人脸识别场景个人信息保护影响评估的关注点
责编:gltian |2025-04-18 13:55:03引 言
随着人脸识别技术在社会各领域的广泛应用,其带来的隐私泄露、数据滥用等问题日益引发公众担忧。2025年6月1日,《人脸识别技术应用安全管理办法》(以下简称《办法》)正式施行。《办法》不仅明确了人脸识别技术应用的基本原则和安全规范,还提出了个人信息保护影响评估(以下简称PIA)的具体要求,为评估工作提供了重要指引,PIA在《办法》中被明确是企业合规的前置门槛,并对处理10万人脸信息的组织提出PIA报告备案要求。本文将从法规要求、评估扩展两个维度,深入解析人脸识别场景下PIA的实践路径,为从业者提供可落地的合规参考。
一、《人脸识别技术应用安全管理办法》中对个人信息保护的要求
《办法》通过多维度、全链条的规则设计,构建了覆盖个人信息处理全生命周期的保护体系。其核心要求深度绑定具体条款,既回应公众关切,也为行业提供明确合规指引。
01 立法定位与核心原则
《办法》第三条确立合法合理原则,要求处理者遵守法律法规,尊重社会伦理,承担社会责任,避免危害国家安全、公共利益及个人权益。第四条明确最小必要原则,技术使用需具备特定目的和充分必要性,且采取对个人权益影响最小的方式。第六条和第七条则强化单独同意原则,处理人脸信息需取得个人单独同意,未成年人信息处理需监护人授权,并制定专门规则。例如,如某小区引入人脸识别门禁,需依据第四条证明使用人脸识别技术的必要性,并依据第六条履行告知义务。
02 全流程保护措施
处理前需依据第五条履行显著告知义务,明确处理目的、方式、期限及影响。同时,依据第九条强制要求开展个人信息保护影响评估,分析处理活动的合法性、风险及保护措施,报告保存至少三年。数据存储与传输方面,第八条要求原则上禁止互联网传输,确保本地保存且期限不超过必要时间。当存储量达10万条时,第十五条要求处理者在30个工作日内备案,提交处理规则、评估报告等材料。例如,某银行使用人脸识别进行远程开户,需依据第八条在取得单独同意后向后台传输,并依据第九条进行影响评估,并在达到备案阈值时及时申报。
03 禁止性规定与场景要求
第十条设定非唯一性原则,禁止在存在替代方案时强制使用人脸识别,如商场不得将“刷脸”作为唯一支付验证方式。第十一条鼓励优先使用国家认证渠道,如政务服务平台可接入公安身份认证接口,减少自行采集需求。第十三条明确禁止在宾馆客房、公共浴室、卫生间等私密空间安装设备,避免隐私侵犯。第十二条则严禁以业务办理为由胁迫个人接受验证,如医院不得强制患者通过人脸识别挂号。
04 安全与监管机制
第十四条要求系统采取数据加密、安全审计、入侵防御等措施,符合网络安全等级保护要求。监管部门依据第十六条建立协同机制,网信、公安等部门联合开展监督检查,形成监管合力。公众救济途径方面,第十七条赋予投诉举报权利,部门需在法定期限内处理反馈。例如,用户发现某商场违规使用人脸识别,可依据第十七条向当地网信办举报,部门将联合公安介入调查。
05 法律责任与术语明确化
第十八条明确违规追责机制,违反《办法》将依法追究责任,构成犯罪则追究刑事责任。例如,企业因未履行备案义务导致信息泄露,将依据第十八条面临行政处罚甚至刑事追责。第十九条则明确“人脸信息”、“个人信息处理者”等术语定义,避免法律适用的模糊性,为合规实践提供清晰指引。
二、人脸识别场景PIA的扩展要点
结合《办法》的具体要求,人脸识别场景下的个人信息保护影响评估相比普通个人敏感信息场景需额外关注以下要点,这些要点均基于《办法》的强制性规定及生物识别技术的特殊风险设计:
01 合规层面
单独同意的有效性审查:根据《办法》第五条和第七条规定,对老年人、残疾人的告知方式需符合无障碍告知标准(如大字体、语音提示);处理14周岁以下人脸信息需取得监护人同意,需核查监护人身份验证机制,并制定专门的未成年人信息处理规则。
公共场所采集合规审查:《办法》第十三条明确在公共场所使用远距离无感辨识时,采集区域应严格限定为维护公共安全所必需的范围,且数据即采即用、不留存;需设置显著标识(如“人脸采集区域”警示牌),并评估是否过度扩大采集范围;禁止在宾馆客房、公共浴室等私密空间安装设备。
最小必要原则:《办法》第四条要求处理人脸信息需具有特定目的和充分必要性,采取对个人权益影响最小的方式。如采集范围不得从面部特征扩展到上半身,可能包含体态、着装等额外敏感信息,超出实现目的所需的合理范围。
动态合规审查:根据《办法》第九条和第十五条规定,当人脸信息存储量达10万人时需在30个工作日内进行备案,且在达到触发条件时需重新进行PIA评估工作,如处理人脸信息的目的、方式发生变化,或者发生重大安全事件的。
02 安全措施层面
