DB31∕T 1467-2024 公共场所人脸识别分级分类应用指南(上海市).pdf
《DB31∕T 1467-2024 公共场所人脸识别分级分类应用指南(上海市).pdf》由会员分享,可在线阅读,更多相关《DB31∕T 1467-2024 公共场所人脸识别分级分类应用指南(上海市).pdf(18页珍藏版)》请在咨信网上搜索。
1、 ICS 35.240 CCS A90 31 上海市地方标准 DB31/T 14672024 公共场所人脸识别分级分类应用指南 Guidelines for facial recognition classification application in public places 2024-04-02 发布 2024-07-01 实施 上海市市场监督管理局 发 布 DB31/T 14672024 I 目次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 基本原则.1 4.1 合理性原则.1 4.2 良性发展原则.2 4.3 权责一致原则.2 4.4 安全性原则.2
2、4.5 未成年人保护原则.2 5 分级分类方法.2 5.1 人脸识别公共场所分类.2 5.2 人脸识别风险评估.3 5.3 公共场所人脸识别应用风险分级.5 6 应用方法.5 6.1 概述.5 6.2 应用主体条件.6 6.3 实施环节及措施.6 6.4 不同应用等级建议采取的措施.7 附录 A(资料性)常见的应用人脸识别的公共场所分类说明.10 参考文献.14 DB31/T 14672024 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由上海市经济
3、和信息化委员会提出并组织实施。本文件由上海市人工智能标准化技术委员会归口。本文件起草单位:上海华东电信研究院、上海市质量和标准化研究院、上海依图网络科技有限公司、上海商汤智能科技有限公司、上海市人工智能行业协会、公安部第三研究所、上海人工智能实验室、上海市大数据中心、上海计算机软件技术开发中心、中国社科院、同济大学、上海交通大学、华东师范大学、支付宝(中国)网络技术有限公司、上海云从汇临人工智能科技有限公司、中电金信数字科技集团有限公司、上海说以科技有限公司。本文件主要起草人:彭莉、常永波、徐雷、张正敏、赵春昊、宋方方、戴宇欣、朱婕、陈俊琰、刘彩霞、谢芳艺、刘晶晶、沈涛、段伟文、陈吉栋、袁梦、
4、石念、陈曦、蒋慧、宋剑锋、瞿晶晶、梁满、陈敏刚、陈文捷、陈玉珑、张志忠、许源、张哲煜、林冠辰、彭晋、李军、杨清、陈森。DB31/T 14672024 1 公共场所人脸识别分级分类应用指南 1 范围 本文件提供了公共场所人脸识别分级分类应用的基本原则、分级分类的方法,以及应用方法。本文件适用于公共场所新建人脸识别系统的分级分类应用,已建人脸识别系统可参照执行。2 规范性引用文件 本文件没有规范性引用文件。3 术语和定义 下列术语和定义适用于本文件。3.1 人脸识别 face recognition 以人面部特征作为识别个体身份的一种个体生物特征识别方法。人脸识别包括人脸验证和人脸辨识。来源:GB
5、/T 386712020,3.1.2,有修改 3.2 公共场所 public places 提供公众使用或公众有权访问的空间。3.3 个人人脸信息处理者 personal face information processor 人脸识别活动中自主决定处理目的、处理方式的组织、个人。3.4 个人信息主体 personal information possessor 个人信息所标识或者关联的自然人。来源:GB/T 352732020,3.3 3.5 使用主体 use subject 使用人脸识别系统的组织、个人。3.6 实施主体 implementation subject 研发、生产、集成人脸识别
6、系统的组织、个人。3.7 人脸识别应用 face recognition applications 应用人脸识别进行人员管理、安全防范等特定目的的过程。4 基本原则 4.1 合理性原则 DB31/T 14672024 2 合理性原则包括但不限于:a)最小必要:只收集满足人脸识别目的所需的最小范围的信息,不收集与人脸识别目的无关的个人信息;b)目的明确:遵循合法、正当、必要和诚信原则明确应用目的,并采取对个人权益影响最小的方式实现应用目的;c)一致性:个人信息的收集、使用目的与结果必须一致,不能随意改变。4.2 良性发展原则 良性发展原则包括但不限于:a)公开透明:人脸识别系统宜在民众充分知情的
