《公共安全 人臉識(shí)別數(shù)據(jù)管理規(guī)范》

1DB34/TXXXXX—XXXX公共安全人臉識(shí)別數(shù)據(jù)管理規(guī)范本文件規(guī)定了公共安全領(lǐng)域人臉識(shí)別數(shù)據(jù)安全管理的基本要求、數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用、數(shù)據(jù)銷毀、安全事件管理、安全檢查與優(yōu)化等。本文件適用于公共安全領(lǐng)域人臉識(shí)別數(shù)據(jù)的安全管理工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T31488安全防范視頻監(jiān)控人臉識(shí)別系統(tǒng)技術(shù)要求GB/T32907信息安全技術(shù)SM4分組密碼算法GB35114公共安全視頻監(jiān)控聯(lián)網(wǎng)信息安全技術(shù)要求GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T35275信息安全技術(shù)SM2密碼算法加密簽名消息語(yǔ)法規(guī)范GB35276信息安全技術(shù)SM2密碼算法使用規(guī)范GB/T37964信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南術(shù)語(yǔ)和定義3術(shù)語(yǔ)和定義GB/T35273、GB/T31488界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1人臉識(shí)別數(shù)據(jù)facerecognitiondata可識(shí)別自然人身份的人臉圖像或人臉特征3.2人臉圖像數(shù)據(jù)facevideoandimagedata包含記錄頭部和人臉視頻圖像數(shù)據(jù)。3.3人臉特征數(shù)據(jù)facefeaturedata利用人臉識(shí)別技術(shù)，從人臉圖像樣本中提取的代表該樣本的特征信息的數(shù)據(jù)或數(shù)據(jù)集合，處于任何處理階段的人臉特征樣本或人臉特征樣本的聚集、人臉特征參考、人臉特征項(xiàng)或人臉特征特性。3.4人臉關(guān)聯(lián)數(shù)據(jù)face（person）relationdata與人臉相關(guān)的反映特定自然人身份或者活動(dòng)情況的各種數(shù)據(jù)或數(shù)據(jù)集合。注：人臉關(guān)聯(lián)數(shù)據(jù)包括姓名、身份證件號(hào)碼、聯(lián)系方式、住址、行蹤軌跡等。2DB34/TXXXXX—XXXX3.5人臉識(shí)別數(shù)據(jù)管理者facerecognitiondatemanager對(duì)人臉識(shí)別數(shù)據(jù)進(jìn)行管理，并有權(quán)決定其處理目的與方式等的機(jī)關(guān)、團(tuán)體、組織或個(gè)人。注：人臉識(shí)別數(shù)據(jù)主要指用于識(shí)別自然人身份，典型應(yīng)用包括口岸、識(shí)別數(shù)據(jù)進(jìn)行人證比對(duì),移動(dòng)智能終端、應(yīng)用程序使用人臉識(shí)別數(shù)據(jù)實(shí)現(xiàn)解鎖、支付等功能，公園、居民小區(qū)4基本要求4.1對(duì)管理者及管理機(jī)構(gòu)的要求4.1.1人臉識(shí)別數(shù)據(jù)安全管理應(yīng)遵循合法、正當(dāng)、必要的原則。4.1.2全過程管理--采用人臉數(shù)據(jù)全生命周期管理模式，在采集、傳輸、存儲(chǔ)、使用和銷毀的全部環(huán)節(jié)進(jìn)行安全管理。4.1.3權(quán)責(zé)一致--采用技術(shù)和其他必要的措施保障人臉數(shù)據(jù)安全,對(duì)在管理過程中對(duì)人臉數(shù)據(jù)主體合法權(quán)益造成的損害承擔(dān)責(zé)任。