人臉識別場景個人信息保護影響評估的關注點
責編:gltian |2025-04-18 13:55:03引 言
隨著人臉識別技術在社會各領域的廣泛應用,其帶來的隱私泄露、數據濫用等問題日益引發公眾擔憂。2025年6月1日,《人臉識別技術應用安全管理辦法》(以下簡稱《辦法》)正式施行。《辦法》不僅明確了人臉識別技術應用的基本原則和安全規范,還提出了個人信息保護影響評估(以下簡稱PIA)的具體要求,為評估工作提供了重要指引,PIA在《辦法》中被明確是企業合規的前置門檻,并對處理10萬人臉信息的組織提出PIA報告備案要求。本文將從法規要求、評估擴展兩個維度,深入解析人臉識別場景下PIA的實踐路徑,為從業者提供可落地的合規參考。
一、《人臉識別技術應用安全管理辦法》中對個人信息保護的要求
《辦法》通過多維度、全鏈條的規則設計,構建了覆蓋個人信息處理全生命周期的保護體系。其核心要求深度綁定具體條款,既回應公眾關切,也為行業提供明確合規指引。
01 立法定位與核心原則
《辦法》第三條確立合法合理原則,要求處理者遵守法律法規,尊重社會倫理,承擔社會責任,避免危害國家安全、公共利益及個人權益。第四條明確最小必要原則,技術使用需具備特定目的和充分必要性,且采取對個人權益影響最小的方式。第六條和第七條則強化單獨同意原則,處理人臉信息需取得個人單獨同意,未成年人信息處理需監護人授權,并制定專門規則。例如,如某小區引入人臉識別門禁,需依據第四條證明使用人臉識別技術的必要性,并依據第六條履行告知義務。
02 全流程保護措施
處理前需依據第五條履行顯著告知義務,明確處理目的、方式、期限及影響。同時,依據第九條強制要求開展個人信息保護影響評估,分析處理活動的合法性、風險及保護措施,報告保存至少三年。數據存儲與傳輸方面,第八條要求原則上禁止互聯網傳輸,確保本地保存且期限不超過必要時間。當存儲量達10萬條時,第十五條要求處理者在30個工作日內備案,提交處理規則、評估報告等材料。例如,某銀行使用人臉識別進行遠程開戶,需依據第八條在取得單獨同意后向后臺傳輸,并依據第九條進行影響評估,并在達到備案閾值時及時申報。
03 禁止性規定與場景要求
第十條設定非唯一性原則,禁止在存在替代方案時強制使用人臉識別,如商場不得將“刷臉”作為唯一支付驗證方式。第十一條鼓勵優先使用國家認證渠道,如政務服務平臺可接入公安身份認證接口,減少自行采集需求。第十三條明確禁止在賓館客房、公共浴室、衛生間等私密空間安裝設備,避免隱私侵犯。第十二條則嚴禁以業務辦理為由脅迫個人接受驗證,如醫院不得強制患者通過人臉識別掛號。
04 安全與監管機制
第十四條要求系統采取數據加密、安全審計、入侵防御等措施,符合網絡安全等級保護要求。監管部門依據第十六條建立協同機制,網信、公安等部門聯合開展監督檢查,形成監管合力。公眾救濟途徑方面,第十七條賦予投訴舉報權利,部門需在法定期限內處理反饋。例如,用戶發現某商場違規使用人臉識別,可依據第十七條向當地網信辦舉報,部門將聯合公安介入調查。
05 法律責任與術語明確化
第十八條明確違規追責機制,違反《辦法》將依法追究責任,構成犯罪則追究刑事責任。例如,企業因未履行備案義務導致信息泄露,將依據第十八條面臨行政處罰甚至刑事追責。第十九條則明確“人臉信息”、“個人信息處理者”等術語定義,避免法律適用的模糊性,為合規實踐提供清晰指引。
二、人臉識別場景PIA的擴展要點
結合《辦法》的具體要求,人臉識別場景下的個人信息保護影響評估相比普通個人敏感信息場景需額外關注以下要點,這些要點均基于《辦法》的強制性規定及生物識別技術的特殊風險設計:
01 合規層面
單獨同意的有效性審查:根據《辦法》第五條和第七條規定,對老年人、殘疾人的告知方式需符合無障礙告知標準(如大字體、語音提示);處理14周歲以下人臉信息需取得監護人同意,需核查監護人身份驗證機制,并制定專門的未成年人信息處理規則。
公共場所采集合規審查:《辦法》第十三條明確在公共場所使用遠距離無感辨識時,采集區域應嚴格限定為維護公共安全所必需的范圍,且數據即采即用、不留存;需設置顯著標識(如“人臉采集區域”警示牌),并評估是否過度擴大采集范圍;禁止在賓館客房、公共浴室等私密空間安裝設備。
最小必要原則:《辦法》第四條要求處理人臉信息需具有特定目的和充分必要性,采取對個人權益影響最小的方式。如采集范圍不得從面部特征擴展到上半身,可能包含體態、著裝等額外敏感信息,超出實現目的所需的合理范圍。
動態合規審查:根據《辦法》第九條和第十五條規定,當人臉信息存儲量達10萬人時需在30個工作日內進行備案,且在達到觸發條件時需重新進行PIA評估工作,如處理人臉信息的目的、方式發生變化,或者發生重大安全事件的。
02 安全措施層面