加密传输与加密存储的强化措施:根据《办法》第八条和第十四条规定,企业需确保人脸信息在传输和存储中的安全性。传输环节应采用高强度的加密协议,例如TLS 1.2及以上协议或端到端加密技术,禁止明文传输,同时,密钥管理应遵循“分离存储”原则,定期轮换密钥以降低破解风险。结合GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》(以下简称GB/T 41819-2022)第7节内容要求,存储环节需根据场景差异化设计:本地设备(如门禁终端)应通过硬件级安全模块(如TEE可信执行环境)或软件加密保护数据;若需云端存储(需取得法律授权或用户单独同意),需严格隔离摘要与其他个人数据(如手机号、住址)的关联存储,例如在数据库中独立存储人脸摘要和用户账户信息,避免通过数据聚合还原个人身份。
图像数据最小化收集与场景配适:根据《办法》第四条,结合GB/T 41819-2022第6节 d)条款,企业应通过技术手段减少人脸信息的收集范围和精度。可在数据采集端引入实时脱敏技术,仅提取必要特征向量并删除原始图像,或采用低分辨率图像、局部特征采集降低信息冗余。业务场景需分级管理:低风险场景(如门禁)使用轻量化模型快速验证;高风险场景(如支付)需结合多因素认证(如人脸+短信验证码),并为拒绝人脸识别的用户提供替代验证方式(如密码、指纹)。
终端本地化存储与数据生命周期管理:根据《办法》第八条与第十四条,人脸信息原则上应存储于终端设备内,企业可通过边缘计算技术将算法嵌入设备(如摄像头、门禁机),实现采集、特征提取、比对全流程本地化,避免原始数据上传。同时,终端设备可定期升级固件修复漏洞,关闭非必要接口(如USB调试),并加装物理防拆报警装置,防止硬件入侵导致数据泄露。结合GB/T 41819-2022第11节内容要求,设备需内置自动清理机制,例如设定数据保存期限为7天,到期后自动删除;若业务终止,企业需在15日内彻底删除数据,采用覆写存储介质或加密销毁确保不可恢复,并留存删除日志备查。
摘要信息使用:结合GB/T 41819-2022第8节b)条款,为减少人脸信息直接暴露,企业可通过哈希算法(如SHA-256)将特征值转换为不可逆摘要,并加入随机盐值(Salt)增强安全性。摘要信息仅限用于“一对一”身份验证(如登录比对),禁止用于用户画像或行为分析。
03 其他考虑
国家库优先使用原则:考虑到个人信息主体无法像修改密码一样重置面部特征,人脸信息一旦泄露将永久暴露个人身份特征,根据《办法》第十一条,若用于身份验证,需评估是否优先接入国家人口基础信息库或官方身份认证服务,减少本地存储原始人脸数据。
不可替代性证明:根据《办法》第十条,若存在指纹识别、身份证核验等非生物识别方案,需说明为何必须采用人脸识别,并说明替代方案的成本、用户体验差距及安全风险对比。由于公众对人脸识别滥用的容忍度显著低于其他数据类型,强制刷脸等争议行为极易触发公众的抵抗心理,如某连锁超市因强制消费者人脸识别被起诉,其连锁超市将人脸识别作为会员身份认证的唯一选项,若不提供人脸识别,则无法在线下消费。
总之,在开展人脸识别场景的PIA时,可依据GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》的系统性方法,并结合《办法》具体要求,有效完成评估并形成评估报告。
其中,针对个人权益影响,参照GB/T 39335-2020标准中的权益影响分析方法,结合人脸信息敏感特性,从限制个人自主决定权、引发差别性待遇、名誉受损或精神压力、人身财产受损方面识别人脸识别信息对个人权益带来的影响,以及降低不利影响的措施否有效;针对安全事件可能性,参照GB/T 39335-2020标准的安全事件可能性分析框架,从网络环境和技术措施、处理流程规范性、参与人员与第三方、业务特点、规模及安全态势方面分析出发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险源,并结合影响分析结果进一步综合分析得出风险以及可能造成的危害。最后,将上述分析过程与备案所需的报告中予以结合,确保评估分析过程逻辑清晰、评估结论依据充分,以达到《办法》的备案合规要求。
三、结 语
《办法》的实施标志着我国人脸信息保护从原则性倡导迈向操作性规制,将人脸识别技术的应用约束在“安全轨道”内。作为连接法律要求与技术实践的桥梁,人脸识别应用中对个人信息保护影响评估的强调和细化,将进一步推动企业形成“隐私原生”的设计思维。目前CCIA数据安全工作委员会和数据安全共同体计划等共同发起的PIA专题工作正式启动了“PIA二星+”标识,就人脸信息这一特殊敏感个人信息处理场景,对评估点进一步扩展,并形成相应的针对性更强的第三方评估报告,这对于企业而言,不但可以助推其完成PIA工作,而且获取“PIA二星+”标识使其能成为合规能力的证明,更是公众信任的“信用凭证”。PIA工作的逐步推广,将不断促使企业从被动合规转向主动风控,最终推动技术便利与个人权益保护的动态平衡。
(本文作者:深圳赛西信息技术有限公司 刘昊鑫、刘丹丹)