近日,国家市场监督管理总局和国家标准化委员会正式发布了《信息安全技术人脸识别数据安全要求》(GB/T41819-2022,以下简称《人脸识别标准》),该文件规定了人脸识别数据及其收集、存储、应用、传输、提供、披露、删除等具体解决活动安全规定的一般安全要求。适用于人脸识别数据解决活动的安全数据处理器。
《人脸识别标准》明确规定,人脸识别数据涵盖移动终端,应用程序应用人脸识别数据完成开通、支付等服务。因此,理论上,当前的离线面刷支付必须符合本规范。
根据人脸识别标准,对于解决人脸识别数据超过10万人的数据处理者,应设立专门的个人信息保护机构和个人信息保护负责人,对个人信息保护负责人和关键岗位人员进行安全背景审查,并披露个人信息保护负责人的联系电话。
《人脸识别标准》规定,可以采用非人脸识别方法完成相同目的或达到相同安全规定的,应优先采用非人脸识别方法。
《人脸识别标准》规定,要是数据主体不愿意收集人脸识别数据,数据主体应用基本业务功能是不可回绝的。
在人脸识别标准中,数据处理器对人脸识别数据的要求如下:
a)用人脸识别数据识别自然人身份后,应立即删除用于识别的人脸图像;
b)面部特征应具有可升级、不可逆、无法链接的特征;
c)当本地和远程面部识别方法均适用时,应优先使用本地面部识别;
d)人脸识别数据数据的应用行为。