【技术分享】如何对人脸识别系统进行安全检查?

admin
admin
admin
139189
文章
114
评论
2025年3月14日19:26:46评论13 views字数 2461阅读8分12秒阅读模式

2025/03/14 星期五

阴·北风4级

//01 前言

最近在整理文档时发现了前段时间针对人脸识别系统进行的安全检查的一些参考文档,随即进行梳理总结了一下这次分享。

这次专项检查主要是针对医院、健身房、售楼处、社区等场所广泛使用人脸识别系统的场景。这些使用人脸识别系统的场景下是否存在泄露公众隐私,敏感信息等问题。

这次专项检查的核心问题是如何判断这些系统是否符合法律法规要求?普通人或监管者该如何有效检查?

【技术分享】如何对人脸识别系统进行安全检查?

//02 人脸识别的合规边界

在颁布的《中华人民共和国个人信息保护法》中深度拆解,简单来说就是关于人脸识别系统在采集用户人脸信息时必须获得个人信息主体的单独书面授权,不得捆绑其他授权条款,且需明示使用目的和方式。并且仅在具备特定目的和充分必要性时(如公共安全)方可使用,禁止强制刷脸,非必要场所不得收集。

  • 第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
  • 第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
  • 第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息
  • 第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
【技术分享】如何对人脸识别系统进行安全检查?

//03 人脸识别技术应用安全管理规定

《人脸识别技术应用安全管理规定(试行)(征求意见稿)》是国家互联网信息办公室为规范人脸识别技术应用,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规起草,于2023年8月8日向社会公开征求意见的管理规定,意见反馈截止时间为2023年9月7日。

  • 第五条 使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外。
  • 第十六条 在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。申请备案应当提交下列材料:

    (一)人脸识别技术使用者及其个人信息保护负责人的基本情况;

    (二)处理人脸信息的必要性说明;

    (三)人脸信息的处理目的、处理方式和安全保护措施;

    (四)人脸信息的处理规则和操作规程;

    (五)个人信息保护影响评估报告;

    (六)网信部门认为需要提供的其他材料。

    人脸识别技术使用者处理人脸信息,有法律、行政法规规定应当保密的,按有关规定执行。

    备案信息发生实质性变更的,应在变更之日起20个工作日内办理备案变更手续。终止人脸识别技术使用的,应在终止之日起30个工作日内办理备案注销手续。

  • 第十七条 除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。

    面向社会公众提供人脸识别技术服务的,相关技术系统应当符合网络安全等级保护第三级以上保护要求,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。属于关键信息基础设施的,还应当符合关键信息基础设施安全保护的相关要求。

  • 第十九条 人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
【技术分享】如何对人脸识别系统进行安全检查?

//04 人脸识别系统建设方式情况分类

根据被检查单位等所使用人脸识别系统建设方式,可以分为本地自建系统、云端自建系统和非自建系统三种不同的系统建设方式。

1.本地自建系统

系统运行在本地服务器,数据完全本地化存储。被检查单位自主管理数据,需自行维护系统安全。数据控制权高,但需投入资源加强本地网络安全防护。

2.云端自建系统

租用云服务器运行系统,数据存储在远程云端。单位拥有数据权限,但需防范云端网络攻击和数据泄露风险。灵活性强,但安全依赖云服务商能力和自身防护措施。

3.非自建系统
    基于第三方提供的软件即服务或平台即服务进行系统建设,数据存于服务商服务器。服务商参与系统维护和数据处理,数据权限可能共享。运维成本低,但数据安全性和保密性风险较高。
【技术分享】如何对人脸识别系统进行安全检查?

//05 人脸识别系统安全风险隐患检查项

以下检查项是在多次关于人脸识别系统检查中以及翻阅互联网多个案例和一些文档总结的,可能不是那么准确,检查覆盖范围没那么细致,仅供参考吧‌。

【技术分享】如何对人脸识别系统进行安全检查?
//06 人脸识别相关案例

2021年杭州市某房企在售楼处安装摄像头,未经客户同意抓拍访客人脸数据超10万条,用于区分客户来源(如自然到访或中介推荐),以便结算佣金。监管部门罚款25万元,责令整改。

2022年长沙市某医疗机构在电子签核系统中违规采集患者指纹、人脸等生物识别信息,且未采取必要加密及安全防护措施,违反《中华人民共和国个人信息保护法》相关规定。检察机关联合行政机关、公安机关依法责令涉事机构整改,全面取消生物识别功能,封存保管已采集数据,并升级信息系统安全等级。

    2024年上海市某健身房违规将人脸识别作为会员唯一入场方式,并在更衣室设置带有人脸识别功能的储物柜,且未履行充分的告知义务,违反了《个人信息保护法》及《上海市数据条例》关于个人信息正当、必要采集的原则。检察院对接相关行业主管部门,通过制发检察建议督促其依法全面履职涉事健身房采取整改措施,取消强制人脸识别入场及更衣室储物柜人脸识别功能,改为使用会员账号及手环等方式。
END

作者 | 剁椒Muyou鱼头

I like you,but just like you.

我喜欢你,仅仅如此,喜欢而已~

点赞在看不迷路哦!

原文始发于微信公众号(剁椒Muyou鱼头):【技术分享】如何对人脸识别系统进行安全检查?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月14日19:26:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【技术分享】如何对人脸识别系统进行安全检查?https://cn-sec.com/archives/3839811.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息