新国标来了:规范声纹、人脸识别数据安全 汽车数据处理等

October 2022


      近日,国家市场监督管理总局、国家标准化管理委员会发布公告,批准发布708项推荐性国家标准和3项国家标准修改单,其中包括全国信息安全标准化技术委员会归口的14项网络安全国家标准。分别对步态识别、基因识别、声纹识别、人脸识别等生物特征识别技术的数据安全问题提出具体要求。

      当前生物特征识别技术的应用场景遍地开花,由于所收集和使用的个人数据敏感,且一旦泄露通常难以挽回,因此如何规范生物识别技术的数据安全行为成为关切。



     以人脸识别技术为例,这项技术已广泛应用于支付、安防、金融、医疗等场景,直接关系个人的生命财产安全。但与此同时,过度收集、不正当使用和共享、泄露人脸识别数据的情况时有发生。为此,《信息安全技术人脸识别数据安全要求》规定了人脸识别安全相关的技术要求、人脸信息安全要求、人脸信息主体的权利保护、安全应急管理以及组织保障管理等。全国标准信息公共服务平台披露的信息显示,这份标准适用于人脸识别相关的开发方、应用方、运营方、服务提供方、第三方检测认证机构等开展人脸识别安全活动,也适用于主管监管机构对人脸识别的监督管理等。除人脸识别外,声纹识别作为高安全的一项生物特征识别技术也逐步进入大众视野,常见应用在设备登录、移动支付等涉及用户隐私的业务操作上,以及利用移动客户端进行远程身份认证等。

     2018年央行发布《移动金融基于声纹识别的安全应用技术规范》之后,声纹识别技术成为我国金融行业的第一个生物特征识别技术标准。据悉,此次获准发布的《信息安全技术声纹识别数据安全要求》将填补我国在声纹识别数据安全要求方面标准的空白。上述标准规定了开展采集、存储、使用、委托处理、共享、转让、公开披露、删除等声纹识别数据处理活动应遵循的原则和安全要求,旨在促进声纹身份认证的技术发展,提高声纹身份认证产品与服务的安全性和质量。同时按行业分类,14项国家标准分别对即时通信、快递物流、网上购物、网络支付、网络音视频、网络预约汽车等常用网络服务的数据安全要求予以规定。

     此外,14项国家标准还包括《信息技术安全技术网络安全第3部分;面向网络接入场景的威胁、设计技术和控制》《信息技术安全技术网络安全第4部分:使用安全网关的网间通信安全保护》《个人信息安全工程指南》《汽车数据处理安全要求》。

     值得一提的是,《汽车数据处理安全要求》特别就“车外数据”和“座舱数据”的处理活动作了专门的规定。2021年10月1日,网信办等五部门联合发布的《汽车数据安全管理若干规定(试行)》正式施行,首次以部门规章的形式明确汽车领域的重要数据和个人信息保护的基本规则。在此基础上,《汽车数据处理安全要求》对上述若干规定进行了细化,比如明确汽车数据处理者取得个人同意的显著方式,车外数据匿名化处理规范等。