《公共安全 人脸识别数据管理规范》

1DB34/TXXXXX—XXXX公共安全人脸识别数据管理规范本文件规定了公共安全领域人脸识别数据安全管理的基本要求、数据采集、数据传输、数据存储、数据使用、数据销毁、安全事件管理、安全检查与优化等。本文件适用于公共安全领域人脸识别数据的安全管理工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T31488安全防范视频监控人脸识别系统技术要求GB/T32907信息安全技术SM4分组密码算法GB35114公共安全视频监控联网信息安全技术要求GB/T35273信息安全技术个人信息安全规范GB/T35275信息安全技术SM2密码算法加密签名消息语法规范GB35276信息安全技术SM2密码算法使用规范GB/T37964信息安全技术个人信息去标识化指南术语和定义3术语和定义GB/T35273、GB/T31488界定的以及下列术语和定义适用于本文件。3.1人脸识别数据facerecognitiondata可识别自然人身份的人脸图像或人脸特征3.2人脸图像数据facevideoandimagedata包含记录头部和人脸视频图像数据。3.3人脸特征数据facefeaturedata利用人脸识别技术，从人脸图像样本中提取的代表该样本的特征信息的数据或数据集合，处于任何处理阶段的人脸特征样本或人脸特征样本的聚集、人脸特征参考、人脸特征项或人脸特征特性。3.4人脸关联数据face（person）relationdata与人脸相关的反映特定自然人身份或者活动情况的各种数据或数据集合。注：人脸关联数据包括姓名、身份证件号码、联系方式、住址、行踪轨迹等。2DB34/TXXXXX—XXXX3.5人脸识别数据管理者facerecognitiondatemanager对人脸识别数据进行管理，并有权决定其处理目的与方式等的机关、团体、组织或个人。注：人脸识别数据主要指用于识别自然人身份，典型应用包括口岸、识别数据进行人证比对,移动智能终端、应用程序使用人脸识别数据实现解锁、支付等功能，公园、居民小区4基本要求4.1对管理者及管理机构的要求4.1.1人脸识别数据安全管理应遵循合法、正当、必要的原则。4.1.2全过程管理--采用人脸数据全生命周期管理模式，在采集、传输、存储、使用和销毁的全部环节进行安全管理。4.1.3权责一致--采用技术和其他必要的措施保障人脸数据安全,对在管理过程中对人脸数据主体合法权益造成的损害承担责任。4.1.4公开透明---应以明确、清晰、易懂、具体和合理的方式公开采集、传输、存储、应用和销毁等处理个人人脸数据的范围、目的、规则等，并接受外部监督。4.1.5确保安全--应具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段，构建合理的数据管理组织架构和数据架构体系，保护个人人脸数据的保密性、一致性、完整性、可用性和可追溯性。4.2对人员的要求4.2.1管理人员应具备“公共安全人脸识别”数据管理规范基本要求，具备信息化、网络安全相关的法律法规和常识知识。4.2.2应明确系统的主导领导，配备专门的系统管理和维护人员。4.2.3建立相关人员的操作流程和岗位责任制，明确相应的权限及责任。4.2.4建立正常的培训制度，操作人员上岗前必须经过培训考核合格后，持证上岗，系统管理和维护人员每年度应安排一周以上的专业进修。4.3技术要求4.3.1安全管理a）应制定防火、防盗、防雷、防潮、防病毒攻击、断电保护等多重安全措施。b）应定期对数据进行备份，备份数据保存时间不少于两年。定期对磁盘进行清理，间隔时长不得超过一个月。应具备基本的数据维护功能，支持多种通用格式的元数据或目录数据的导入、导出，以及加密设计。c）应设置专用防火墙，以防止病毒攻击，造成不正当的修改和恶意破坏。