4月22日，國家標準《信息安全技術 人臉識別數據安全要求》征求意見稿正式出爐。

近年來，隨著人工智能技術的愈發成熟，人臉識別應用也愈發廣泛。憑借高效、便捷、精準且無接觸的特點，“刷臉”不斷走進安防、支付、交通、辦公等眾多場景，給人們帶來便利的同時也催生出廣闊藍海。據相關數據顯示，目前我國人臉識別市場規模已經來到25億元，預計2024年將突破100億元。

不過，人臉識別應用雖快、發展雖猛、市場雖大，但背后卻也潛藏著諸多風險。作為個人敏感信息的一種，人臉識別信息有著不易改變，一旦丟失可能永遠失去的特點。基于此，如果發展應用過程中人臉數據被濫采、人臉數據遭到泄露或丟失、人臉信息被人為過度存儲、使用，可能帶來隱私和安全問題。

在此背景下，為保護人臉識別數據安全，推動人臉識別科學應用，維護人們隱私與權益，我國需完善相關標準規范，針對人臉識別數據濫采、存儲、使用方面提出明確安全要求，加強安全防護措施。4月22日，國家標準《信息安全技術 人臉識別數據安全要求》征求意見稿的出爐，無疑帶來了重要福音。

據了解，本文件規定了人臉識別數據的基本安全要求、安全處理要求和安全管理要求。其中標準由政企研三方合力編制，遵循了通用性、實用性、安全性與隱私、符合性原則。標準格式按照GB/T 1.1—2020標準要求編寫，制定參考了多項國家和行業標準。適用于數據控制者安全開展人臉識別數據相關業務。

在文件中，其首先對人臉圖像、人臉特征、人臉識別數據、數據主體、數據控制者、數據處理等作出術語定義。之后，總結了本文件涉及人臉識別圖像處理的三個場景，包括人臉驗證、人臉辨識以及人臉分析。最后，本文件提出了人臉識別的具體三大安全要求：基本安全要求、安全處理要求、安全管理要求。

其中在基本安全要求上。文件提出數據控制者應遵循已有幾部標準的要求;處理人臉識別數據時應遵循最小必要原則;應采取安全措施確保數據主體權利;應具備相適應的數據安全防護和個人信息保護能力;不應收集未授權自然人的人臉圖像。同時，在開展人臉驗證或人臉辨識時，應滿足另外五方面要求。

在安全處理要求上。文件分別從收集、存儲、使用三方面對數據控制者提出要求：

收集時，應向數據主體告知收集規則，遭到拒絕不能頻繁提示、不能妨礙后者正常使用;采集過程要遵循標準，滿足所需即可。存儲時，遇特殊情況應刪除數據或匿名化處理，應采取安全措施存儲和傳輸人臉識別數據未經授權同意不能存儲人臉圖像。使用時，應在用后立即刪除人臉圖像，應具備防護呈現干擾攻擊的能力。

此外在安全管理要求。文件對數據控制者提出三點要求，即應落實數據安全管理責任，在個人信息安全管理制度中明確人臉識別數據保護要求;在發生或者可能發生人臉識別數據泄露、損毀、丟失的情況時，應立即采取補救措施;在我國境內收集或產生的人臉識別數據應在境內存儲，如需出境，應按規定進行安全評估。

綜合來看，本標準為我國人臉識別數據安全保護提供了有效指導，是產業標準重要的集大成者。伴隨著本標準征求意見后進一步完善和最終實施，相信我國人臉識別應用發展將迎來全新篇章。