4月23日,《信息安全技術 人臉識別數據安全要求》國家標準(以下簡稱“國標”)的征求意見稿的面向社會公開征求意見。
人臉識別是近年來的熱議話題,現實中未告知情況下獲取人臉識別數據、“強制”人臉識別等亂象時有發生。此次擬出臺的國標主要為解決人臉數據濫采,泄露或丟失,以及過度存儲、使用等問題,對于《個人信息保護法》草案中人臉識別相關的規定也有一定的體現和細化。
國標要求,收集人臉識別數據時應征得數據主體明示同意,不得利用人臉識別數據評估或預測數據主體工作表現、經濟狀況、健康狀況、偏好、興趣等情況。同時,應提供除人臉識別外的其他身份識別方式供用戶選擇,不應因用戶不同意收集人臉識別數據而拒絕數據主體使用基本業務功能等。
此外,還對進行人臉識別的開發商提出了技術資質門檻,要求其具備相應的數據安全防護和個人信息保護能力,以防范人臉識別被“活照片”等非法破解。
需明示同意,只用于身份識別
編制說明指出,人臉識別在金融、交通、人社、醫療等等行業均得到廣泛的落地應用,創造了巨大的社會以及經濟價值。但同時,人臉識別信息不易改變,一旦丟失可能永遠失去,是個人敏感信息的一種。“由于相關標準規范缺失,人臉識別數據濫采、存儲、使用方面沒有明確的安全要求,造成安全防護措施薄弱,未經用戶明確授權或超范圍使用人臉信息的情況普遍存在挑戰。”
因此,國標的制定主要為解決人臉數據濫采,泄露或丟失,以及過度存儲、使用等問題,適用于數據控制者安全開展人臉識別數據相關業務。
事實上,人臉識別一直是社會關注而熱議的話題,人臉識別數據被違規采集及濫用的情況曾被多次曝出。如在售樓處安裝人臉識別系統、今年的“3·15”晚會上揭露的多家商戶在未告知或征得同意的情況下,通過人臉識別系統偷偷獲取客戶的人臉識別信息等。