应建立起完整的完整的防止、检查、消除计算机病毒的制度体系。4.3.2算法要求数据采集、传输时应采用签名和加密算法，宜使用SM2或SM4加密算法，应符合GB/T35276、3DB34/TXXXXX—XXXXGB/T32907的规定。4.3.3技术加密a）数据安全管理应具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，构建合理的数据管理组织架构和数据架构体系，保护个人人脸识别数据的保密性、一致性、完整性、可用性和可追溯性。b）人脸特征一般数据应在保证数据完整性和一致性的前提下，采取用户与数据隔离措施，数据校验技术和恶意代码防范技术，提供数据和系统的完整性保护。c）人脸图像敏感数据应在保证数据完整性和保密性前提下，实施自主访问控制策略，应支持国家密码管理部门批准使用的密码算法，并遵循相关密码国家标准和行业标准。d）极度敏感的人脸关联数据应采用强制访问控制规则，实现对主体及其客体的访问控制，并在应用程序的关键执行环节加载可信验证规则，实现在系统特定操作界面对数据主体和客体进行安全标记。4.4管理制度要求4.4.1人脸识别数据安全管理应遵循合法、正当、必要的原则。4.4.2应建立与人脸识别数据安全风险等级相符合的信息等级保护、监管、审计相关要求的安全管理制度，对信息资产、运维人员、事件活动进行管理。4.4.3应建立符合安全管理制度的管理岗位，对人脸识别数据安全管理工作进行指导和管理。4.4.4应采用必要的技术措施，保障涉及人脸识别数据的信息系统的基本安全。涉及敏感及以上安全风险等级的信息系统，应符合GB/T22239中规定的三级及以上的安全等级保护要求。4.5安全的监督检查要求4.5.1应以明确、清晰、易懂、具体和合理的方式公开采集、传输、存储、应用和销毁等处理个人人脸识别数据的范围、目的、规则等，并接受外部监督。4.5.2人脸识别数据管理者对在管理过程中对人脸识别数据主体合法权益造成的损害承担相应责任。5数据采集要求5.1数据采集准备5.1.1采集人脸识别数据样本前，应告知数据主体使用人脸图像数据、人脸特征数据、人脸关联数据等人脸识别数据的目的、方式和范围，以及存储时间等信息，并征得数据主体的明示同意。5.1.2数据采集前，应事先准备并使用安全的语音采集设备，确保采集设备具备保证其应用方数据支配权、产品控制权、产品选择权等不受损害的信息技术产品。5.2数据采集5.2.1应采用需要数据主体主动配合的措施收集人脸识别数据，应在识别过程中持续告知数据主体验证目的,并通过语言、文字等向数据主体进行提示。4DB34/TXXXXX—XXXX5.2.2应仅收集生成人脸特征所需的最小数量、最少图像类型的人脸图像。5.2.3采集设备系统应禁用弱口令和初始口令，并采取病毒防范措施和及时修补漏洞。5.2.4采集设备系统应对其所采集的人脸识别数据进行签名，敏感与极度敏感的人脸识别数据的签名算法宜符合GB/T35275的规定。5.2.5采集设备宜获得其所在系统平台的认证，极度敏感的人脸识别数据的采集设备宜符合GB35114的要求。遍5.2.6人脸识别数据采集类型及场景见表1。表1人脸识别数据采集类型及场景场景分类典型场景数据类型配合式身份确认无卡门禁考勤，VIP客户识别人脸特征数据、人脸图像数据身份查证现场确认银行柜台业务，社保实名认证，场馆安保管理人脸图像数据、人脸关联数据身份核验远程确认银行、证券、网络远程开户，社保网络实名认证，远程教育考生认证，ATM机业务身份认证，各类征信报告自助打印非配合式身份确认公安机关追逃布控，黑名单人员辨认与识别，嫌疑人确认比对5.3临时处置5.3.1人脸识别数据样本采集有现场监督人员时，监督人员应提供指导，确保不采集非授权人员的信息、以及现场没有其他非授权人员和设备采集数据。