4.1.4公開透明---應(yīng)以明確、清晰、易懂、具體和合理的方式公開采集、傳輸、存儲(chǔ)、應(yīng)用和銷毀等處理個(gè)人人臉數(shù)據(jù)的范圍、目的、規(guī)則等，并接受外部監(jiān)督。4.1.5確保安全--應(yīng)具備與所面臨的安全風(fēng)險(xiǎn)相匹配的安全能力,并采取足夠的管理措施和技術(shù)手段，構(gòu)建合理的數(shù)據(jù)管理組織架構(gòu)和數(shù)據(jù)架構(gòu)體系，保護(hù)個(gè)人人臉數(shù)據(jù)的保密性、一致性、完整性、可用性和可追溯性。4.2對(duì)人員的要求4.2.1管理人員應(yīng)具備“公共安全人臉識(shí)別”數(shù)據(jù)管理規(guī)范基本要求，具備信息化、網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)和常識(shí)知識(shí)。4.2.2應(yīng)明確系統(tǒng)的主導(dǎo)領(lǐng)導(dǎo)，配備專門的系統(tǒng)管理和維護(hù)人員。4.2.3建立相關(guān)人員的操作流程和崗位責(zé)任制，明確相應(yīng)的權(quán)限及責(zé)任。4.2.4建立正常的培訓(xùn)制度，操作人員上崗前必須經(jīng)過培訓(xùn)考核合格后，持證上崗，系統(tǒng)管理和維護(hù)人員每年度應(yīng)安排一周以上的專業(yè)進(jìn)修。4.3技術(shù)要求4.3.1安全管理a）應(yīng)制定防火、防盜、防雷、防潮、防病毒攻擊、斷電保護(hù)等多重安全措施。b）應(yīng)定期對(duì)數(shù)據(jù)進(jìn)行備份，備份數(shù)據(jù)保存時(shí)間不少于兩年。定期對(duì)磁盤進(jìn)行清理，間隔時(shí)長(zhǎng)不得超過一個(gè)月。應(yīng)具備基本的數(shù)據(jù)維護(hù)功能，支持多種通用格式的元數(shù)據(jù)或目錄數(shù)據(jù)的導(dǎo)入、導(dǎo)出，以及加密設(shè)計(jì)。c）應(yīng)設(shè)置專用防火墻，以防止病毒攻擊，造成不正當(dāng)?shù)男薷暮蛺阂馄茐?。?yīng)建立起完整的完整的防止、檢查、消除計(jì)算機(jī)病毒的制度體系。4.3.2算法要求數(shù)據(jù)采集、傳輸時(shí)應(yīng)采用簽名和加密算法，宜使用SM2或SM4加密算法，應(yīng)符合GB/T35276、3DB34/TXXXXX—XXXXGB/T32907的規(guī)定。4.3.3技術(shù)加密a）數(shù)據(jù)安全管理應(yīng)具備與所面臨的安全風(fēng)險(xiǎn)相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，構(gòu)建合理的數(shù)據(jù)管理組織架構(gòu)和數(shù)據(jù)架構(gòu)體系，保護(hù)個(gè)人人臉識(shí)別數(shù)據(jù)的保密性、一致性、完整性、可用性和可追溯性。b）人臉特征一般數(shù)據(jù)應(yīng)在保證數(shù)據(jù)完整性和一致性的前提下，采取用戶與數(shù)據(jù)隔離措施，數(shù)據(jù)校驗(yàn)技術(shù)和惡意代碼防范技術(shù)，提供數(shù)據(jù)和系統(tǒng)的完整性保護(hù)。c）人臉圖像敏感數(shù)據(jù)應(yīng)在保證數(shù)據(jù)完整性和保密性前提下，實(shí)施自主訪問控制策略，應(yīng)支持國(guó)家密碼管理部門批準(zhǔn)使用的密碼算法，并遵循相關(guān)密碼國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。d）極度敏感的人臉關(guān)聯(lián)數(shù)據(jù)應(yīng)采用強(qiáng)制訪問控制規(guī)則，實(shí)現(xiàn)對(duì)主體及其客體的訪問控制，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)加載可信驗(yàn)證規(guī)則，實(shí)現(xiàn)在系統(tǒng)特定操作界面對(duì)數(shù)據(jù)主體和客體進(jìn)行安全標(biāo)記。