信息技术 生物特征识别 人脸识别系统应用要求 征求意见稿

1GB/TXXXXX—XXXX信息技术生物特征识别人脸识别系统应用要求本文件规定了人脸识别系统应用的基本原则、规划与评估、施工与验收、系统运维、应用管理等方面的要求。本文件适用于人脸识别系统相关方组织开展人脸识别系统应用，以及第三方评估机构等组织对人脸识别系统应用进行评估、管理和监督。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T35273信息安全技术个人信息安全规范GB/T40660信息安全技术生物特征识别信息保护基本要求GB/T41772信息技术生物特征识别人脸识别系统技术要求GB/T41819信息安全技术人脸识别数据安全要求GB50348安全防范工程技术规范ISO/IEC30137-1:2019信息技术在视频监控系统中使用生物识别技术第1部分：设计和规范（Informationtechnology—Useofbiometricsinvideosurveillancesystems—Part1:Systemdesignandspecification）3术语和定义GB/T41772界定的以及下列术语和定义适用于本文件。3.1人脸图像faceimage自然人脸部信息的模拟或数字表示。[来源：GB/T41819-2022，3.1]3.2人脸识别数据facerecognitiondata可识别自然人身份的人脸图像或人脸特征。[来源：GB/T41819-2022，3.3]GB/TXXXXX—XXXX4基本要求人脸识别系统应用基本要求应包括如下内容：a)权责一致：应明确人脸识别系统所有者在人脸识别系统应用过程中应承担的责任，无法承担责任则不应实施；b)友好便捷：应充分考虑特殊群体（包括不同年龄，残障人士等）使用需求，提供良好的使用引导和交互界面，人脸识别系统应易学、易用、易操作；c)双重保障：人脸识别系统所有者应具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段；d)信息保护：人脸识别系统应用过程中信息保护应符合GB/T40660的规定。5规划、评估与备案5.1人脸识别系统应用规划人脸识别系统应用规划应包括如下内容：a）明确应用人脸识别系统的充分必要性；b）明确应用同时提供的非人脸识别方式；c）明确业务需求，可进行人脸识别应用场景、应用目的等分析，见附录A；d）制定人脸识别系统建设进度计划，明确相关责任人角色、责任、职责和权限。5.2人脸识别系统应用评估5.2.1个人信息保护影响评估应在人脸识别系统设计施工前开展个人信息保护影响评估，可参考GB/T39335。评估报告和处理情况记录应当至少保存三年，评估内容包括：a)包括人脸识别数据在内的个人信息的处理目的、处理方式等是否合法、正当、必要；b)对个人权益是否有影响及是否存在安全风险；c)所采取的数据保护措施是否有效并与风险程度相适应等。处理人脸识别数据的目的、方式发生变化，或者发生重大安全事件的，应重新进行个人信息保护影响评估。5.2.2应用目的评估人脸识别系统应用目的具体要求如下：a)人脸识别系统应用目的应合法合规，以及明确、清晰和具体；b)基于提升产品或者服务质量的目的，通过人脸识别系统进行用户画像的，应当向人脸识别主体明示画像的具体用途和主要规则；c)人脸识别系统不应具备进行任何与系统应用目的和范围无关的处理能力。注：人脸识别主体：人脸识别数据已存储在人脸识别系统的个体。