人臉識別技術廣泛應用于社會各領域,全球人臉識別市場規模呈上升趨勢,根據市場研究機構的數據,預計到 2027 年,全球人臉識別市場規模將達到數百億美元。盡管人臉識別技術有廣泛的應用前景,但也存在一些安全風險需謹慎應對。
隱私安全問題是人臉識別技術面臨的主要挑戰之一,個人面部信息的采集、存儲和使用都需要嚴格的法律法規,以期確保用戶隱私得到有效保護。此外,數據泄露、濫用個人信息、算法偏見等問題也需要引起關注并制定相應的安全保護措施。
為更好規范人臉識別技術應用,國家互聯網信息辦公室近日根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規,起草了《人臉識別技術應用安全管理規定(試行)(征求意見稿)》(以下簡稱《征求意見稿》)。
劃定人臉識別技術應用的紅線
《征求意見稿》第二條中指出其適用范圍是指在中華人民共和國境內利用人臉識別技術處理人臉信息,提供人臉識別技術產品或者服務的,其它境外使用的產品和服務不在其規定范圍。
對于人臉識別技術應用前提,《征求意見稿》強調使用人臉識別技術應當遵守法律法規,遵守公共秩序,尊重社會公德,承擔社會責任,履行個人信息保護義務,不得利用人臉識別技術從事危害國家安全、損害公共利益、擾亂社會秩序、侵害個人和組織合法權益等法律法規禁止的活動。
目前,國內外對人臉識別技術的應用場景規范方面顯然不夠嚴格,因此在《征求意見稿》第四條中要求各組織只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可使用人臉識別技術處理人臉信息,如果實現相同目的或者達到同等業務要求,存在其他非生物特征識別技術方案的,應當優先選擇非生物特征識別技術方案,此舉能夠有效防止外來人臉識別技術的濫用。
《征求意見稿》強調當實體組織使用人臉識別技術處理人臉信息時,應當取得個人的單獨同意或者依法取得書面同意。值得一提的是,當法律、行政法規規定不需取得個人同意的除外。
經營性/公共場所應謹慎使用人臉識別技術
對于旅館客房、公共浴室、更衣室、衛生間等可能侵害他人隱私的場所,《征求意見稿》明確要求不得安裝圖像采集、個人身份識別設備,如果公共場所需要安全圖像采集、個人身份識別設備,也應當為維護公共安全所必需,遵守國家有關規定,設置顯著提示標識。
銀行、車站、機場、體育場館、展覽館、博物館、美術館、圖書館等經營性、公共場所安裝了大量的人臉識別設施,《征求意見稿》第九條強調除法律、行政法規規定應當使用人臉識別技術驗證個人身份的,不得以辦理業務、提升服務質量等為由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。《征求意見稿》還提出在公共場所安裝圖像采集、個人身份識別設備的建設、使用、運行維護單位,應該對獲取的個人圖像、身份識別信息負有保密義務,不得非法泄露或者對外提供。
此外,在公共場所、經營場所使用人臉識別技術遠距離、無感式辨識特定自然人,應當為維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產安全所必需,并由個人或者利害關系人主動提出。涉及到國家安全、公共安全以及其它緊急情況下必須使用人臉識別技術外,在沒有獲取公民同意下,任何組織或者個人不得利用人臉識別技術分析個人種族、民族、宗教信仰、健康狀況、社會階層等敏感個人信息。
《征求意見稿》在保護未成年人方面同樣做出嚴格約束,第十三條中明確規定人臉識別技術使用者處理不滿十四周歲未成年人人臉信息的,應當取得未成年人的父母或者其他監護人的單獨同意或者書面同意。
人臉識別技術收集的信息如何處置?
《征求意見稿》強調人臉識別技術使用者不得保存人臉原始圖像、圖片、視頻,并要求在公共場所使用人臉識別技術,或者存儲超過1萬人人臉信息的人臉識別技術使用者,應當在 30 個工作日內向所屬地市級以上網信部門備案。
人臉識別技術設備層面:《征求意見稿》表示按照國家有關規定列入網絡關鍵設備和網絡安全專用產品目錄的圖像采集設備、個人身份識別設備,應當按照相關國家標準的強制性要求,由具備資格的機構認證合格或者檢測符合要求后,方可銷售或者提供。
人臉識別技術使用者層面:應當每年對圖像采集設備、個人身份識別設備的安全性和可能存在的風險進行檢測評估,并根據檢測評估情況改進安全策略,調整置信度閾值,采取有效措施保護圖像采集設備、個人身份識別設備免受攻擊、侵入、干擾和破壞。
最后,《征求意見稿》提出網信部門會同電信主管部門、公安機關、市場監管部門等有關部門依據職責,加強對人臉識別技術使用的監督檢查,指導督促人臉識別技術使用者履行備案手續,及時發現安全隱患并督促限期整改。對于違法行為,任何組織和個人都可以可以向網信、電信、公安、市場監管等有關部門投訴、舉報。網信、電信、公安、市場監管等有關部門收到相關投訴、舉報的,應當依據職責依法作出處理。
黑白之道發布、轉載的文章中所涉及的技術、思路和工具僅供以安全為目的的學習交流使用,任何人不得將其用于非法用途及盈利等目的,否則后果自行承擔!
一顆小胡椒
GoUpSec
安恒信息
一顆小胡椒
RacentYY
關鍵基礎設施安全應急響應中心
安全圈
D1Net
安全內參
安全牛
商密君
聚銘網絡
