ICS 13.310 A 91 团 体 标 准 T/ZJAF 5—2020 安全防范 人脸数据安全管理规范 Security protection — Specifications for security management of face data 2020-09-15发布 2020-10-01实施 浙江省安全技术防范行业协会 发 布 T/ZJAF 5—2020 目 次 前言 ............................................................................... III 引言 ................................................................................ IV 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 基本要求 .......................................................................... 2 5 数据类型与安全防护等级 ............................................................ 2 6 全生命周期管理 .................................................................... 3 7 安全运营要求 ...................................................................... 4 8 安全管理要求 ...................................................................... 5 参考文献 ............................................................................. 9 II T/ZJAF 5—2020 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容 可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由浙江省安全技术防范行业协会提出并归口。 本文件起草单位： 浙江昊阔物联科技有限公司、山西省综改示范区公安分局视频大数据实验室、广 州像素数据技术股份有限公司、北京深醒科技有限公司、浙江大华技术股份有限公司、杭州海康威视数 字技术股份有限公司、上海观安信息技术股份有限公司、浙江省公安 科技研究所、浙江宇视科技有限公 司、苏州科达科技股份有限公司、东方网力科技股份有限公司、浙江方正安防工程有限公司、温州市保安服务总公司、杭州平治科技有限公司、杭州宇泛智能科技有限公司、浙江省安全技术防范行业协会、杭州智衍科技有限公司。 本文件主要起草人：赵军、姚若光、杜云鹏、王树林、张兴明、廖双龙、应洪波、谢江、赵静岚、 吴参毅、 刘晓明、 邹文艺、傅春、邓志吉、孔维生、 朱志敏、 马里剑、晋兆龙、黄琛泽、李伟、范绍富、 林川江、李伟、郑东、李军、孙嘉、宋林、胡笑、 骆晗、朱仁志、卢晓倩 。 III T/ZJAF 5—2020 引 言 近年来，随着互联网应 用的全面普及和人工智能技术的快速发展， 人脸信息的 采集、检测和 识别技 术在各行各业广泛使用， 越来越多的组织收集、使用人脸数据 ，带来了人脸数据的非法采集 、滥用和泄 露等安全问题。人脸数据是个人信息数据的重要组成部分，有必要采取相应的安全管理策略，以保护人 脸数据及个人信息安全。 本文件针对安全防范领域内人脸数据的安全管理， 提出了人脸数据在不同场景下应用过程中安全策 略，规范了人脸数据在采集、传输、存储、使用和销毁等全生命周期的安全管理行为，旨在遏制人脸数 据的非法采集、滥用、泄露 等乱象，最大程度地保护个人合法权益和社会公 共利益。 IV mYl_w
[‰Qhb€g/–2ƒˆLNSOOT/ZJAF 5—2020 安全防范 人脸数据安全管理规范 1 范围 本文件规定了人脸数据在安全管理中的基本要求、数据类型与安全防护等级、全生命周期管理、安 全运营要求和安全管理要求。 本文件适用于安全防范领域内人脸数据所有者和使用者在采集、传输、存储、使用和销毁等环节的 安全管理 ，其他行业也可参考使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件。不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 31488 —2015 安全防范视频监控人脸识别系统技术要求 GB/T 32907 信息安全技术 SM4分组密码算法 GB/T 35273 —2020 信息安全技术 个人信息安全规范 GB/T 35275 信息安全技术 SM2密码算法加密签名消息语法规范 GB/T 37964 信息安全技术 个人信息去标识化指南 3 术语和定义 GB/T 31488-2015、GB/T 35273-20 20界定的以及下列术语和定义适 用于本文件。 3.1 人脸数 据face data 按照一定格式，以电子记录方式描述个人人脸信息的数据集合，包含人脸图像数据、人脸特征数据 和人脸关联数据。 3.2 人脸图 像数据 face image data 包含记录头部或人脸的单帧或视频图像 的数据。 3.3 人脸特 征数据 face feature data 从人脸图像数据中提取的代表该数据 的特征信息或集合。 3.4 人脸关 联数据 face-relat ed data 1 mYl_w
[‰Qhb€g/–2ƒˆLNSOOT/ZJAF 5—2020 与人脸相关的反映特定个人身份或者活动情况的各种数据 或数据集合 ，例 如 ：姓名、 身份证件号码、 联系方式、拍摄时间地点等。 4 基本要求 4.1 人脸数据的采集与使用应具有合法性、正当性和必要性。 4.2 应以清晰、合理的方式公开人脸数据的采集与使用范围、目的和规则，接受内外部监督。 4.3 应对人脸数据的采集、传输、存储、使用和销毁等环节采用全生命周期安全管理， 从用户安全 、 网络安全、操作安全、环境安全等方面确保人脸数据的安全。 4.4 应遵循权责一致原则，谁建设、谁负责，谁使用、谁管理。 4.5 应具备相应的安全能力， 构建合理的数据管理组织架构和数据架构体系， 保护人脸数据的保密性、 一致性、完整性、可用性和可追溯性。 4.6 应建立与人脸数据安全防护等级相符合的保护、监管、审计等要求的管理制度，对信息资产、运 维人员、事件活动进行管理。 4.7 应采用必要的技术措施，保障人脸数据所在的信息系统的基本安全。 4.8 涉及人脸关联数据的信息系统，其数据安全防护等级属于 2级的，应符合 GB/T 22239 中规定的二 级及以上的安全等级保护要求；其数据防护等级属于 3、4级的，应符合 GB/T 22239 中规定的三级及以 上的安全等级保护要求。 5 数据类型与安全防护等级 5.1 数据类型 人脸数据根据产生的方式不同，可分为人脸图像数据 、人脸特征数据和人脸关联数据， 类型和特点 见表1。 表1 人脸数据类型 数据类型 数据特点 人脸图像数据 使用数码相机、手机、摄像机、执法记录仪或其他图像采集设备所获取的人脸图像，在数据全 生命周期中不绑定任何身份和其他信息，仅存在有系统按顺序生成的编号和流水号。 人脸特征数据 由人脸图像数据提取的脸部特征数据，包括人脸特征项和人脸特征特性。 人脸关联数据 在人脸图像数据内加载了该人脸图像主体的相关身份信息、采集地点时间、财务信息、通信信息、人际关系信息，以及政治信仰信息等。 5.2 安全防护等级 2