據2021年4月25日消息：4月23日，全國信息安全標準化技術委員會官網發(fā)布國家標準《信息安全技術 人臉識別數據安全要求》征求意見稿（下稱“標準”），并面向社會公開征求意見。公眾如有意見或建議可于2021年6月22日前反饋。

　　標準編制說明指出，人臉識別作為人工智能技術的一種，在金融、交通、人社、醫(yī)療等等行業(yè)均得到廣泛的落地應用，創(chuàng)造了巨大的社會以及經濟價值。人臉識別信息有著不易改變，一旦丟失可能永遠失去的特點，是個人敏感信息的一種。本標準主要解決如下問題：

　　一是人臉數據濫采問題。由于人臉信息的采集難度低、采集設備易獲取，導致個人隱私泄露風險持續(xù)增高。

　　二是人臉數據泄露或丟失問題。由于人臉數據敏感性等特征，針對人臉數據的攻擊風險持續(xù)增高。

　　三是人臉信息過度存儲、使用。人臉信息作為個人敏感信息，直接對應個人身份，具有唯一性和終身性。通過人臉信息進行身份鑒別具有快速、便捷的特點。

　　目前，由于相關標準規(guī)范缺失，人臉識別數據濫采、存儲、使用方面沒有明確的安全要求，造成安全防護措施薄弱，未經用戶明確授權或超范圍使用人臉信息的情況普遍存在挑戰(zhàn)。本標準主要用于通過標準化的形式來將人臉識別數據安全等進行規(guī)范，有助于促進和規(guī)范當前人臉識別工作的推進和管理。

　　標準細則中指出，開展人臉驗證或人臉辨識時，應至少滿足以下要求：非人臉識別方式安全性或便捷性顯著低于人臉識別方式。例如機場、火車站進行人證比對時，使用人臉識別以外的身份識別方式會導致相關服務便捷性的明顯下降；原則上不應使用人臉識別方式對不滿十四周歲的未成年人進行身份識別；應同時提供非人臉識別的身份識別方式，并提供數據主體選擇使用；應提供安全措施保障數據主體的知情同意權；人臉識別數據不應用于除身份識別之外的其他目的，包括但不限于評估或預測數據主體工作表現(xiàn)、經濟狀況、健康狀況、偏好、興趣等。

　　標準還指出，在數據收集方面，收集人臉識別數據時，應向數據主體告知收集規(guī)則，包括但不限于收集目的、數據類型和數量、處理方式、存儲時間等，并征得數據主體明示同意；在自然人拒絕使用人臉識別功能或服務后，不應頻繁提示以獲取自然人對人臉識別方式的授權同意；不應因數據主體不同意收集人臉識別數據而拒絕數據主體使用基本業(yè)務功能；用于采集人臉識別數據的設備應遵循相關標準要求等。

　　在數據存儲方面，應采取安全措施存儲和傳輸人臉識別數據，包括但不限于加密存儲和傳輸人臉識別數據，采用物理或邏輯隔離方式分別存儲人臉識別數據和個人身份信息等。不應存儲人臉圖像，經數據主體單獨書面授權同意的除外。

　　在數據使用和委托處理、共享、轉讓、公開披露等方面，相關主體應在完成驗證或辨識后立即刪除人臉圖像；不應公開披露人臉識別數據，原則上不應共享、轉讓人臉識別數據等。

　　相關附件：

　　信息安全技術 人臉識別數據安全要求-編制說明

　　信息安全技術 人臉識別數據安全要求-標準文本

　　信息安全技術 人臉識別數據安全要求-意見匯總處理表