4.4管理制度要求4.4.1人臉識(shí)別數(shù)據(jù)安全管理應(yīng)遵循合法、正當(dāng)、必要的原則。4.4.2應(yīng)建立與人臉識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)等級(jí)相符合的信息等級(jí)保護(hù)、監(jiān)管、審計(jì)相關(guān)要求的安全管理制度，對(duì)信息資產(chǎn)、運(yùn)維人員、事件活動(dòng)進(jìn)行管理。4.4.3應(yīng)建立符合安全管理制度的管理崗位，對(duì)人臉識(shí)別數(shù)據(jù)安全管理工作進(jìn)行指導(dǎo)和管理。4.4.4應(yīng)采用必要的技術(shù)措施，保障涉及人臉識(shí)別數(shù)據(jù)的信息系統(tǒng)的基本安全。涉及敏感及以上安全風(fēng)險(xiǎn)等級(jí)的信息系統(tǒng)，應(yīng)符合GB/T22239中規(guī)定的三級(jí)及以上的安全等級(jí)保護(hù)要求。4.5安全的監(jiān)督檢查要求4.5.1應(yīng)以明確、清晰、易懂、具體和合理的方式公開采集、傳輸、存儲(chǔ)、應(yīng)用和銷毀等處理個(gè)人人臉識(shí)別數(shù)據(jù)的范圍、目的、規(guī)則等，并接受外部監(jiān)督。4.5.2人臉識(shí)別數(shù)據(jù)管理者對(duì)在管理過程中對(duì)人臉識(shí)別數(shù)據(jù)主體合法權(quán)益造成的損害承擔(dān)相應(yīng)責(zé)任。5數(shù)據(jù)采集要求5.1數(shù)據(jù)采集準(zhǔn)備5.1.1采集人臉識(shí)別數(shù)據(jù)樣本前，應(yīng)告知數(shù)據(jù)主體使用人臉圖像數(shù)據(jù)、人臉特征數(shù)據(jù)、人臉關(guān)聯(lián)數(shù)據(jù)等人臉識(shí)別數(shù)據(jù)的目的、方式和范圍，以及存儲(chǔ)時(shí)間等信息，并征得數(shù)據(jù)主體的明示同意。5.1.2數(shù)據(jù)采集前，應(yīng)事先準(zhǔn)備并使用安全的語(yǔ)音采集設(shè)備，確保采集設(shè)備具備保證其應(yīng)用方數(shù)據(jù)支配權(quán)、產(chǎn)品控制權(quán)、產(chǎn)品選擇權(quán)等不受損害的信息技術(shù)產(chǎn)品。5.2數(shù)據(jù)采集5.2.1應(yīng)采用需要數(shù)據(jù)主體主動(dòng)配合的措施收集人臉識(shí)別數(shù)據(jù)，應(yīng)在識(shí)別過程中持續(xù)告知數(shù)據(jù)主體驗(yàn)證目的,并通過語(yǔ)言、文字等向數(shù)據(jù)主體進(jìn)行提示。4DB34/TXXXXX—XXXX5.2.2應(yīng)僅收集生成人臉特征所需的最小數(shù)量、最少圖像類型的人臉圖像。5.2.3采集設(shè)備系統(tǒng)應(yīng)禁用弱口令和初始口令，并采取病毒防范措施和及時(shí)修補(bǔ)漏洞。5.2.4采集設(shè)備系統(tǒng)應(yīng)對(duì)其所采集的人臉識(shí)別數(shù)據(jù)進(jìn)行簽名，敏感與極度敏感的人臉識(shí)別數(shù)據(jù)的簽名算法宜符合GB/T35275的規(guī)定。5.2.5采集設(shè)備宜獲得其所在系統(tǒng)平臺(tái)的認(rèn)證，極度敏感的人臉識(shí)別數(shù)據(jù)的采集設(shè)備宜符合GB35114的要求。遍5.2.6人臉識(shí)別數(shù)據(jù)采集類型及場(chǎng)景見表1。