En los últimos años, la tecnología de reconocimiento facial ha seguido madurando y se ha utilizado ampliamente en muchos campos, como la gestión de la seguridad pública, el pago financiero, el control de acceso y la asistencia, lo que facilita enormemente la vida pública. Sin embargo, aunque la tecnología de reconocimiento facial se usa ampliamente, todavía hay algunas irregularidades. Debido a sus características técnicas, el reconocimiento facial involucra información personal sensible del público, y su aplicación irregular puede generar fácilmente una serie de riesgos de seguridad, lo que puede generar amenazas a la privacidad y los derechos de propiedad de los ciudadanos. En este contexto, la Administración Central del Ciberespacio de China emitió el "Reglamento sobre la gestión de la seguridad de la aplicación de tecnología de reconocimiento facial (ensayo) (borrador para comentarios)" (en lo sucesivo, el "Reglamento") de manera oportuna para regular la aplicación de tecnología de reconocimiento facial, La protección de los derechos e intereses individuales y el mantenimiento de los intereses públicos han señalado la dirección.
01 El "Reglamento" aclara los requisitos de seguridad para la aplicación de la tecnología de reconocimiento facial
Las "Regulaciones" emitidas esta vez tienen un total de 25 artículos, respondiendo y respondiendo a muchos temas que preocupan ampliamente al público, como el abuso de la tecnología de reconocimiento facial, y presentan requisitos de seguridad específicos para organizaciones o individuos relevantes sobre cómo para regular el uso de la tecnología de reconocimiento facial.
Una es aclarar el principio de "no es necesario, no usar" y no abusar de la tecnología de reconocimiento facial. En respuesta al abuso de la tecnología de reconocimiento facial para la autenticación de la identidad, como algunas aplicaciones que fuerzan o inducen el registro del usuario y utilizan la tecnología de reconocimiento facial para la verificación de la identidad durante el proceso de inicio de sesión del usuario, el artículo 4 del "Reglamento" establece claramente que "no es necesario, no usar”, y señaló que “la prioridad es utilizar canales autorizados como la base de datos de información básica de población nacional y el servicio público de autenticación de identidad de la red nacional” para la autenticación de información de identidad.
La segunda es que el uso de la tecnología de reconocimiento facial debe informar a las personas para obtener el consentimiento y seguir el principio de voluntariedad. En respuesta al comportamiento de los usuarios de tecnología de reconocimiento facial que recopilan información facial sin consentimiento personal, el artículo 5 del "Reglamento" establece que los usuarios de tecnología de reconocimiento facial deben obtener un consentimiento individual u obtener un consentimiento por escrito de conformidad con la ley antes de utilizar la tecnología de reconocimiento facial. procesamiento de información facial, excepto cuando las leyes y los reglamentos administrativos no requieran el consentimiento individual. El artículo 9 del "Reglamento" establece que cuando se utilice la tecnología de reconocimiento facial para autenticar la identidad de una persona, se debe garantizar que la persona elija voluntariamente, esté plenamente informada y participe activamente, e indique claramente el propósito de verificación de identidad en voz o texto. durante el proceso de verificación.
El tercero es aclarar el principio de "almacenamiento mínimo" de datos, y la imagen del rostro original no se almacenará. En respuesta al fenómeno de que los usuarios de tecnología de reconocimiento facial no almacenan datos de reconocimiento facial de manera estandarizada, el "Reglamento" señala que cuando los usuarios de tecnología de reconocimiento facial almacenan datos de reconocimiento facial, no deben guardar la imagen, foto o video original. del rostro. El artículo 18 del "Reglamento" establece claramente que los usuarios de la tecnología de reconocimiento facial deben tratar de evitar recopilar información facial que no esté relacionada con la prestación de servicios. Si es inevitable por razones prácticas o técnicas, debe ser eliminado o anonimizado de manera oportuna.
02 Las normas apoyan la implementación detallada de los "Reglamentos"
Los estándares de seguridad de la red nacional de mi país han establecido un sistema estándar para la protección de la información personal. GB/T 41819-2022 "Requisitos de seguridad de datos de reconocimiento facial de tecnología de seguridad de la información" (en lo sucesivo, "GB/T 41819-2022") se enfoca en la seguridad clave aspectos del reconocimiento facial La pregunta planteó requisitos de seguridad detallados, y el estándar se implementó formalmente en mayo de este año. GB/T 41819-2022 aborda de manera integral problemas destacados como la recopilación excesiva, la fuga o la pérdida, el almacenamiento y el uso excesivos de datos faciales, y presenta requisitos de seguridad específicos, que pueden desempeñar un papel de apoyo técnico integral en la implementación detallada de las "Regulaciones ".
Los artículos 7 y 8 del "Reglamento" establecen medidas estrictas de protección de la información facial y de identidad para evitar la fuga de información. En GB/T 41819, los Capítulos 7, 8, 9 y 11 de la norma tienen cláusulas de normas técnicas relevantes que pueden ayudar a implementar los requisitos de las "Regulaciones" a este respecto. En el estándar, el primero es que los usuarios deben tomar medidas como el aislamiento de datos y el almacenamiento encriptado en la etapa de almacenamiento de datos; el proceso de transmisión de datos utiliza protocolos de transmisión encriptados, verificación de datos y otros medios; el cuarto es presentar el procesamiento de eliminación requisitos después de que se utilizan los datos, y dar especificaciones de operación detalladas.
El artículo 5 del "Reglamento" establece los requisitos para el uso de la tecnología de reconocimiento facial para informar a las personas y obtener el consentimiento. En GB/T 41819, el Capítulo VI de la norma tiene disposiciones más detalladas que pueden ayudar a implementar los requisitos del Reglamento en este sentido. En el estándar, primero, se aclara el alcance específico de la información que debe notificarse a las personas antes de recopilar datos de reconocimiento facial, incluidos, entre otros, el nombre y la información de contacto del procesador de datos y la persona a cargo de la protección de la información personal, procesamiento reglas, y base para la necesidad, etc.; El primero es dar los requisitos técnicos específicos que el sujeto de datos debe ser informado continuamente del propósito de la verificación durante el proceso de identificación; el tercero es proponer que la tecnología de recolección de datos faciales debe usar un método que requiere la iniciativa del individuo para lograr el propósito de informar técnicamente al individuo por completo.
GB/T 41819 contiene un total de once capítulos y 40 artículos, que básicamente cubren las disposiciones de las "Regulaciones". Las unidades e individuos relevantes pueden encontrar referencias técnicas de GB/T 41819 en el proceso de comprensión e implementación de los requisitos de " Reglamento".
03 Resumen
La publicación oportuna del borrador del "Reglamento" es una medida importante para que mi país fortalezca la gobernanza de la aplicación de la tecnología de reconocimiento facial, promueva el desarrollo seguro y saludable de las industrias relacionadas y una medida importante para proteger la seguridad de la información personal. del pueblo chino. Los usuarios, productos o proveedores de servicios de tecnología de reconocimiento facial deben implementar estrictamente los requisitos pertinentes de las "Regulaciones" y consultar GB/T 41819 "Requisitos de seguridad de datos de reconocimiento facial de tecnología de seguridad de la información" y otras normas nacionales de seguridad de red para mejorar la tecnología y la seguridad. y promover conjuntamente la aplicación de la tecnología de reconocimiento facial en una nueva etapa de desarrollo seguro y ordenado.