5.2.3可行性评估3GB/TXXXXX—XXXX通用性项目可行性评估和风险评估可参考GB/T22032-2021中6.3.2及6.3.4，除此之外，人脸识别系统应用可行性评估还应包括：a)合规性评估：项目及所使用的软硬件是否符合国家和地区的相关政策、法律法规和制度；b)技术能力评估：人脸识别系统的功能，性能，防伪造、对抗、注入等攻击的能力，并确认在现行技术能力下，所明确的指标应具有可行性；c)环境影响评估：人脸识别系统补光灯或闪光灯及设备的安装应符合国家环境规范；d)环境适应性评估：人脸识别系统在周围环境因素影响下的适应性，如不同光照、温度、湿度等；相关设备的电磁兼容性等；e)经济性评估：预估开发、部署和运维成本，包括硬件、软件、人力资源等方面，成本造价应经济合理；f)社会影响评估，包括：1)人脸识别系统是否分析敏感个人信息，除维护国家安全、公共安全或者保护自然人声明健康和财产安全所必需，或取得个人单独同意外，不应利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息；2)人脸识别系统应用是否存在偏见，应避免种族、年龄、性别等因素造成的歧视；3)人脸识别系统在当地社会的接受和认可度，是否符合公序良俗，是否存在公众关切或争议。5.2.4人脸识别数据处理规则评估5.2.4.1基本要求人脸识别数据处理规则的内容应符合GB/T41819的相关规定。在向人脸识别主体告知人脸识别数据处理规则、征得其同意、获得其授权时，应符合GB/T35273的相关规定。5.2.4.2有效告知评估是否采取有效告知方式，包括但不限于：a)是否提供独立的人脸识别数据处理规则，并提示查阅；b)告知内容是否便于访问，如通过二维码、公众号等形式，操作步骤不多于4次；c)告知内容变更时，是否将变更部分重新告知人脸识别主体。注：有关人脸识别数据处理规则的内容见GB/T41819-2022第5章。5.2.4.3明示同意与单独授权评估是否取得明示同意和单独授权，包括但不限于：a)是否签署纸质授权文件或电子授权文件；b)在具有人脸识别系统的公共场合的明显位置是否设置显著提示标识；c)不应以默认选择同意的方式，应采取做出肯定性动作的方式征求授权同意；d)处理不满十四周岁未成年人人脸识别数据的，是否取得未成年人的父母或者其他监护人的单独同意或者书面同意。注3：张贴人脸识别标识见GB/T40694.5规定的5.2.5备案GB/TXXXXX—XXXX人脸识别系统所有者应按国家相关法律、法规规定的条件和要求进行备案。6施工与验收6.1系统施工6.1.1基本要求人脸识别系统施工所使用的设备应符合应用方案设计要求。人脸识别系统施工相关的准备工作、电气施工应符合GB50348的相关要求。6.1.2配套设施6.1.2.1人脸采集设备人脸采集设备要求如下：a)人脸采集设备应能采集到符合GB/T41772质量要求的人脸图像或视频；b)应用于视频监控的采集设备的选择和配套设施应符合ISO/IEC30137-1:2019中7.5.1，7.5.3及第8章的要求。6.1.2.2存储设备存储设备要求如下：a)人脸识别系统存储设备应考虑高性能、可伸缩性、易操作性、可靠性、安全性等要求；b)应根据使用主体规模、计划使用年限、存储冗余等，确定存储设备容量；c)存储设备的数据可靠性设计：1）应根据应用场景采用一种或多种数据保护模式；2）宜应用纠删码技术保证数据恢复和读取；3）宜支持优先恢复指定业务数据；4）宜支持管理节点索引信息还原，即全部管理节点损坏后，能从存储节点中还原出管理节点上的索引信息。d)若采用集群方案，宜考虑节点支持集群化管理和全对称部署，无缝扩展，故障迁移和自动恢复，以及查看硬件和软件运行状态。6.1.2.3解析设备解析设备要求如下：a)通用要求：1）应根据使用主体规模、计划使用年限、计算冗余、单台解析设备分析路数等，确定解析设备总量；2）应支持人脸采集设备所采集的视图分辨率、视图数据格式和/或视频取流方式；3）应支持启动时软硬件模块自检，确保外设及软件模块的完整性。b)采用单机模式时，解析设备要求如下：1）应支持系统异常时自动恢复及故障记录和上报的能力；2）宜支持实时处理视图解析，实时响应的能力；3）宜支持离线或远程更新系统组件和算法模型的能力。5GB/TXXXXX—XXXXc)当系统具有高并发，密集计算等高性能要求时，宜采用集群架构，并符合以下要求：1）应支持无缝扩展集群规模，添加删除节点不应影响集群运行；2）应支持集群的热备，主节点宕机时可自动切换，不应影响集群运行；3）应支持查看集群运行情况，包括任务分析情况、资源使用情况、算法分配情况等。