表1人臉識(shí)別數(shù)據(jù)采集類型及場(chǎng)景場(chǎng)景分類典型場(chǎng)景數(shù)據(jù)類型配合式身份確認(rèn)無(wú)卡門禁考勤，VIP客戶識(shí)別人臉特征數(shù)據(jù)、人臉圖像數(shù)據(jù)身份查證現(xiàn)場(chǎng)確認(rèn)銀行柜臺(tái)業(yè)務(wù)，社保實(shí)名認(rèn)證，場(chǎng)館安保管理人臉圖像數(shù)據(jù)、人臉關(guān)聯(lián)數(shù)據(jù)身份核驗(yàn)遠(yuǎn)程確認(rèn)銀行、證券、網(wǎng)絡(luò)遠(yuǎn)程開戶，社保網(wǎng)絡(luò)實(shí)名認(rèn)證，遠(yuǎn)程教育考生認(rèn)證，ATM機(jī)業(yè)務(wù)身份認(rèn)證，各類征信報(bào)告自助打印非配合式身份確認(rèn)公安機(jī)關(guān)追逃布控，黑名單人員辨認(rèn)與識(shí)別，嫌疑人確認(rèn)比對(duì)5.3臨時(shí)處置5.3.1人臉識(shí)別數(shù)據(jù)樣本采集有現(xiàn)場(chǎng)監(jiān)督人員時(shí)，監(jiān)督人員應(yīng)提供指導(dǎo)，確保不采集非授權(quán)人員的信息、以及現(xiàn)場(chǎng)沒有其他非授權(quán)人員和設(shè)備采集數(shù)據(jù)。5.3.2人臉識(shí)別數(shù)據(jù)樣本采集無(wú)現(xiàn)場(chǎng)監(jiān)督人員時(shí)，應(yīng)提前告知采集注意事項(xiàng)，布置特定場(chǎng)所進(jìn)行采集的，應(yīng)設(shè)置單獨(dú)空間，確保不采集非授權(quán)人員的信息、以及周圍沒有其他非授權(quán)人員和設(shè)備采集數(shù)據(jù)。5.3.3應(yīng)采取安全措施保證人臉識(shí)別數(shù)據(jù)的真實(shí)性、完整性和一致性,防止人臉識(shí)別數(shù)據(jù)在收集過程中泄漏或篡改。5.3.4采集設(shè)備不宜保存人臉圖像數(shù)據(jù)，未取得數(shù)據(jù)主體單獨(dú)同意收集的人臉圖像應(yīng)立即刪除并確保不可恢復(fù)。6數(shù)據(jù)傳輸要求6.1數(shù)據(jù)處理者應(yīng)采取雙向身份鑒別、數(shù)據(jù)完整性校驗(yàn)、數(shù)據(jù)加密等措施保障人臉識(shí)別數(shù)據(jù)傳輸安全。6.2數(shù)據(jù)在傳輸時(shí)應(yīng)采用簽名和加密算法，符合4.3.2算法要求。6.3傳輸網(wǎng)絡(luò)應(yīng)防止數(shù)據(jù)泄漏。6.4傳輸人臉識(shí)別數(shù)據(jù)時(shí)，不應(yīng)在文件名中出現(xiàn)能識(shí)別數(shù)據(jù)主體的信息，宜嵌入人臉識(shí)別數(shù)據(jù)的處理時(shí)間、處理設(shè)備、處理軟件、數(shù)據(jù)管理者等信息，便于安全事件發(fā)生后的追溯。5DB34/TXXXXX—XXXX7數(shù)據(jù)存儲(chǔ)要求7.1應(yīng)將圖像數(shù)據(jù)和關(guān)聯(lián)數(shù)據(jù)以及涉及數(shù)據(jù)主體的其他敏感信息進(jìn)行邏輯或物理隔離。7.2應(yīng)采取加密存儲(chǔ)等安全措施存儲(chǔ)人臉識(shí)別數(shù)據(jù)。7.3應(yīng)支持去標(biāo)識(shí)化，去標(biāo)識(shí)化應(yīng)符合GB/T37964的要求。7.4應(yīng)支持?jǐn)?shù)據(jù)備份和容災(zāi)措施。7.5未經(jīng)明示授權(quán)的程序不應(yīng)對(duì)存儲(chǔ)在終端設(shè)備內(nèi)部的數(shù)據(jù)有讀、寫、修改和刪除權(quán)限。7.6包含人臉數(shù)據(jù)的存儲(chǔ)介質(zhì)入庫(kù)或出庫(kù)應(yīng)有授權(quán)審批環(huán)節(jié)，并保留相應(yīng)記錄。8數(shù)據(jù)使用要求8.1數(shù)據(jù)訪問8.1.1應(yīng)建立內(nèi)部審批制度，對(duì)敏感及以上等級(jí)人臉識(shí)別數(shù)據(jù)用戶的訪問目的、資質(zhì)、保密條件等進(jìn)行嚴(yán)格審核。8.1.2應(yīng)嚴(yán)格控制數(shù)據(jù)訪問范圍，按照最小必要原則對(duì)用戶訪問進(jìn)行授權(quán)。