7、情况下建设和应用;b)准入控制:开展人脸识别业务的主体具备保障个人人脸信息数据安全的能力。4.3 权责一致原则 个人人脸信息处理者在人脸识别系统建设和应用过程中明确并承担相应责任,若无法履行则不启动相关工作。4.4 安全性原则 安全性原则包括但不限于:a)事前考虑:项目实施前宜预先评估安全风险及合规问题;b)事中保障:项目执行阶段设立有效的安全保障机制,具备应对各种安全风险的安全能力,采用充分的安全措施和技术手段以防范可能出现的风险;c)事后追溯:建立完整的项目审计追溯机制,覆盖项目实施完成和使用过程。4.5 未成年人保护原则 个人人脸信息处理者在必须处理不满十四周岁未成年人的个人人脸信息时,
8、宜事先取得未成年人父母或者其他监护人的同意,并采取严格保护措施、制定专门的个人信息处理规则、履行更高标准的告知义务。5 分级分类方法 5.1 人脸识别公共场所分类 公共场所应用人脸识别的常见应用场景可分为社会管理、行业应用、其他三类,各场景可依照行业类别进一步细分,见表 1。a)社会管理包括公共安全、司法、政务、公共服务、交通以及其他具有社会管理属性的细分场景(见表 A.1)。b)行业应用包括金融、医疗、教育、建筑、房地产、商业、娱乐等细分场景(见表 A.2)。c)其他,包括社区和园区等细分场景(见表 A.3)。注1:其他应用场景主要涉及利用人脸识别技术实现人员管理、安全防范等目的的应用场景。
9、注2:社区是人们进行居住、生活等活动的特定区域;园区是满足从事某种特定行业生产和科学实验需要的标准性建筑物或建筑物群体,包括工业园区、产业园区、物流园区、都市工业园区、科技园区、创意园区等。DB31/T 14672024 3 表1 常见的应用人脸识别的公共场所分类 应用场景 细分场景 社会管理 公共安全 司法 政务 公共服务 交通 其他 行业应用 金融 医疗 教育 建筑 房地产 商业 娱乐 其他 其他 社区 园区 5.2 人脸识别风险评估 5.2.1 风险评估要素 5.2.1.1 公共场所实施人脸识别时宜充分考虑以下风险要素:a)应用目的风险。通过人脸识别应用的目的进行体现,对于有多个应用目的
10、的项目,选取最高值作为本项风险值;b)底库规模风险。通过人脸识别系统可识别的人脸数量,即底库规模体现,底库规模越大风险相对越高;c)覆盖密度风险。通过人脸采集设备的布局密度体现,密度越高风险相对越高;d)管理水平风险。通过人脸识别使用主体的管理科学程度体现,管理科学规范水平越高风险越低;e)网络环境风险。通过人脸识别系统接入网络的方式体现,接入的网络安全性越高风险相对越低。注1:底库规模指系统存储的可识别的人脸图像特征信息的数据库大小,单位为“人”,每个单位可能包括多个特征信息。注2:覆盖密度是指人脸采集设备的分布密度,单位为“路每平方公里”,即每平方公里安装了多少路人脸采集设备。5.2.1.
11、2 各项风险要素宜采用的取值范围可参考表 2表 6。表2 应用目的风险评估表 风险要素:应用目的 风险值参考取值范围 安全防范 13 DB31/T 14672024 4 表2 应用目的风险评估表(续)风险要素:应用目的 风险值参考取值范围 人员管理 24 商业分析 35 娱乐体验 45 表3 底库规模风险评估表 风险要素:底库规模(人)风险值参考取值范围 01000 12 100010000 23 10000及以上 35 表4 覆盖密度风险评估表 风险要素:覆盖密度(路每平方公里)风险值参考取值范围 050 12 50100 23 100以上 35 注:覆盖密度计算方法为计划安装的摄像头总路数
12、除以公共场所的总面积,面积不足1平方公里的按1平方公里算。表5 管理水平风险评估表 风险要素:管理水平 风险值参考取值范围 第三级 13 第二级 24 第一级 35 注:管理水平风险宜考虑的因素包括政策和制度、机构和人员管理、风险管理等方面,GB/T 202692006 中6.16.3给出了管理水平从第一级到第三级的风险评估要点。表6 网络环境风险评估表 风险要素:网络环境 风险值参考取值范围 政府专网或离网 13 局域网 24 公网 35 5.2.2 综合风险值评估 综合风险值计算方法见公式(1)。=0.28+0.17+0.12+0.23+0.20 (1)式中:R综合风险值;M应用目的风险值
13、;D底库规模风险值;DB31/T 14672024 5 F覆盖密度风险值;G管理水平风险值;W网络环境风险值。5.3 公共场所人脸识别应用风险分级 公共场所人脸识别风险从低到高可划分为A、B、C、D、E五个等级。建议结合5.1人脸识别的场所分类结果和5.2应用人脸识别的综合风险值,按照图1得出公共场所人脸识别应用风险等级。图1 公共场所人脸识别应用风险等级划分索引图 6 应用方法 6.1 概述 6.1.1 根据应用人脸识别的风险等级,实施的人脸识别系统宜参照 GB/T 202692006、GB/T 222392019、GB/T 222402020 要求完成相应等级的安全设计和实施防护措施。6.
