4月22日，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 人臉識(shí)別數(shù)據(jù)安全要求》征求意見(jiàn)稿正式出爐。

近年來(lái)，隨著人工智能技術(shù)的愈發(fā)成熟，人臉識(shí)別應(yīng)用也愈發(fā)廣泛。憑借高效、便捷、精準(zhǔn)且無(wú)接觸的特點(diǎn)，“刷臉”不斷走進(jìn)安防、支付、交通、辦公等眾多場(chǎng)景，給人們帶來(lái)便利的同時(shí)也催生出廣闊藍(lán)海。據(jù)相關(guān)數(shù)據(jù)顯示，目前我國(guó)人臉識(shí)別市場(chǎng)規(guī)模已經(jīng)來(lái)到25億元，預(yù)計(jì)2024年將突破100億元。

不過(guò)，人臉識(shí)別應(yīng)用雖快、發(fā)展雖猛、市場(chǎng)雖大，但背后卻也潛藏著諸多風(fēng)險(xiǎn)。作為個(gè)人敏感信息的一種，人臉識(shí)別信息有著不易改變，一旦丟失可能永遠(yuǎn)失去的特點(diǎn)?；诖?，如果發(fā)展應(yīng)用過(guò)程中人臉數(shù)據(jù)被濫采、人臉數(shù)據(jù)遭到泄露或丟失、人臉信息被人為過(guò)度存儲(chǔ)、使用，可能帶來(lái)隱私和安全問(wèn)題。

在此背景下，為保護(hù)人臉識(shí)別數(shù)據(jù)安全，推動(dòng)人臉識(shí)別科學(xué)應(yīng)用，維護(hù)人們隱私與權(quán)益，我國(guó)需完善相關(guān)標(biāo)準(zhǔn)規(guī)范，針對(duì)人臉識(shí)別數(shù)據(jù)濫采、存儲(chǔ)、使用方面提出明確安全要求，加強(qiáng)安全防護(hù)措施。4月22日，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 人臉識(shí)別數(shù)據(jù)安全要求》征求意見(jiàn)稿的出爐，無(wú)疑帶來(lái)了重要福音。

據(jù)了解，本文件規(guī)定了人臉識(shí)別數(shù)據(jù)的基本安全要求、安全處理要求和安全管理要求。其中標(biāo)準(zhǔn)由政企研三方合力編制，遵循了通用性、實(shí)用性、安全性與隱私、符合性原則。標(biāo)準(zhǔn)格式按照GB/T 1.1—2020標(biāo)準(zhǔn)要求編寫(xiě)，制定參考了多項(xiàng)國(guó)家和行業(yè)標(biāo)準(zhǔn)。適用于數(shù)據(jù)控制者安全開(kāi)展人臉識(shí)別數(shù)據(jù)相關(guān)業(yè)務(wù)。

在文件中，其首先對(duì)人臉圖像、人臉特征、人臉識(shí)別數(shù)據(jù)、數(shù)據(jù)主體、數(shù)據(jù)控制者、數(shù)據(jù)處理等作出術(shù)語(yǔ)定義。之后，總結(jié)了本文件涉及人臉識(shí)別圖像處理的三個(gè)場(chǎng)景，包括人臉驗(yàn)證、人臉辨識(shí)以及人臉?lè)治?。最后，本文件提出了人臉識(shí)別的具體三大安全要求：基本安全要求、安全處理要求、安全管理要求。

其中在基本安全要求上。文件提出數(shù)據(jù)控制者應(yīng)遵循已有幾部標(biāo)準(zhǔn)的要求;處理人臉識(shí)別數(shù)據(jù)時(shí)應(yīng)遵循最小必要原則;應(yīng)采取安全措施確保數(shù)據(jù)主體權(quán)利;應(yīng)具備相適應(yīng)的數(shù)據(jù)安全防護(hù)和個(gè)人信息保護(hù)能力;不應(yīng)收集未授權(quán)自然人的人臉圖像。同時(shí)，在開(kāi)展人臉驗(yàn)證或人臉辨識(shí)時(shí)，應(yīng)滿足另外五方面要求。

在安全處理要求上。文件分別從收集、存儲(chǔ)、使用三方面對(duì)數(shù)據(jù)控制者提出要求：

收集時(shí)，應(yīng)向數(shù)據(jù)主體告知收集規(guī)則，遭到拒絕不能頻繁提示、不能妨礙后者正常使用;采集過(guò)程要遵循標(biāo)準(zhǔn)，滿足所需即可。存儲(chǔ)時(shí)，遇特殊情況應(yīng)刪除數(shù)據(jù)或匿名化處理，應(yīng)采取安全措施存儲(chǔ)和傳輸人臉識(shí)別數(shù)據(jù)未經(jīng)授權(quán)同意不能存儲(chǔ)人臉圖像。使用時(shí)，應(yīng)在用后立即刪除人臉圖像，應(yīng)具備防護(hù)呈現(xiàn)干擾攻擊的能力。

此外在安全管理要求。文件對(duì)數(shù)據(jù)控制者提出三點(diǎn)要求，即應(yīng)落實(shí)數(shù)據(jù)安全管理責(zé)任，在個(gè)人信息安全管理制度中明確人臉識(shí)別數(shù)據(jù)保護(hù)要求;在發(fā)生或者可能發(fā)生人臉識(shí)別數(shù)據(jù)泄露、損毀、丟失的情況時(shí)，應(yīng)立即采取補(bǔ)救措施;在我國(guó)境內(nèi)收集或產(chǎn)生的人臉識(shí)別數(shù)據(jù)應(yīng)在境內(nèi)存儲(chǔ)，如需出境，應(yīng)按規(guī)定進(jìn)行安全評(píng)估。

綜合來(lái)看，本標(biāo)準(zhǔn)為我國(guó)人臉識(shí)別數(shù)據(jù)安全保護(hù)提供了有效指導(dǎo)，是產(chǎn)業(yè)標(biāo)準(zhǔn)重要的集大成者。伴隨著本標(biāo)準(zhǔn)征求意見(jiàn)后進(jìn)一步完善和最終實(shí)施，相信我國(guó)人臉識(shí)別應(yīng)用發(fā)展將迎來(lái)全新篇章。