8.1.3應(yīng)對(duì)人臉識(shí)別數(shù)據(jù)的錄入/調(diào)取人員，調(diào)取內(nèi)容、時(shí)間、用途以及去向等情況進(jìn)行全流程記錄。8.1.4在應(yīng)用環(huán)境中訪問敏感和極度敏感數(shù)據(jù)或?qū)С龅綔y(cè)試環(huán)境時(shí)，應(yīng)進(jìn)行脫敏處理，脫敏后的數(shù)據(jù)級(jí)別應(yīng)低于脫敏前的級(jí)別。8.2數(shù)據(jù)展示8.2.1展示人臉識(shí)別數(shù)據(jù)前，應(yīng)取得數(shù)據(jù)主體的同意，法律法規(guī)有規(guī)定的除外。8.2.2在公開展示人臉圖像數(shù)據(jù)時(shí)，應(yīng)與其關(guān)聯(lián)數(shù)據(jù)進(jìn)行分離和去標(biāo)識(shí)化，并同時(shí)對(duì)展示的數(shù)據(jù)疊加生物特征識(shí)別水印。遍8.2.3展示系統(tǒng)應(yīng)具備防止截屏、錄屏以及其他非法獲取視頻圖像的功能。9數(shù)據(jù)銷毀要求數(shù)據(jù)管理者在發(fā)生以下情況時(shí),應(yīng)在15日內(nèi)刪除銷毀人臉識(shí)別數(shù)據(jù)并確保不可恢復(fù)，銷毀全流程應(yīng)由專人負(fù)責(zé)和監(jiān)督，銷毀后人臉識(shí)別數(shù)據(jù)應(yīng)不可恢復(fù)。a)人臉識(shí)別數(shù)據(jù)處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；b)人臉識(shí)別數(shù)據(jù)存儲(chǔ)時(shí)間達(dá)到數(shù)據(jù)主體單獨(dú)同意或書面同意的存儲(chǔ)期限；c)數(shù)據(jù)主體撤回同意或明示停止使用；d)數(shù)據(jù)管理者停止提供人臉識(shí)別業(yè)務(wù)；e)數(shù)據(jù)主體一年未使用數(shù)據(jù)處理者提供的產(chǎn)品或服務(wù)；f)法律、行政法規(guī)規(guī)定的其他情形。6DB34/TXXXXX—XXXX10安全事件管理10.1安全事件分類安全事件主要包括如下方面：10.1.1數(shù)據(jù)安全未定期對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)備份；備份保存時(shí)間超過兩年；未定期對(duì)磁盤空間進(jìn)行清理，間隔時(shí)長(zhǎng)超過一個(gè)月；不支持通用格式元數(shù)據(jù)或目錄數(shù)據(jù)的導(dǎo)入、導(dǎo)出，以及數(shù)據(jù)加密、數(shù)據(jù)備份、恢復(fù)、刪除與回收功能等。10.1.2軟件安全系統(tǒng)操作未設(shè)置分級(jí)權(quán)限，軟件存在不正當(dāng)修改和惡意破壞可能；未建立完整的計(jì)算機(jī)防止、檢查和計(jì)算機(jī)殺毒制度。10.1.3環(huán)境安全未制定完善的防火、防盜、防雷、防潮、防病毒攻擊、斷電保護(hù)等多重安全措施和應(yīng)急預(yù)案。10.2安全事件處置10.2.1安全狀態(tài)監(jiān)控梳理影響安全管理的關(guān)鍵要素，建立安全指標(biāo)體系并進(jìn)行監(jiān)控，至少應(yīng)：a)明確安全狀態(tài)監(jiān)控的對(duì)象，構(gòu)建對(duì)應(yīng)的指標(biāo)體系，通過必要的技術(shù)手段和工具，收集安全信息、識(shí)別威脅和入侵行為；b)分析安全監(jiān)控?cái)?shù)據(jù)，定期形成安全分析報(bào)告，包括但不限于狀態(tài)分析、影響分析、趨勢(shì)分析等報(bào)告文件。10.2.2安全事件管理制定安全事件處理流程的管理規(guī)范和制度，至少應(yīng)：a)制定人臉數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制；b)定期組織內(nèi)部