d)非配合式应用场景中设备宜支持千万注册数据库规模，配合式应用场景中设备宜支持30万注册数据库规模。6.1.2.4通信设备人脸识别系统依赖网络通信进行视图数据的存储，计算和传输时，通信设备具体要求如下：a)通用要求：1）通信设备应保证传输的不间断性和数据的高质量；2）当传输视频数据时，网络的带宽和码率应考虑相机数量、图像分辨率大小、帧率、压缩视频的比特率等情况，使视频数据能够持续以视频流形式传输。b)蜂窝通信设备应符合无线终端相关技术标准要求；c)网络接口：1）应具有2个及以上千兆数据网口；2）宜具有1个及以上千兆管理网口；3）宜支持扩展光口或者万兆网口。d)宜具有二个及以上通用串行总线2.0/3.0规范规定的接口。6.1.2.5辅助设备辅助设备具体要求如下：a)应考虑系统的易操作性；b)宜支持通过协作输入方式读取或调用人脸图像/模板（如证件、二维码、密码等）并符合相关要求。6.1.3系统安装6.1.3.1人脸采集设备安装人脸采集设备主要指摄像机/照相机/面板机/USB人脸模组等。人脸采集设备安装要求如下：a)安装环境和安装方式应符合人脸采集设备的适配范围，并能采集到符合质量要求的人脸图像或视频；b)适用时，物理环境要求如下：1)安装位置和人脸识别主体之间应避免存在遮挡物；2)安装位置宜避免不平整的地板和台阶；3)宜引导人脸识别主体面向采集设备或朝采集设备移动，并保持一定的间隔，如设置一米距离线、张贴引导标识等。c)适用时，照明条件要求如下：1)安装位置应考虑环境光照强度、光照均匀性等，宜避免靠近窗户或阳光下的区域，选择阴影或人工照明区域；GB/TXXXXX—XXXX2)人脸采集设备宜确保脸部的平衡照明，避免视频中的运动模糊，可采取的措施：引入额外照明，如补光、采用近红外照明；控制人流数量等。d)安装位置和角度：1)安装位置和角度应根据识别区域确定；2)安装位置应避免剪影现象，宜采用辅助（如红外线）照明；3)安装位置不应设置过低，人脸识别主体的脸部不宜被遮挡；4)安装位置宜符合人脸识别主体在采集位置停留一定时间，且采集装置已预先对焦；5)安装角度宜减少采集对象俯仰、水平转动和倾斜角度；6)应采集到人脸正面视图，并通过张贴指示标识、显示人脸框等方式引导人脸识别主体面向采集装置；7)宜采取措施限制在识别区域中的个体数量，同时确保识别区域被充分覆盖；8)识别区域宜具备充足的照明条件，避免因运动模糊或传感器噪音影响图像质量；采集对象通过识别区域时，光照宜均匀分布在面部。6.1.3.2其它设备安装其它设备安装要求如下：a)存储、计算等其他设备的安装环境和安装方式，应保证符合相关设备的适配范围。安装方式可参考GB/T2887-2011、GB/T9361-2011、GB/T9813.3-2017、GB/T39680-2020、GB/T41783-2022；b)铺助设备安装，如证件识读、二维码识读、密码输入等设备，应考虑其与人脸识别设备的相对位置、信息传输等。6.1.3.3软件安装人脸识别系统相关软件应包括人脸识别系统服务软件、算法模型及客户端等，其安装要求如下：a)安装文件应完整；b)应进行运行基础环境（如软件开发工具包、依赖库、算力资源驱动等）安装；c)软件安装和模型部署过程中应确保重要文件的安全性；d)应按照系统要求进行参数配置、授权管理、初始化等；e)应进行人脸采集设备的接入及联调；f)安装完成后，应检查系统各部分的连通性及运行状态。6.1.4系统调试人脸识别系统调试包括设备调试、软件调试和系统联调，要求如下：a)设备调试：按调试设备的功能、作用和所在部位或区域进行区分：1)应检查供电电源的正确性，对传输线路通、断、短进行测试；2)应对摄像机采集的图像进行浏览以调整镜头，检查摄像机/照相机等功能是否正常等。