人脸识别数据安全标准化研究报告（2021）

人脸识别数据安全标准化研究报告2021年12月（2021版） 人脸识别数据安全标准化研究报告 （2021版） 2021年12月 人脸识别数据安全标准化研究报告 编写单位 中国电子技术标准化研究院、北京旷视科技有限公司、国民认证科技（北京）有限公司、蚂蚁科技集团股份有限公司 编写人员 姚相振 上官晓丽 郝春亮 孙 彦 胡 影 梅敬青 李 俊 许晓耕 张 骁 卢 旗 王秉政 朱雪峰 李海东 林冠辰 版权声明：如需转载或引用，请注明出处 目 录 一、导论 ......................................................................................................................................... 1 二、人脸识别数据概述 ................................................................................................................ 2 2.1 定义 ............................................................................................................................. 2 2.2 特点 ............................................................................................................................. 2 2.3 应用分类 ..................................................................................................................... 3 三、人脸识别数据安全政策法规和标准现状 .......................................................................... 6 3.1 政策法规 ..................................................................................................................... 6 3.2 标准 ........................................................................................................................... 11 四、人脸识别数据安全风险 ..................................................................................................... 17 4.1 收集 ........................................................................................................................... 17 4.2 存储和传输 ............................................................................................................... 19 4.3 使用和加工 ............................................................................................................... 19 4.4 提供和公开 ............................................................................................................... 21 4.5 删除 ........................................................................................................................... 22 五、人脸识别数据安全标准化工作建议 ................................................................................. 24 5.1 标准化需求分析 ....................................................................................................... 24 5.2 标准化工作建议 ....................................................................................................... 