5.3.2人脸识别数据样本采集无现场监督人员时，应提前告知采集注意事项，布置特定场所进行采集的，应设置单独空间，确保不采集非授权人员的信息、以及周围没有其他非授权人员和设备采集数据。5.3.3应采取安全措施保证人脸识别数据的真实性、完整性和一致性,防止人脸识别数据在收集过程中泄漏或篡改。5.3.4采集设备不宜保存人脸图像数据，未取得数据主体单独同意收集的人脸图像应立即删除并确保不可恢复。6数据传输要求6.1数据处理者应采取双向身份鉴别、数据完整性校验、数据加密等措施保障人脸识别数据传输安全。6.2数据在传输时应采用签名和加密算法，符合4.3.2算法要求。6.3传输网络应防止数据泄漏。6.4传输人脸识别数据时，不应在文件名中出现能识别数据主体的信息，宜嵌入人脸识别数据的处理时间、处理设备、处理软件、数据管理者等信息，便于安全事件发生后的追溯。5DB34/TXXXXX—XXXX7数据存储要求7.1应将图像数据和关联数据以及涉及数据主体的其他敏感信息进行逻辑或物理隔离。7.2应采取加密存储等安全措施存储人脸识别数据。7.3应支持去标识化，去标识化应符合GB/T37964的要求。7.4应支持数据备份和容灾措施。7.5未经明示授权的程序不应对存储在终端设备内部的数据有读、写、修改和删除权限。7.6包含人脸数据的存储介质入库或出库应有授权审批环节，并保留相应记录。8数据使用要求8.1数据访问8.1.1应建立内部审批制度，对敏感及以上等级人脸识别数据用户的访问目的、资质、保密条件等进行严格审核。8.1.2应严格控制数据访问范围，按照最小必要原则对用户访问进行授权。8.1.3应对人脸识别数据的录入/调取人员，调取内容、时间、用途以及去向等情况进行全流程记录。8.1.4在应用环境中访问敏感和极度敏感数据或导出到测试环境时，应进行脱敏处理，脱敏后的数据级别应低于脱敏前的级别。8.2数据展示8.2.1展示人脸识别数据前，应取得数据主体的同意，法律法规有规定的除外。8.2.2在公开展示人脸图像数据时，应与其关联数据进行分离和去标识化，并同时对展示的数据叠加生物特征识别水印。遍8.2.3展示系统应具备防止截屏、录屏以及其他非法获取视频图像的功能。9数据销毁要求数据管理者在发生以下情况时,应在15日内删除销毁人脸识别数据并确保不可恢复，销毁全流程应由专人负责和监督，销毁后人脸识别数据应不可恢复。a)人脸识别数据处理目的已实现、无法实现或者为实现处理目的不再必要；b)人脸识别数据存储时间达到数据主体单独同意或书面同意的存储期限；c)数据主体撤回同意或明示停止使用；d)数据管理者停止提供人脸识别业务；e)数据主体一年未使用数据处理者提供的产品或服务；f)法律、行政法规规定的其他情形。6DB34/TXXXXX—XXXX10安全事件管理10.1安全事件分类安全事件主要包括如下方面：10.1.1数据安全未定期对数据进行实时备份；备份保存时间超过两年；未定期对磁盘空间进行清理，间隔时长超过一个月；不支持通用格式元数据或目录数据的导入、导出，以及数据加密、数据备份、恢复、删除与回收功能等。10.1.2软件安全系统操作未设置分级权限，软件存在不正当修改和恶意破坏可能；未建立完整的计算机防止、检查和计算机杀毒制度。10.1.3环境安全未制定完善的防火、防盗、防雷、防潮、防病毒攻击、断电保护等多重安全措施和应急预案。10.2安全事件处置10.2.1安全状态监控梳理影响安全管理的关键要素，建立安全指标体系并进行监控，至少应：a)明确安全状态监控的对象，构建对应的指标体系，通过必要的技术手段和工具，收集安全信息、识别威胁和入侵行为；b)分析安全监控数据，定期形成安全分析报告，包括但不限于状态分析、影响分析、趋势分析等报告文件。10.2.2安全事件管理制定安全事件处理流程的管理规范和制度，至少应：a)制定人脸数据安全事件应急响应机制；b)定期组织内部