14、1.2 公共场所人脸识别应用宜遵循最小必要原则,具体分级如下:a)A 级(低风险):认可使用。适用于低风险的场景,或法律、法规、强制标准中已有规定的允许使用人脸识别的应用场景;b)B 级(中低风险):允许使用。适用于中低风险场景,宜提供至少一种可选择的替代方案或组合应用方案,包括但不限于证件识别、锁具、密码等非生物特征识别方案;c)C 级(中风险):适度使用。适用于中风险场景,不宜将人脸识别作为唯一的方案,宜提供至少一种可选择的替代方案或组合应用方案,包括但不限于证件识别、锁具、密码等非生物特征识别方案;d)D 级(中高风险):审慎使用。适用于中高风险场景,非必要不使用,若必须使用则通过优化要
15、素风险降低风险等级后使用,且不宜将人脸识别作为出入的唯一的方案,宜提供至少一种可选择的替代方案或组合应用方案,包括但不限于证件识别、锁具、密码等非生物特征识别方案;e)E 级(高风险):不建议使用。适用于高风险场景,不建议使用人脸识别系统。DB31/T 14672024 6 6.2 应用主体条件 6.2.1 使用主体 6.2.1.1 人脸识别系统的使用主体具有良好的信用情况。6.2.1.2 组织并采用合法、合适的方式,获得人脸识别对象的正式同意授权。6.2.1.3 在公共场所的显著位置,告知设置人脸识别采集点位的提示标识。6.2.1.4 宜参照GB/T 202692006 建立和实施涵盖多个关
16、键领域的分等级管理要求。6.2.1.5 宜采用必要的安全技术确保系统和数据安全,并建立相应的应急预案对使用中的危险行为进行溯源。6.2.2 实施主体 6.2.2.1 人脸识别系统实施主体一般包含集成商和系统供应商两类。6.2.2.2 宜通过质量管理体系认证和信息安全管理体系认证,并取得符合国家或行业要求的信息安全管理体系相关资质证书,以及根据业务需求所需的其他特定资质证书。6.2.2.3 人脸识别系统信息安全工程管理要求参考 GB/T 202822006 的规定。6.2.3 其他服务提供方 其他服务提供方管理参考GB/T 329142016的规定。6.3 实施环节及措施 6.3.1 描述 人脸
17、识别应用涉及收集、传输、存储、使用、共享转让公开披露、删除等环节。应用人脸识别逐一考虑这些环节可采取的技术措施,以及各环节的个人信息主体、使用主体、人脸识别系统技术提供者或设备供应商等主体的权限和责任。6.3.2 收集 收集个人人脸信息的基本原则是目标明确、公开透明、自主选择、授权同意。且满足最小必要原则,仅收集与业务直接相关的个人人脸信息。收集不满十四周岁未成年人个人人脸信息的,宜取得未成年人的父母或者其他监护人的同意和授权。6.3.3 传输 传输个人人脸信息宜进行去标识化处理和采用加密等安全措施,遵循最小必要原则,与其他个人信息进行隔离传输。6.3.4 存储 6.3.4.1 存储个人人脸信
18、息宜进行去标识化处理和采用加密等安全措施,不存储原始个人人脸信息,仅存储个人人脸摘要信息,并与其他个人信息进行隔离存储。6.3.4.2 根据不同应用场景设置个人人脸摘要信息的最高存储时限,该时限小于必要使用时长,授权人签署的授权时间小于该时限。6.3.4.3 个人人脸摘要信息超出存储期限后,及时删除或做匿名化处理。6.3.4.4 允许个人信息主体对存储的个人人脸摘要信息进行查询、变更、删除等操作。注:个人人脸摘要信息是对个人人脸信息进行关键信息提取并编码后形成的信息,具有不可逆的特性,即无法通过个人人脸摘要信息反向推导获取个人人脸信息。DB31/T 14672024 7 6.3.5 使用 6.
19、3.5.1 个人人脸信息处理者确保个人人脸信息使用过程安全、透明,可进行角色分类设置和有限授权,确保相关操作保留痕迹可溯源。6.3.5.2 个人人脸信息使用宜在授权人授权范围内使用,不超出个人授权的范围,使用目的与授权人签署的授权目的一致。当个人人脸信息使用目的变更时,告知并征得授权人的重新授权。6.3.5.3 个人人脸信息处理者保障个人人脸信息在使用过程中不被泄露和篡改。6.3.5.4 个人人脸信息的使用主体可通过授权的方式允许授权人对其个人人脸信息进行查询、变更、删除等操作,并确保过程安全。6.3.5.5 对个人人脸信息进行展示宜遮挡重要部位信息,例如双眼等,并参考 GB/T 352732
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB31T 1467-2024 公共场所人脸识别分级分类应用指南上海市 DB31 1467 2024 公共场所 识别 分级 分类 应用 指南 上海市
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。