b)软件调试：系统上电后，根据系统软件功能逐项进行功能和系统参数测定，以确认系统运行正确性和可靠性，并做好测试记录；c)系统联调：人脸识别系统施工部署完成后，应对其功能和性能进行调试；人脸识别系统的功能和性能应符合GB/T41772相关规定及应用场景需求。7GB/TXXXXX—XXXX6.2系统验收人脸识别系统施工完成后，应成立验收组进行验收工作，开展施工验收、技术验收、资料审查等，要求如下：a)施工验收、技术验收、资料审查基本要求应符合GB50348相关规定；b)人脸采集设备安装位置和角度应合理有效；c)人脸识别系统功能、性能、安全应达到技术设计条件；d)验收结论应及时通知系统所有者，并共同商讨解决存在的问题和不足之处。在问题解决和改进措施落实后，验收组应重新评估系统，并出具最终的验收结论；e)验收组应妥善保存相关的验收文件和资料；f)验收组织、验收流程、文档准备、工作形式等可参考GB/T30976.2-2014。7系统运维与终止7.1系统运维7.1.1基本要求人脸识别系统的运行和维护，包括应用软件及其运行环境的运行维护、数据维护等要求。系统运行维护基本要求包括但不限于：a）设立专门的运行维护团队，负责系统的日常运维和管理，确保系统运行的安全性和稳定性；b）对应用软件、数据及运行环境进行调研和分析，确定运行维护要点，制定系统运行维护规程；c）明确运维人员的岗位职责，保证权限清晰、各司其职、个人信息安全及应用系统正常运行；d）运维人员按照规程进行运维操作，关键操作由上级主管监督执行；e）规范系统运行维护管理和流程，提高系统的安全性和稳定性，降低运维成本和风险；f）建立知识库，收集、积累、共享和使用运行维护数据和经验，以持续改进运行维护服务。7.1.2调研评估调研评估应包括人脸识别系统组成要素的构成分解、关联关系分析和维护性分析，要求包括但不限a）组成要素的构成分解应根据业务流程和系统架构设计，层次化分解人脸识别系统，识别关键业务点和核心业务系统；b）关联关系分析包括与核心业务系统关联的非核心业务系统、接口连接、依存关系等；c）维护性分析包括系统的可监控性、易用性、安全性、可维护性，明确系统运行方式、组成要素及运行维护特点。7.1.3例行维护人脸识别系统应用软件及其运行环境和数据的例行维护包括但不限于：a)人脸识别系统应具备自检能力，包括系统完整性、功能有效性的校验，并能防御软件被篡改、木马入侵等风险，运维人员应定期查验系统自检结果；b)应定期检查人脸识别系统的监控指标、运行状态及其运行环境状态，对于系统的异常情况和故障，应及时进行预警、排查、修复、回溯及备案；c)定期进行人脸识别系统的性能优化或调整，确保系统的性能和响应速度；8GB/TXXXXX—XXXXd)制定运维人员的权限管理方案，避免越权操作，确保系统的安全性和人脸识别主体数据隐私性；e)抽样检查人脸识别主体身份信息、人脸识别数据等关键业务数据的真实性、有效性、完整性及数据之间的一致性，防止数据错误影响业务的正常开展；f)制定系统备份和恢复方案，包括但不限于安装包、数据及模型参数文件等备份及恢复，确保系统数据的可靠性和完整性；g)系统的运维手册和使用说明书应及时更新和完善。注2：运行环境状态包括底层资源的统一监控，例如计算机处理器利用率、数据7.1.4响应支持响应支持包括服务受理、故障诊断与解决处理、主体请求、新功能上线等，要求包括但不限于：a)受理服务请求，包括故障请求和非故障请求，根据故障解决方案、系统监控分析、日志分析等进行故障定位及排查；b)执行故障解决方案，检测、监控、跟踪处理效果，将处理经验和建议纳入维护文档；c)建立保障人脸识别主体权利的机制和渠道，保障其知情同意、获取人脸识别数据处理情况、撤回同意、注销账号、投诉、获得及时响应等方面的权利，并及时响应其相关请求；d)新功能上线过程中，做好配置更新、权限分配、数据初始化、安全检查和功能使用培训等工作。