是前述提及的人脸图像与人脸特征的统称。
值得注意的是,正式稿在概述部分大大缩短了对场景应用介绍的篇幅,进一步将《人脸识别数据安全要求》规制的范围明确限定在人脸验证以及人脸辨识两类人脸数据识别的典型场景,而将不涉及身份识别的人脸分析排除在外。
详情请点击查看大图
三、承袭和丰富:人脸识别数据处理的安全通用要求
《人脸识别数据安全要求》第5部分“安全通用要求”中的大部分规定承袭了已有法规和标准等文件中关于敏感个人信息、生物识别信息、儿童个人信息以及人脸识别数据等的安全要求,可以说是上述相关要求的聚合,与此同时,《人脸识别数据安全要求》也在聚合已有规范的基础上对相关细节进行了扩充丰富,并增补了一些新的数据处理要求。具体来讲:
(一)服务开启可选择、不诱导
犹如诚实信用是民法的帝王条款,最小必要也是个人信息处理所围绕的核心原则,从这一原则出发,对个人信息的处理应在实现相同目的或达到同等安全要求的基础上优先采取对个人信息主体造成最少负担和负面影响的方式,对于人脸识别方式的使用亦当如此,从数据处理者角度而言,如有可能应在前述同等条件下优先选择非人脸识别方式;从个人信息主体角度而言,数据处理者采用人脸识别方式进行身份识别的,应同时提供人脸识别方式和非人脸识别方式,由其自主选择是否使用。
对此《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》此前已有所涉及,第十条第一款规定“物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持”,这意味着在线下建筑物出入管理场景的身份识别环节应同时提供人脸识别以及其他验证方式。《人脸识别数据安全要求》的发布在延续上述规定精神实质的同时突破了上述线下场景的规制边界,将其扩展到所有服务领域。
此外,数据处理者不应诱导自然人使用人脸识别方式,将人脸识别方式作为身份识别首选方式或默认方式,设置障碍使自然人难以选择非人脸识别方式是此类诱导行为的典型表现。在自然人拒绝使用人脸识别方式后,不应频繁提示以获取同意,在48小时内提示次数超过1次可判定为“频繁提示”,这是对此前监管要求的再次重申。
(二)数据处理前开展个人信息保护影响评估
《人脸识别数据安全要求》要求数据处理者应在处理人脸识别数据前按照GB/T 39335《个人信息安全影响评估指南》的要求开展个人信息保护影响评估。评估的具体内容与《个人信息保护法》有关个人信息处理原则、敏感个人信息处理规则、个人信息保护影响评估的规定一脉相承,但在描述上更加详尽和具体,具有更强的实操价值。
在完成个人信息保护影响评估后,如人脸识别数据的处理目的、处理方式发生变化或人脸识别数据发生泄露、篡改、丢失、损毁或被非法获取、非法利用等安全事件时(表明已有的安全措施难以有效防范安全风险),应重新进行个人信息保护影响评估。
(三)敏感个人信息处理的单独同意或书面同意要求
根据《个人信息保护法》第二十九条,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。《人脸识别数据安全要求》在“安全通用要求”部分针对儿童(不满十四周岁的未成年人)人脸数据识别、自动化决策、人脸图像存储对前述规定进行了重申,此类处理行为均应满足单独同意或书面同意的增强式授权要求。此外,承接《儿童个人信息网络保护规定》的要求,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
(四)人脸识别数据安全管理
如前所述,正式稿“安全通用要求”部分在内容上吸收征求意见稿“安全管理要求”的相关条款,并在此基础上进行了扩充,细致程度大大提高,更加适配国家标准类文件的落地指导性。具体表现为:
明确个人信息安全管理制度中应覆盖何种具体内容以明确人脸识别数据保护要求,同时对编写其中涉及的人脸识别处理规则进一步进行了内容指导。
在人脸识别数据泄露、篡改、丢失等情形之上,新增数据篡改、被非法获取、非法利用为安全事件类型,并明确此类事件发生时应立即启动应急预案以及所需采取的具体处置或补救措施。
另外,正式稿还在组织内部机构和人员设置、响应数据主体权利机制以及数据出境要求和密码技术使用等方面提出了具体要求。
详情请点击查看大图
四、覆盖数据全生命周期:收集、存储、使用、传输、提供、公开、删除
“安全处理要求”部分着眼于对人脸识别数据全生命周期的安全管控,涉及收集、存储、使用、传输、提供、公开、删除等全部环节,总体来说,其具体内容大部分与此前通过各类个人信息保护领域相关法规与标准确定下来的处理规则并无二致,但依然有亮点可循:
● 收集——主动配合+持续告知:应采用需要数据主体主动配合的措施收集人脸识别数据,包括要求数据主体直视收集设备并作出目光注视、特定姿势、表情,或者通过标注了人脸识别应用的文字、图示、图标或符号的专用收集通道等;应用在识别过程中持续告知数据主体验证目的,并通过语言、文字等向数据主体进行提示。
● 存储:数据主体个人所有且具备人脸识别功能的信息技术产品,如移动智能终端、智能家居设备等,应将人脸识别数据存储在信息技术产品中,并可由数据主体删除。
需要注意的是,该本地设备存储的规则限于数据主体个人所有的硬件产品,像应用市场开放下载的APP产品一般不在此限。
● 使用:A.应在使用人脸识别数据识别自然人身份后立即删除用于识别的人脸图像。相比征求意见稿在征得数据主体“单独书面授权同意”后可存储人脸图像的规定,正式稿向前一步,删除了这一例外。B.人脸特征应具有可更新、不可逆、不可链接的特性。C.在本地和远程人脸识别方式均适用时,应优先使用本地人脸识别。D.应对人脸识别数据使用行为进行审计。我们理解此处延续了《个人信息保护法》的审计要求,可一并实施。
● 传输:数据处理者应采取双向身份鉴别、数据完备性校验、数据加密等措施保障人脸识别数据传输安全。
●提供、公开:在提供或委托处理人脸识别数据前,数据处理者需单独告知数据主体相关内容并征得数据主体的单独同意或书面同意。
针对委托处理行为,《个人信息保护法》并未提出单独同意或书面同意的要求,此处的规定向前迈进一步,规定更加严格,涉及和《个人信息保护法》的协调适用。
●删除:在《个人信息保护法》第四十七条规定的法定数据删除情形之外,《人脸识别数据安全要求》进一步将“数据主体一年未使用数据处理者提供的产品或服务”明确列为法定情形之一。此外,针对所有的法定删除情形还明确了15日的删除期限要求,不再限于数据主体提出相关权利请求时。
五、结语
从茹毛饮血到发达的科技文明,技术的进步正在模糊梦想与现实的界限,人脸识别技术如今已广泛应用于各类生活场景,在提升整体运行效率以及便利日常生活的同时,基于人脸识别数据的敏感特性,我们需要保持对技术应用规范性的警惕,《人脸识别数据安全要求》正是诞生于这样的背景。我们提示数据处理者根据《人脸识别数据安全要求》的各项要求,识别目前存在合规差距,并在此基础上尽快对产品界面交互设计、内部信息安全管理制度以及人脸识别数据处理的全生命周期启动针对性的整改。