加密傳輸與加密存儲的強化措施:根據《辦法》第八條和第十四條規定,企業需確保人臉信息在傳輸和存儲中的安全性。傳輸環節應采用高強度的加密協議,例如TLS 1.2及以上協議或端到端加密技術,禁止明文傳輸,同時,密鑰管理應遵循“分離存儲”原則,定期輪換密鑰以降低破解風險。結合GB/T 41819-2022《信息安全技術 人臉識別數據安全要求》(以下簡稱GB/T 41819-2022)第7節內容要求,存儲環節需根據場景差異化設計:本地設備(如門禁終端)應通過硬件級安全模塊(如TEE可信執行環境)或軟件加密保護數據;若需云端存儲(需取得法律授權或用戶單獨同意),需嚴格隔離摘要與其他個人數據(如手機號、住址)的關聯存儲,例如在數據庫中獨立存儲人臉摘要和用戶賬戶信息,避免通過數據聚合還原個人身份。
圖像數據最小化收集與場景配適:根據《辦法》第四條,結合GB/T 41819-2022第6節 d)條款,企業應通過技術手段減少人臉信息的收集范圍和精度。可在數據采集端引入實時脫敏技術,僅提取必要特征向量并刪除原始圖像,或采用低分辨率圖像、局部特征采集降低信息冗余。業務場景需分級管理:低風險場景(如門禁)使用輕量化模型快速驗證;高風險場景(如支付)需結合多因素認證(如人臉+短信驗證碼),并為拒絕人臉識別的用戶提供替代驗證方式(如密碼、指紋)。
終端本地化存儲與數據生命周期管理:根據《辦法》第八條與第十四條,人臉信息原則上應存儲于終端設備內,企業可通過邊緣計算技術將算法嵌入設備(如攝像頭、門禁機),實現采集、特征提取、比對全流程本地化,避免原始數據上傳。同時,終端設備可定期升級固件修復漏洞,關閉非必要接口(如USB調試),并加裝物理防拆報警裝置,防止硬件入侵導致數據泄露。結合GB/T 41819-2022第11節內容要求,設備需內置自動清理機制,例如設定數據保存期限為7天,到期后自動刪除;若業務終止,企業需在15日內徹底刪除數據,采用覆寫存儲介質或加密銷毀確保不可恢復,并留存刪除日志備查。
摘要信息使用:結合GB/T 41819-2022第8節b)條款,為減少人臉信息直接暴露,企業可通過哈希算法(如SHA-256)將特征值轉換為不可逆摘要,并加入隨機鹽值(Salt)增強安全性。摘要信息僅限用于“一對一”身份驗證(如登錄比對),禁止用于用戶畫像或行為分析。
03 其他考慮
國家庫優先使用原則:考慮到個人信息主體無法像修改密碼一樣重置面部特征,人臉信息一旦泄露將永久暴露個人身份特征,根據《辦法》第十一條,若用于身份驗證,需評估是否優先接入國家人口基礎信息庫或官方身份認證服務,減少本地存儲原始人臉數據。
不可替代性證明:根據《辦法》第十條,若存在指紋識別、身份證核驗等非生物識別方案,需說明為何必須采用人臉識別,并說明替代方案的成本、用戶體驗差距及安全風險對比。由于公眾對人臉識別濫用的容忍度顯著低于其他數據類型,強制刷臉等爭議行為極易觸發公眾的抵抗心理,如某連鎖超市因強制消費者人臉識別被起訴,其連鎖超市將人臉識別作為會員身份認證的唯一選項,若不提供人臉識別,則無法在線下消費。
總之,在開展人臉識別場景的PIA時,可依據GB/T 39335-2020《信息安全技術 個人信息安全影響評估指南》的系統性方法,并結合《辦法》具體要求,有效完成評估并形成評估報告。
其中,針對個人權益影響,參照GB/T 39335-2020標準中的權益影響分析方法,結合人臉信息敏感特性,從限制個人自主決定權、引發差別性待遇、名譽受損或精神壓力、人身財產受損方面識別人臉識別信息對個人權益帶來的影響,以及降低不利影響的措施否有效;針對安全事件可能性,參照GB/T 39335-2020標準的安全事件可能性分析框架,從網絡環境和技術措施、處理流程規范性、參與人員與第三方、業務特點、規模及安全態勢方面分析出發生人臉信息泄露、篡改、丟失、毀損或者被非法獲取、出售、使用的風險源,并結合影響分析結果進一步綜合分析得出風險以及可能造成的危害。最后,將上述分析過程與備案所需的報告中予以結合,確保評估分析過程邏輯清晰、評估結論依據充分,以達到《辦法》的備案合規要求。
三、結 語
《辦法》的實施標志著我國人臉信息保護從原則性倡導邁向操作性規制,將人臉識別技術的應用約束在“安全軌道”內。作為連接法律要求與技術實踐的橋梁,人臉識別應用中對個人信息保護影響評估的強調和細化,將進一步推動企業形成“隱私原生”的設計思維。目前CCIA數據安全工作委員會和數據安全共同體計劃等共同發起的PIA專題工作正式啟動了“PIA二星+”標識,就人臉信息這一特殊敏感個人信息處理場景,對評估點進一步擴展,并形成相應的針對性更強的第三方評估報告,這對于企業而言,不但可以助推其完成PIA工作,而且獲取“PIA二星+”標識使其能成為合規能力的證明,更是公眾信任的“信用憑證”。PIA工作的逐步推廣,將不斷促使企業從被動合規轉向主動風控,最終推動技術便利與個人權益保護的動態平衡。
(本文作者:深圳賽西信息技術有限公司 劉昊鑫、劉丹丹)