“国标”公开征求意见 人脸识别告别野蛮生长

本报记者 曲忠芳 李正豪 北京报道

4月23日,由全国信息安全标准化技术委员会提出并归口的《信息安全技术 人脸识别数据安全要求》国家标准(以下简称“国标”)已形成征求意见稿,面向社会公开征求意见。《中国经营报》记者从该委员会秘书处联络人王姣处了解到,截至目前已收到了来自多方的反馈意见。征集社会意见的时间窗口为60天,即截止到6月22日。

征求意见稿的内容显示,人脸图像处理被严格限定于人脸验证、人脸辨识、人脸分析三类场景中,并且对数据控制者提出了基本安全要求,明确了信息收集、存储、使用以及委托处理、共享、转让、公开披露主要环节中的安全处理要求。比如,只有在非人脸识别方式安全性或便捷性显著低于人脸识别方式时,才能开展人脸验证、人脸辨识,但同时仍要提供非人脸识别的识别方式供选择,而且原则上不应对不满14周岁的未成年人使用人脸识别的方式进行身份识别。

记者了解到,按照国标的一般工作程序,由全国信息安全标准化技术委员会秘书处起草标准,并征集社会意见,经标准审查通过后报到国家标准化管理委员会审批,审批通过后正式成为国标。尽管这一国标被建议作为国家推荐性标准,不具有强制力,但业界普遍认为,这是对目前国内人脸识别相关法律法规的重要补充,为相关企业、机构提供了清晰明确的行业指引,有利于促进产业规范发展。

乱象频出,“国标”即将落地 

针对国标制定的缘由,编制说明指出,人脸识别在金融、交通、医疗等行业均得到广泛的落地应用,创造了巨大的社会及经济价值。但同时,人脸识别信息不易改变,一旦丢失可能永远失去,是个人敏感信息的一种。“由于相关标准规范缺失,人脸识别数据滥采、存储、使用方面没有明确的安全要求,造成安全防护措施薄弱,未经用户明确授权或超范围使用人脸信息的情况普遍存在。”因此,国标的制定主要为解决人脸数据滥采、泄露或丢失,以及过度存储、使用等问题,适用于数据控制者安全开展人脸识别数据的相关业务。

“国标”征集意见稿内容中提出,数据控制者开展人脸验证或人脸辨识时,应至少满足五个要求,包括非人脸识别方式安全性或便捷性显著低于人脸识别方式,原则上不应使用人脸识别方式对不满14周岁的未成年人进行身份识别,应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用,应提供安全保障数据主体的知情同意权。与此同时,人脸识别数据不应用于身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。

上海申伦律师事务所律师夏海龙指出,该文件进一步强调了人脸识别应用遵循的基本原则,比如在人脸识别的应用场景、数据采集数量、存储时间、数据转移等所有环节,均应遵循“最小必要”原则;此外,应在人脸识别全过程中确保数据主体的知情权、自主决定权和使用基本业务不被减损的权利,在数据主体不同意收集人脸识别时,其仍应有权使用基本功能。

除此之外,在夏海龙看来,“国标”征求意见稿中使用的核心概念、措辞以及整体结构,与欧盟《通用数据保护条例》(简称GDPR)、美国加利福尼亚州《2018年加州消费者隐私法案》(简称CCPA)等主要司法辖区的数据、隐私法规相关内容较一致,这也有助于相关跨国互联网企业、技术企业节省运营成本,提高业务运营合规水平。

监管出击,三房企遭处罚

在《信息安全技术 人脸识别数据安全要求》国家标准征求社会意见之前,中国信息通信研究院云计算与大数据研究所启动了“可信人脸识别守护计划”,简称“护脸计划”,同时形成了《可信人脸识别操作指引》草稿。该计划联络人石霖告诉本报记者,《指引》后续会参考“国标”的相关内容。

不难看出,一方面关于人脸识别技术应用中的国家标准、行业自律等方面举措不断出炉,另一方面监管机构对人脸识别应用乱象也是重拳出击。

就在4月14~19日期间,浙江省宁波市市场监督管理局接连对宁波融创金湾置业有限公司、宁波杭州湾新区泛海置业有限公司、宁波保利实业投资有限公司这3家房产公司予以25万元的罚款,原因是这三家房产公司均在售楼处安装了人脸识别系统,用于拍摄所有到访售楼处的客户,用于“带看”佣金的结算事宜。

其中一则案件文书显示,宁波杭州湾海区泛海置业有限公司自去年3月27日起开始开装和使用人脸抓拍系统“明源云客系统”,其由人脸抓拍机、主机、路由器、人脸认证机及软件系统组成。通过分销商介绍而来的客户,分销商会提前将客户信息向公司报备,该报备信息上传系统,系统自动存储抓拍机摄取的所有到访售楼处客户的人脸信息,通过分销商介绍的客户签订买房合同后,公司通过人脸认证机对客户进行身份识别和采集后,系统将之前报备信息、用户历次到访售楼处所摄取的人脸信息归集,如客户首次到访时间,与分销商报备的时间符合,则公司据此向分销商结算佣金。

你会喜欢下面的文章? You'll like the following article.