4月23日,《信息安全技術(shù) 人臉識別數(shù)據(jù)安全要求》國家標準(以下簡稱“國標”)的征求意見稿的面向社會公開征求意見。
人臉識別是近年來的熱議話題,現(xiàn)實中未告知情況下獲取人臉識別數(shù)據(jù)、“強制”人臉識別等亂象時有發(fā)生。此次擬出臺的國標主要為解決人臉數(shù)據(jù)濫采,泄露或丟失,以及過度存儲、使用等問題,對于《個人信息保護法》草案中人臉識別相關(guān)的規(guī)定也有一定的體現(xiàn)和細化。
國標要求,收集人臉識別數(shù)據(jù)時應(yīng)征得數(shù)據(jù)主體明示同意,不得利用人臉識別數(shù)據(jù)評估或預(yù)測數(shù)據(jù)主體工作表現(xiàn)、經(jīng)濟狀況、健康狀況、偏好、興趣等情況。同時,應(yīng)提供除人臉識別外的其他身份識別方式供用戶選擇,不應(yīng)因用戶不同意收集人臉識別數(shù)據(jù)而拒絕數(shù)據(jù)主體使用基本業(yè)務(wù)功能等。
此外,還對進行人臉識別的開發(fā)商提出了技術(shù)資質(zhì)門檻,要求其具備相應(yīng)的數(shù)據(jù)安全防護和個人信息保護能力,以防范人臉識別被“活照片”等非法破解。
需明示同意,只用于身份識別
編制說明指出,人臉識別在金融、交通、人社、醫(yī)療等等行業(yè)均得到廣泛的落地應(yīng)用,創(chuàng)造了巨大的社會以及經(jīng)濟價值。但同時,人臉識別信息不易改變,一旦丟失可能永遠失去,是個人敏感信息的一種。“由于相關(guān)標準規(guī)范缺失,人臉識別數(shù)據(jù)濫采、存儲、使用方面沒有明確的安全要求,造成安全防護措施薄弱,未經(jīng)用戶明確授權(quán)或超范圍使用人臉信息的情況普遍存在挑戰(zhàn)。”
因此,國標的制定主要為解決人臉數(shù)據(jù)濫采,泄露或丟失,以及過度存儲、使用等問題,適用于數(shù)據(jù)控制者安全開展人臉識別數(shù)據(jù)相關(guān)業(yè)務(wù)。
事實上,人臉識別一直是社會關(guān)注而熱議的話題,人臉識別數(shù)據(jù)被違規(guī)采集及濫用的情況曾被多次曝出。如在售樓處安裝人臉識別系統(tǒng)、今年的“3·15”晚會上揭露的多家商戶在未告知或征得同意的情況下,通過人臉識別系統(tǒng)偷偷獲取客戶的人臉識別信息等。
