中国人民政治协商会议第十三届全国委员会第四次会议将于2021年3月4日在北京召开。全国政协委员、民进上海市委专职副主委、上海中华职教社副主任胡卫向大会提案,倡议建立人脸识别数据收集处理的特殊安全认证体系。提案指出,“面部识别特征”属于“个人敏感信息”的范畴,建议尽快出台《数据安全法》、《个人信息保护法》等法律,参照国际普遍遵守的“数据隐私六原则”,建立所有涉人脸识别数据的公私部门须遵守和符合的特殊安全认证体系。
作为疫情防控工作的重要借助手段,以人脸识别为代表的生物识别技术在我国的规模化商用,确实带来很多便利,但是生物信息属于社会基础性资源,具有终身不可更改等特点,这些数据在采集、传输、保存、使用以及第三方调用过程中,可能会出现数据泄露和滥用问题,对个人、组织和国家造成系统性风险,不可不引起重视。
人脸识别数据在全世界都是敏感信息
欧盟2018年《通用数据保护条例》(简称GDPR)第9条将“能识别特定自然人的生物识别数据”视作个人数据的特殊类型——个人敏感数据。目前全世界在隐私保护上基本参照GDPR提出的六大原则:(1)合法、公正、透明;(2)限定目的;(3)数据最小化,即仅收集必要的数据;(4)准确;(5)留存期限限制;(6)完整性和保密性。所有与个人数据相关的公私部门都要证明其有能力并且确实遵守了这六大原则,有责任向监管机构提交相关记录和证明文件。
根据我国《网络安全法》和《个人信息保护法(草案)》,“面部识别特征”是“个人生物识别信息”的一种,属于“个人敏感信息”的范畴,在信息收集、共享、传输和存储等方面应当受到比普通个人信息更加严格的保护。但从法条本身来看,宣示性强,操作性仍然较弱,并没有给涉及收集处理相关数据的企业造成额外的合规压力。
人脸识别数据的收集与处理必须合法有度
我国关于人像采集的法律法规主要集中于出入境管理、身份证办理、刑事侦查、道路交通安全管理等法律法规。除了法律对人像采集有强制性规定的场合之外,人脸识别正在被广泛运用到火车站、机场、码头等公共场所,工厂、学校等企事业单位的刷脸签到和监控,以及银行、通信、交通、卫生等机构相关软件的身份验证等领域。上述行为是否符合《网络安全法》及相关信息保护法律规范的要求,值得思考。
我国《个人信息保护法(草案)》规定,个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。除此,草案也规定了处理敏感个人信息除法定情况外,要获得个人的单独书面同意。另外,同样重要的是,敏感数据被收集后,要符合怎样的安全要求才能被存储、处理和传输,目前法律并无细化的规定。
要求所有涉及人脸识别数据的公私部门符合特殊安全认证体系
目前我国的问题是,非法收集和使用个人信息的情况屡见不鲜,人脸数据等个人信息买卖黑色产业链屡禁不止;尤其是一些关系国计民生的重要行业和领域,尚未建立起针对重要数据的数据安全管理体系,人脸识别相关企业关注点放在业务发展上,对网络信息安全的投入却很少,包括数据采集、数据传输、数据保存、数据处置、数据使用、数据共享、数据出境、第三方服务接入等数据活动均可能存在巨大的风险隐患。
因此,建议尽快出台《数据安全法》、《个人信息保护法》等法律,在重要行业和领域要加快制定实施细则和指引,指导行业企业强化数据安全管理。更重要的是,参照国际普遍遵守的“数据隐私六原则”,建立所有涉人脸识别数据的公私部门须遵守和符合的特殊安全认证体系,加快人脸识别的标准体系研究,明确人脸识别相关标准,提高数据安全风险监测、预警和事件处置能力。
在分类型特殊安全认证体系下,收集诸如面部特征数据的个人可识别信息的任何技术都应努力保护这些数据,使用匿名化或其他方式来减少可用数据量,并建立严格的用户协议以限制未经授权的访问。人脸识别技术应用单位,应建立信息安全管理体系,加强网络应用层、传输层、主机层、数据链路层、物理层安全防护,明确数据收集、数据传输、数据保存、数据处置、数据使用、数据共享、转让与委托处理、公开披露、数据出境、第三方服务接入等数据活动的安全管理和控制要求。