25 人脸识别数据安全标准化研究报告 1 一、导论 当前，数字化、网络化、智能化已成为时代特征和发展趋势，以人工智能、大数据等为代表的新一代信息技术不断取得突破，特别是伴随着智能手机、高清摄像头等设备的大规模普及，人脸识别技术也获得高速发展，在公共安全、金融交易、交通出行、政务服务等领域应用日渐广泛，不断催生新模式、新产业、新业态，为推动国民经济增长、促进产业结构优化做出了显著贡献。 与此同时，随着人脸识别技术在相关行业和人们社会生活中的深度应用，随意收集、违法获取、过度使用、非法买卖人脸识别数据问题十分突出，利用人脸识别数据侵扰个人生活安宁、危害个人生命健康和财产安全等安全事件层出不穷，引发了社会对于人脸识别数据安全的持续担忧。 本报告研究了人脸识别数据的特点和应用分类，梳理总结了国内外人脸识别数据安全政策法规和标准现状，研究分析了人脸识别数据安全风险。在此基础上，对人脸识别数据安全标准化需求进行了深入辨析，提出了相关标准化工作建议。本报告旨在为相关企业开展人脸识别数据处理活动、有关个人实践个人信息保护权利提供参考，从而推动人脸识别数据安全标准化工作进一步深入，促进各方形成安全共识，支撑产业生态健康持续发展。 人脸识别数据安全标准化研究报告 2 二、人脸识别数据概述 2.1 定义 人脸图像是自然人脸部信息的模拟或数字表示。人脸图像可通过设备收集，也可对视频、数字照片等进行处理后获得，主要包括可见光图像、非可见光图像（如红外图像）、三维图像等。 人脸特征是从人脸图像提取的反映自然人脸部信息特征的参数。 人脸识别数据是可单独或与其他信息结合识别特定自然人身份的人脸图像或人脸特征，也称为“人脸识别信息”。 2.2 特点 2.2.1 人脸识别数据是社交属性最强的显性生物特征 人脸是天然的重要社交凭证。千百年来，人们互相识别对方身份最直接的、最可靠的凭证就是人脸。人脸识别数据与个人身份直接绑定，相较电话号码、账号口令、甚至身份证号等个人信息，具有几乎无法更改的特点，虽然人脸会由于整容、年龄增长、罹患疾病、情绪变化等改变，但其总体特征基本保持不变。 2.2.2 人脸识别数据是敏感个人信息保护工作的关注重点 人脸是敏感个人信息。人脸识别数据一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。因 人脸识别数据安全标准化研究报告 3 此，对人脸识别数据开展数据处理活动，不仅需要满足合法、正当、必要和诚信等原则，还需要取得个人的单独同意。特别是，在某些场景下人脸识别数据被识别为重要数据，如国家互联网信息办公室等五部门发布的《汽车数据安全管理若干规定（试行）》指出，包含人脸信息、车牌信息等的车外视频、图像数据是重要数据。 2.2.3 人脸识别数据易于采集的特点显著增加了保护难度 人脸天然外露、易被采集、不易保护。人脸具有暴露时间长、暴露面积大的特点。随着近年来摄像头采集距离、清晰度大幅提升，以及成本降低、尺寸缩小、部署更加便利，人脸识别数据采集难度极大降低。特别是几乎每部手机都安装了高清摄像头，具备了收集人脸识别数据的能力。 2.3 应用分类 人脸识别数据应用按照部署模式、应用场景和处理目的等多个维度，存在不同的分类方式。 2.3.1 本地人脸识别与远程人脸识别 根据人脸识别数据应用的部署模式，可以将人脸识别数据应用分为本地人脸识别与远程人脸识别。 本地人脸识别：在人脸识别终端独立完成人脸识别数据处理活动。其主要特点在于人脸识别数据的收集、存储、使用和删除等均在本地 人脸识别数据安全标准化研究报告 4 终端完成，人脸识别数据不向终端外传输。 远程人脸识别：在人脸识别终端完成人脸识别数据收集，在服务器端完成人脸识别数据处理活动。与本地人脸识别相比，人脸识别数据需要传输到服务器端进行人脸识别算法的处理。 2.3.2 人脸验证、人脸辨识与人脸分析 根据人脸识别数据的应用场景，可以将人脸识别数据应用分为人脸验证、人脸辨识与人脸分析。 人脸验证：数据处理者将收集的人脸识别数据与特定自然人的人脸识别数据进行比对（1：1比对），以确认特定自然人是否为其所声明的身份的场景。典型应用包括机场、火车站使用人脸识别数据实现人证比对，移动智能终端、应用程序使用人脸识别数据实现解锁功能等。 人脸辨识：数据处理者将收集的人脸识别数据与已存储的一定范围内的人脸识别数据进行比对（1：N比对），以识别特定自然人的场景。典型应用包括公园、居民小区等使用人脸识别数据实现人员身份核验。 人脸分析：数据处理者对收集的人脸图像进行统计和分析，但不开展人脸验证或人脸辨识的场景。典型应用包括使用人脸识别数据实现公共场所人流量统计、群体分析、体温检测、图片美化等。 2.3.3 服务运营与算法科研 人脸识别数据安全标准化研究报告 5 根据人脸识别数据的处理目的，可以将人脸识别数据应用分为服务运营和算法科研。 服务运营：以为用户提供所需的人脸识别服务为目的，数据处理者按照法律法规要求，根据用户的授权许可协议，遵循最小必要原则，处理用户的人脸识别数据。 算法科研：以开展对人脸识别算法改进的科研为目的，数据处理者按照法律法规要求，根据志愿者的授权许可协议，处理志愿者的人脸识别数据。算法科研应用不直接为特定用户提供服务，而是服务于拥有该算法的组织、机构或个人。 人脸识别数据安全标准化研究报告 6 三、人脸识别数据安全政策法规和标准现状 随着人脸识别技术和产业的不断发展，很多国家和地区制定了人脸识别数据安全相关政策法规标准，推动人脸识别数据安全有序应用。 3.1 政策法规 3.1.1 国际国外情况 （一）联合国 2020年2月，联合国隐私权特别报告员在联合国人权理事会第四十三届会议上作关于隐私权的报告，指出人脸识别数据等生物特征可能对性别平等和隐私权造成影响。该报告在关于防止基于性别的侵犯隐私行为的建议中提出应在没有其他侵入性较小的识别方式可用时，才能进行生物特征数据的处理，并采取适当保障措施保障安全。同时，建议禁止对监控视频进行人脸识别和其他算法分析。 2021年9月，联合国人权事务高级专员在联合国人权理事会第四十八届会议上作题为《数字时代的隐私权》的报告。