本课程将全面解读推荐性国家标准GB/T 44248-2024 《信息技术 生物特征识别 人脸识别系统应用要求》的基本情况、研制背景、主要内容和实施意义。 标准基本情况详细介绍了标准制定的过程,2022年12月计划下达后,开始组建成立标准起草工作组,2023年3月召开启动会。标准起草工作组广泛涵盖了产学研各界的利益相关方,共同完成了标准的研究、讨论、征求意见、修改完善等一系列步骤,确保了标准内容的科学性、合理性与可操作性。
标准研制背景介绍了人脸识别技术优势、应用现状、相关政策和法规,总结了人脸识别系统应用存在的问题。 2022年,《中共中央、国务院关于加强全国统一大市场的意见》提出:“完善标准和计量体系。加快制定面部识别、指静脉、虹膜等智能化识别系统的全国统一标准和安全规范“。制定人脸识别系统应用要求国家标准也是支撑建设全国统一大市场的有效措施。通过制定应用要求国家标准,并以此为依据,依托第三方评估机构对人脸识别系统的应用进行全方位评估,为人脸识别系统应用各方提供支撑。
标准主要内容围绕人脸识别系统应用的实际实施步骤,规定基本要求、规划与评估、施工与验收、运维与终止等要求。同时,为了响应技术措施和管理措施双管齐下的原则,给出应用管理要求。本文件适用于人脸识别系统相关方组织开展人脸识别系统应用,以及第三方评估机构等组织对人脸识别系统应用进行评估、管理和监督。
标准主要技术内容分为五个章节:
基本要求部分要求明确人脸识别系统所有者在人脸识别系统应用过程中应承担的责任,无法承担责任则不应实施;
应充分保障特殊群体(包括不同年龄,残障人士等)使用需求,提供良好的使用引导和交互界面,人脸识别系统应易学、易用、易操作;人脸识别系统所有者应具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段。
人脸识别系统规划与评估中明确了人脸识别系统应用规划包括:应明确人脸识别系统应用的充分必要性;应明确同时提供的非人脸识别方式;应明确业务需求;应制定人脸识别系统建设进度计划,明确相关责任人角色、责任、职责和权限等要求。应用评估包括个人信息保护影响评估、应用目的评估、可行性评估、人脸识别数据处理规则评估等方面。可行性评估包括:合规性评估、技术能力评估、环境影响评估、环境适应性评估、经济性评估、社会影响评估等方面。人脸识别数据处理规则评估包括基本要求、有效告知评估、明示同意与单独授权等方面。
施工与验收要求包括系统施工要求和系统验收要求。其中系统施工要求包括基本要求、配套设施、系统安装、系统调试等方面的要求。配套设施提出对人脸采集设备、存储设备、解析设备、通信设备、铺助设备等的要求;系统安装主要是人脸采集设备的安装,以保证采集到满足质量要求的人脸图像或视频。人脸识别系统施工完成后,应成立验收组进行验收工作,开展施工验收、技术验收、资料审查等。
系统运维与终止部分,系统运维包括应用软件及其运行环境的运行维护、数据维护等,规定了基本要求、调研评估、例行维护、响应支持、优化改善等方面的要求。人脸识别系统终止时,应按照GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》中第11章“人脸识别数据删除要求”的相关规定对人脸识别数据进行删除操作。
应用管理部分包括管理制度、数据管理、安全监测与安全事件处置等方面的要求。
标准的实施将支撑法律法规落地实施:随着 《中华人民共和国数据安全法》 《中华人民共和国个人信息保护法》的颁布实施,包括生物特征识别信息在内的个人信息保护需要更加具体的技术措施和管理措施支撑;支撑技术多样性应用:人脸识别技术应用场景,部署方式更加多样化,对共性应用要求的规定可以更好的支撑系统应用落地;支撑建设全国统一大市场:本标准为人脸识别系统应用提供全流程指导,为评估认证提供依据,提高人脸识别技术供给侧质量,增强社会信任,满足人民群众对生活便利性和个人信息安全性的需求,支撑建设生物特征识别领域全国统一大市场,推动行业健康发展。
本课程通过对GB/T 44248-2024 《信息技术 生物特征识别 人脸识别系统应用要求》标准的深度解读,旨在帮助学员全面了解人脸识别系统应用的要求,充分发挥好人脸识别技术的优势和作用。