存储须经书面授权、不得用于预测偏好,人脸识别将有国家标准

导读:人脸识别滥用现象有望得到遏制。4月23日,《信息安全技术 人脸识别数据安全要求》 国家标准(征求意见稿)开始面向社会公开征求意见。 南都记者对比发现,《个人信息保护法》草案中人脸识别相关的规定在此次拟出台的国标中几乎都有体现,收集人脸识别数据时...

人脸识别滥用现象有望得到遏制。4月23日,《信息安全技术 人脸识别数据安全要求》 国家标准(征求意见稿)开始面向社会公开征求意见。

南都记者对比发现,《个人信息保护法》草案中人脸识别相关的规定在此次拟出台的国标中几乎都有体现,收集人脸识别数据时应征得数据主体明示同意、机构场所应同时提供非人脸识别的身份识别方式等。此外,国标还规定人脸识别数据不应用于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等,剑指无感抓拍人脸背后的精准营销。

有专家分析,国标的制定将对行业发展起到重要引导作用,为执法检查提供依据。不过,目前的难点还是在于如何平衡信息保护与产业发展的关系,“不能一禁了之。”

2019年1月21日,旅客在武汉火车站“刷脸”进站乘车。 新华社发(彭琦 摄)

刷脸须征得明示同意,不应用于预测经济状况

国标总结了当前涉及人脸图像处理的三类场景,包括人脸验证(1:1比对,常用于机尝火车站的人证比对)、人脸辨识(1:N比对,常用于公园入园、小区门禁等)、和人脸分析(不用于开展人脸验证或辨识,常用于人流量统计、体温检测等)。对于这三类场景,国标规定了基本安全要求、安全处理要求和安全管理要求,涉及人脸信息的收集、存储、使用、委托等各环节。

尚处于审议阶段的《个人信息保护法》草案第二十七条对人脸识别也有相关规定:在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。第三十条规定,基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。

南都记者观察发现,《个人信息保护法》草案中人脸识别相关的规定在国标中几乎都有体现,如收集人脸识别数据时,应向数据主体告知收集规则,包括但不限于收集目的、数据类型和数量、处理方式、存储时间等,并征得数据主体明示同意;不应收集未授权自然人的人脸图像;应设置数据主体主动配合人脸识别的机制(注:主动配合指要求数据主体直视收集设备并做出特定姿势、表情,或者通过标注“人脸识别”的专用收集通道等。);不应公开披露人脸识别数据,原则上不应共享、转让人脸识别数据。

此前,媒体曾多次报道零售商店、售楼处等公共场所安装带有人脸识别功能的监控摄像头,收集用户信息。如今,不论是“征得同意”,还是“数据主体主动配合”的规定,都将遏制人脸识别系统在监控功能中的滥用。

此外,国标对此前的法规中没有提到的内容做了明确。例如,该标准规定,应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用。这意味着,机构或场所不得强制个体进行人脸识别。

国标还对人脸识别的用途做了限制,规定人脸识别数据不应用于除身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。标准提到,处理人脸识别数据时应遵循最小必要原则。不应存储人脸图像,经数据主体单独书面授权同意的除外。

个人授权人脸识别之后能否撤销?国标规定,当数据主体明示停止使用功能、服务或撤回授权时,数据控制者应删除人脸识别数据或进行匿名化处理。

值得注意的是,除了个人信息保护的层面,国标也对开发商的技术安全性做了要求,规定数据控制者应具备防护呈现干扰攻击的能力。干扰攻击主要包括使用人脸照片、纸质面具、人脸视频、人脸合成动画、仿真人脸三维面具等攻击和干扰人脸识别。此前,媒体曾报道多起使用“活照片”破解人脸识别的案件。此次国标的出台,算是为人脸识别市场设置了一个技术门槛。

专家:滥用问题得到国家层面重视,将有助于解决无法可依

国标于去年下半年通过国家立项,实际制定已历时一年有余。

信安标委在同步公布的编制说明中建议,国标可作为国家推荐性标准发布,主要用于通过标准化的形式来将人脸识别数据安全等进行规范,有助于促进和规范当前人脸识别工作的推进和管理。

“目前,由于相关标准规范缺失,人脸识别数据滥采、存储、使用方面没有明确的安全要求,造成安全防护措施薄弱,未经用户明确授权或超范围使用人脸信息的情况普遍存在挑战。”编制说明解释,人脸识别在金融、交通、人社、医疗等等行业均得到广泛的落地应用,创造了巨大的社会以及经济价值。但同时,人脸识别信息有着不易改变,一旦丢失可能永远失去的特点,是个人敏感信息的一种。制定相应标准,将有助于解决人脸数据滥采、泄露丢失、过度存储使用等问题。

“标准所强调的知情同意,以及不得对外提供等的条款,其实就是把一些不太合理的应用方式排除在外了。”中国电子技术标准化研究院信息安全研究中心测评实验室副主任何延哲告诉南都,国标条款相对严格,说明人脸识别滥用的问题已经得到国家层面的重视,标准规范的制定与个人信息保护法等法律条文的出台齐头并进、相互配合,将极大改善目前对人脸识别执法检查实践中无法可依的现状。

中国人民大学法学院副教授、未来法制研究院社会责任和治理研究中心主任郭锐也表示,在新的立法尚未确定的情况之下,制定国标对行业发展具有实际上的指导意义。在出现民事侵权,需要确定过错及侵权责任要件时,也会起到重要参考作用。

国标有多处提到,在不符合应用条件的情况下,数据控制者应当删除此前所掌握的人脸数据。数据大多由控制者后台掌握,删除环节该如何监督?郭锐认为,删除数据确实是在技术上有挑战的内容,但也正因为如此,国标中给出了较为具体的指引,这是我国探索实现数据主体自主权的重要方面。虽然具体监督方法标准中并未提及,但随着标准的实施,可以根据具体问题,找到相适应的监督方法。

何延哲分析,相关标准和法律等明文规定的出台,将对执法检查起到重要支撑作用。比如,针对是否删除数据的问题,执法人员就可以要求数据控制者来举证已经删除,或者经授权运用技术手段取证。

“目前的难点还是在于如何平衡信息保护与产业发展的关系。”何延哲说,保护个人信息是相关标准制定的第一取向,但同时也会兼顾促进人脸识别产业向给用户创造价值、给社会创造效益的角度发展。如果一禁了之,个人当然不会受损,但同时也失去了便捷。“所以现在的征求意见稿也并不一定就是最完美的方案,需要全社会集思广益,在一个全新的领域,找到更有效的监管方法。”

南都记者马嘉璐 实习生李娅宁 李梦涵