人脸识别国家标准征求意见：不得强制刷脸、预测偏好 - Military版

本页内容为未名空间相应帖子的节选和存档，一周内的贴子最多显示50字，超过一周显示500字访问原贴

Military版 - 人脸识别国家标准征求意见：不得强制刷脸、预测偏好

(共1页)

g********0
发帖数: 6201

https://news.sina.cn/sh/2021-04-25/detail-ikmxzfmk8723799.d.html
4月23日，《信息安全技术人脸识别数据安全要求》国家标准（以下简称“国标”）的
征求意见稿的面向社会公开征求意见。
人脸识别是近年来的热议话题，现实中未告知情况下获取人脸识别数据、“强制”人脸
识别等乱象时有发生。此次拟出台的国标主要为解决人脸数据滥采，泄露或丢失，以及
过度存储、使用等问题，对于《个人信息保护法》草案中人脸识别相关的规定也有一定
的体现和细化。
国标要求，收集人脸识别数据时应征得数据主体明示同意，不得利用人脸识别数据评估
或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。同时，应提供除
人脸识别外的其他身份识别方式供用户选择，不应因用户不同意收集人脸识别数据而拒
绝数据主体使用基本业务功能等。
此外，还对进行人脸识别的开发商提出了技术资质门槛，要求其具备相应的数据安全防
护和个人信息保护能力，以防范人脸识别被“活照片”等非法破解。
编制说明指出，人脸识别在金融、交通、人社、医疗等等行业均得到广泛的落地应用，
创造了巨大的社会以及经济价值。但同时，人脸识别信息不易改变，一旦丢失可能永远
失去，是个人敏感信息的一种。“由于相关标准规范缺失，人脸识别数据滥采、存储、
使用方面没有明确的安全要求，造成安全防护措施薄弱，未经用户明确授权或超范围使
用人脸信息的情况普遍存在挑战。”
因此，国标的制定主要为解决人脸数据滥采，泄露或丢失，以及过度存储、使用等问题
，适用于数据控制者安全开展人脸识别数据相关业务。
事实上，人脸识别一直是社会关注而热议的话题，人脸识别数据被违规采集及滥用的情
况曾被多次曝出。如在售楼处安装人脸识别系统、今年的“3·15”晚会上揭露的多家
商户在未告知或征得同意的情况下，通过人脸识别系统偷偷获取客户的人脸识别信息等。
《个人信息保护法》草案第27条也对人脸识别进行专门规定，要求在公共场所安装图像
采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显
著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的，
不得公开或者向他人提供；取得个人单独同意或者法律、行政法规另有规定的除外。
国标针对上述乱象做出了一定回应，同时对于《个人信息保护法》草案中的相关规定也
有体现和细化。
如，国标要求收集人脸识别数据时，应向数据主体告知收集目的、数据类型和数量、处
理方式、存储时间等规则，并征得数据主体的明示同意。只有在非人脸识别方式安全性
或便捷性显著低于人脸识别方式（如机场、火车站进行人证比对等）情况下，方可开展
人脸验证或人脸辨识；人脸识别数据不应用于除身份识别之外的其他目的，如评估或预
测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。
此外，国标规定在公共场合收集人脸识别数据时，应设置数据主体主动配合（指要求数
据主体直视收集设备并做出特定姿势、表情，或者通过标注“人脸识别”的专用收集通
道等）人脸识别的机制。该规定可有效防范人脸数据在不知情的时候被收集，保障数据
主体的知情同意权。
为防范此前媒体多次报道的利用“活照片”破解刷脸的技术，国标对进行人脸识别的企
业或开发商的资质也提出了要求。国标规定，数据控制者应具备相应的数据安全防护和
个人信息保护能力，能够防护呈现干扰攻击。呈现干扰攻击主要包括使用人脸照片、纸
质面具、人脸视频、人脸合成动画、仿真人脸三维面具等攻击和干扰人脸识别。
4月9日，全国“人脸识别第一案”迎来终审判决。21世纪经济报道此前报道，原告郭兵
因不满动物园将入园方式由指纹识别变更为人脸识别，且不允许未进行人脸激活的客户
正常入园，将野生动物世界告上法庭。杭州中院最终判决野生动物世界赔偿郭兵1038元
，同时删除郭兵面部特征信息和指纹识别信息。
现实中，类似“未进行人脸激活的客户无法正常入园”的强制人脸识别情况时有发生，
国标对此也有相应规定。如要求同时提供除人脸识别外的其他身份识别方式，让数据主
体选择使用，不应因数据主体不同意收集人脸识别数据而拒绝数据主体使用基本业务
功能等。
即使数据主体授权了人脸识别，依据国标规定，仍能在明示停止使用功能、服务，或撤
回授权等情况下，要求数据控制者删除人脸识别数据或进行匿名化处理。人脸识别数据
原则上不应共享、转让，若因业务确需如此，则应按照相关规定开展安全评估，并单独
告知数据主体共享或转让的目的、接收方身份、接收方数据安全能力、数据类别、可能
产生的影响等相关信息，征得数据主体的书面授权。
而针对人脸图像，国标要求应在完成验证或辨识后立即删除，如果开发商希望存储人脸
图像，同样要经过数据主体单独书面授权同意。
值得注意的是，国标中还特别提到了“原则上不应使用人脸识别方式对不满十四周岁的
未成年人进行身份识别”。
此前，为防止未成年人沉迷游戏，应部分政协委员、人大代表及家长的呼吁，游戏厂商
拟引入人脸识别验证，然而随着未成年人个人信息保护日趋重要，这些举措的实施也将
变得困难。
对此，浙江大学光华法学院互联网法律研究中心主任高艳东曾建议企业进行更多创新，
从心理成熟度方向出发，在游戏准入阶段设计相应“测试”，“在区别是否心智成熟的
同时，加强未成年人的成就感与自我约束”。

(共1页)

进入Military版参与讨论

#	版面	帖数(主题数)
-	全站	4871 (796)
1	Military	3777 (569)
2	Stock	341 (51)
3	Joke	117 (17)
4	History	116 (3)
5	Automobile	100 (9)
6	USANews	55 (9)
7	Midlife	45 (1)
8	Headline	41 (41)
9	Dreamer	33 (13)
10	FleaMarket	32 (20)
11	Living	30 (7)

boards

未名新帖统计// 7月16日

历史上的今天