从去年开始,截止目前基于人脸识别下的个人信息保护与网络安全成为社会最为关注的热点。
全国政协委员、360集团董事长周鸿祎表示,网络安全是数字化战略的底座,有了网络安全的保障,我们的数字化战略才能发展得更好,走得更快、更远;全国政协委员、中科院近代物研所研究员蔡晓红提出亟待对人脸识别信息安全加强监管。
目前《个人信息保护法》已经实施,提出处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;在公共场所安装图像采集、个人身份识别设备,应设置显著的提示标识;所收集的个人图像、身份识别信息只能用于维护公共安全的目的。
安防监控领域重要标准
其实针对安防监控网络信息安全问题,早在2011年就引起了行业内重点机构及企业的重视,公安部第一研究所和中星微电子牵头主导制定的SVAC标准就包含了从视频编解码源头进行动态加密,防止信息泄露及盗取。
GB35114-2017是我国首个关于视频监控联网信息安全方面的技术标准,首次对公共安全视频监控的信息安全提出明确规范要求,是全面加强公共安全视频监控领域信息安全的技术依据。
据介绍,GB35114-2017旨在从5个方面解决当前公共安全视频监控存在的信息安全隐患问题:一是采用基于国密算法和部件的数字证书设备身份认证技术,有利于确定设备身份,解决设备替换和私接乱接问题;二是基于密钥的信令认证,解决摄像头被控制问题;三是基于数字签名技术,保障重要视频数据的真实性、完整性,解决视频证据的可信度问题;四是基于数字证书用户认证管理,解决未授权用户访问视频信息问题;五是采用基于视频帧的端到端视频加密保护,解决视频监控系统重要视频“裸奔”问题。
在安防视频监控行业领域,为了有效保障视频数据和系统安全,除了上面提到的GB35114强制性国家标准。还有《公共安全重点区域视频图像信息采集规范》(GB37300);该标准明确了视频监控联网系统中重点公共区域和重点行业、领域涉及公共区域的视频图像信息采集与管理要求,其中明确要求摄像机至少应达到GB35114A级标准。
2021年8月,《公安视频图像信息系统安全技术要求》系列标准发布,并将于12月1日起正式实施。该系列标准规定了公安视频图像信息系统安全的总体技术要求,用于规范、指导公安视频传输网的安全建设总体规划、方案设计、软件开发、部署实施和运维管理等工作,填补了公安视频安全标准体系的空白。该系列标准包含4部分标准内容从通用要求、前端设备、交互安全到安全管理平台。
信息安全领域重要标准
近几年,在人工智能、物联网、大数据等新兴技术带动下,网络安全需求增长,在网络安全建设也得以不断推进,几项比较重要的标准相继发布和实施:
2019年《信息安全技术远程人脸识别系统技术要求》发布。该标准是信息安全鉴别与授权标准体系及生物特征识别信息安全标准体系架构中重要的基础标准,更是全国首个使用人脸识别技术进行身份鉴别的网络安全国家标准。从满足个人信息安全保护与信息安全总体要求出发,充分考虑当前人脸识别系统创新发展需求、用户接受度和技术成熟度现状,结合我国当前的信息安全技术发展水平,深入分析ISO、ITU、NIST、FIDO等国外标准化组织制定的生物特征识别相关技术标准内容,使得利用人脸识别系统进行身份验证有标准可循。该标准的发布是推动我国人脸识别技术产业化发展进程的里程碑,丰富了我国以人脸识别为核心的生物特征识别技术体系和应用场景,真正发挥了标准的技术引领作用。
另外,公安部推出的网络安全等级保护制度2.0标准也于2019年12月1日开始实施,新标准要求全面使用安全可信的产品和服务来保障关键基础设施安全,主要包括构建科学的安全体系框架、创立主动可信的防护架构以及筑牢关键信息基础设施防线。以构建科学的安全体系框架为例,针对图灵计算模型缺少攻防理念,在体系框架上无安全防控机制问题,新标准将基本要求、测评要求和安全设计技术要求的体系框架统一为:以安全可信计算环境为基础,以可信区域边界为安全隔离,以通信网络安全为可信连接,建立以安全管理中心为核心支持的三重安全防护体系。
人脸识别领域重要标准
人脸识别技术在各领域广泛应用,给人们生活带来便利的同时也出现了一系列问题,人脸信息收集、存储、处理等使用规范欠缺导致的信息泄露安全问题,数据滥用、隐私保护缺乏规范等伦理问题。
2020年多部基于人脸信息保护的国家标准、行业标准出台。
《信息安全技术个人信息安全规范》针对个人信息面临的安全问题,根据《中华人民共和国网络安全法》等相关法律,严格规范个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度的保护个人的合法权益和社会公众利益。明确规定个人生物识别信息属于个人敏感信息,并对个人敏感信息进行了特殊保护。
《个人金融信息保护技术规范》将生物识别信息列为敏感性最高的C3类信息,并要求金融机构不应委托或授权无金融业相关资质的机构收集C3类信息,金融机构及其受托人收集、通过公共网络传输、存储C3类信息时,应使用加密措施。
《移动终端基于TEE的人脸识别安全评估方法》,该标准作为国内首个人脸识别安全标准,其内容覆盖了人脸采集、存储、比对等过程中的安全环境要求及比对指标。标准的推出为具备人脸识别功能的移动终端生产企业提供了行业指南,解决了本地人脸识别技术在应用、推广和普及等方面的安全障碍,有效地为开发者和用户提供安全参考,促进了行业生态健康发展。
《APP收集使用个人信息最小必要评估规范:人脸信息》规定了移动应用软件对人脸信息的收集、使用、存储、销毁等活动中的最小必要规范和评估方法,并通过个人信息处理活动中的典型应用场景来说明如何落实最小必要原则。