7.1.5优化改善系统优化改善包括系统功能、性能及数据的优化，以及系统的升级发布，要求包括但不限于：a)系统功能存在缺陷或业务需求发生变化，应根据实际需要进行软件功能修改、完善和新增开发；b)因业务量增加、系统数据冗余及安全威胁等，应对系统、数据及运行环境进行优化和改进；c)对于具备二次开发的人脸识别系统，其二次开发接口符合以下要求：1)除GB/T35273规定的征得授权同意的例外情况以外，不应将“保存采集图像”的操作，作为开发接口提供给二次开发；2)不应将修改人脸识别数据标识作为开发接口提供给二次开发；3)二次开发不应影响系统自检功能和自检结果。d)系统升级发布：4)系统升级应取得人脸识别系统所有者的明示同意，所有者不同意时，人脸识别系统应能正常工作；5)应制定发布计划、制作发布包并实施发布，并对发布结果进行确认。发布失败时执行回退；6)升级发布不应影响系统自检功能、自检结果及人脸识别主体数据安全；7)升级发布后，应进行配置更新、权限分配、数据初始化及安全检查等工作；8)系统升级发布后，应进行人脸识别系统的版本管理和控制。e)系统的优化与升级，不应导致人脸识别系统使用的目的、方式、范围或规则等发生变化，如果发生变化，则应重新进行个人信息保护影响的评估。注：防止二次开发过程后，不能按本文件要求保存人脸视图。7.2系统终止9GB/TXXXXX—XXXX人脸识别系统终止时，除通用要求外，应按照GB/T41819规定对人脸识别数据进行删除操作。8应用管理8.1数据管理数据管理符合以下要求：a)应制定数据采集、传输、存储、使用和销毁等相关操作的安全管理流程和审核机制，对人脸识别数据的录入人员、调取人员、调取时间、调取用途以及去向等情况进行登记；b)除法定条件或者取得个人单独同意外，不应保存原始人脸图像、图片、视频，经过匿名化处理的人脸识别数据除外；c)对不可避免采集到的未授权的人脸识别数据，除识别到身份冒用及安全攻击的情形宜采取安全措施留存人脸识别数据外，应对未授权的人脸识别数据采取删除或匿名化等技术措施处理；d)人脸识别系统的建设、使用、运行维护等单位对获取的人脸识别数据、身份识别信息应承担保密义务；e)应对人脸识别数据的重要操作设置内部审批流程，如查阅、复制、批量修改、公开、对外提供、下载等；f)授权特定人员超权限处理人脸识别数据的，应由个人信息保护负责人或人脸识别数据保护工作机构进行审批，并记录在册。当相关超权限操作完成之后，应删除对应的超权限；g)应采取安全管理措施，防止删改、破坏留存期限内系统数据以及离线数据的原始记录，防止故意隐匿、毁弃人脸识别系统采集的人脸识别数据；h)应对人脸识别数据的日常运行、维护及安全管理情况定期监督检查，发现问题及时督促整改；i)相关技术系统应采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸识别数据安全。属于关键信息基础设施的，应符合关键信息基础设施安全保护的相关要求。相关技术系统建设完成后应符合网络安全等级保护第三级及以上保护要求；j)相关技术系统发生重大变更时，评估当前的数据安全情况，对不符合或不适用情况进行整改；k)应规定人脸识别数据及软件系统等的备份方式、备份频度、存储媒体、保存期限等；l)应分析安全监控数据，定期形成安全分析报告，包括状态分析、影响分析、趋势分析等；m)对于处理超过十万人的人脸识别数据的数据处理者，应设置专门的个人信息保护负责人；处理一百万以上人脸识别数据应自行或者委托数据安全服务机构每年开展一次数据安全评估。8.2安全监测与安全事件处置安全监测与安全事件处置符合以下要求：a)应制定安全检查计划和方案，明确安全检查的范围、对象和方法等；制定安全事件应急响应机制、管理规范和流程，以及应急预案，并定期开展应急演练；b)应确定影响安全管理的关键要素，识别可能对人脸识别系统造成影响的高风险操作并评估其影响，评估通过后方可进行相应操作；建立安全指标体系并进行监控，建立态势感知系统，实现对人脸识别系统潜在攻击行为的识别、分析和预警；c)应定期进行安全检查，整改发现的问题，汇总检查数据，形成检查报告；必要时，及时向安全管理部门报告所发现的人脸识别系统的安全弱点和可疑事件；d)应对