今日の生活では、従来のホテルのチェックインや人気の顔認証ログインシーンなど、顔認証技術が使われている場面が至る所で見られますが、長い間、特定の状況下では顔認証技術が使用されてきました。 、顔認証技術を使用することができるか、顔認証技術を使用する際にどのような規範に従うべきか、法律はそのような問題への対応を欠いています。 「データセキュリティ法」と「個人情報保護法」の公布により、データと個人情報が絡む顔認証技術が再び最前線に立っている。
そして今月8日、中国サイバースペース局は「顔認識技術応用(試行実施)の安全管理に関する規定(意見募集草案)」(以下「顔認識規定」)を公布し、意見を公募した。 「顔認識規則」は基本的に上記の疑問に答えるものであり、同時にその解決策を全員に示しました。 「顔認証に関する規定」は章立てはありませんが、その内容は大きく分けて一般規定(第1条~第5条)、応用シナリオと仕様(第6条~第14条)、使用規定(第15条)の4部に分かれます。 -20)および最終的な監督と法的責任(第21条から第25条)。 Sa 姉妹のチームが今日の記事の要点を簡単に説明します。
01
顔認識技術の応用原理
顔認証技術の適用原則については、「顔認証規程」の第一部で定められており、利用者には「法令の遵守、公序良俗の遵守、社会道徳の尊重、社会的責任の遂行、個人情報保護義務の履行」が求められています。 「国家の安全を脅かす、公共の利益を損なう、社会秩序を混乱させる、個人や組織の正当な権利や利益を侵害するなど、法律や規制で禁止されている活動に顔認識技術を使用しないでください。」
この部分で最も注目すべきは第4条の規定である。 「顔認証規程」第4条の規定により、顔認証技術を利用して顔情報を処理することは、「個人情報保護法」の処理規定にも合致し、厳しく制限される必要があります。同時に、この場合、他の非生体認証技術ソリューションがある場合には、非生体認証技術ソリューションも優先されるべきです。これは、顔情報を処理する際の顔認証技術の「不要・不使用」の特性を反映している。
さらに、新しい規制は、個人の身元を確認し、特定の自然人を識別するための顔認識技術の使用に厳格な制限を課していませんが、依然として国家基本人口情報データベースや全国ネットワークなどの権威あるチャネルの優先使用を奨励しています。 ID 認証の公共サービス。
新たな規制が正式に導入された場合、これまで顔情報の処理や個人識別のために顔認証技術を利用していたシーンは、今後も当該技術を利用した処理ができなくなり、その適用範囲が制限されることが予想される。極端に減ります。
02
新規制における顔認証技術の適用シナリオと技術仕様
顔認識技術の使用には相応の制限がありますが、新しい規制は顔認識技術の使用を完全に禁止するものではなく、仕様が明確に定義されています。具体的には、適用シナリオ(適用できないシナリオや特殊な状況、または適用が制限される場合も含む)とそれに対応する注意仕様は以下のとおりです。
1. 禁止されるアプリケーションシナリオ
ホテルの客室、公衆浴場、更衣室、トイレ、その他他人のプライバシーを侵害する恐れのある場所。
2. 制限されたアプリケーションシナリオ
1. 禁止されるアプリケーションシナリオ
ホテルの客室、公衆浴場、更衣室、トイレ、その他他人のプライバシーを侵害する恐れのある場所。
2. 制限されたアプリケーションシナリオ
(1) 公共の場所。関連設備の設置は公共の安全を維持するために必要であり、関連する国内規制に従い、目立つ注意喚起の標識を設置する必要があります。同時に、関係部門は取得した情報を秘密として保持し、公共の安全を維持する目的にのみ使用し、それ以外の目的には使用しません(個人の同意を除く)。
(2) 組織内部。内部管理を実施するために、組織は対応する機器を設置することができますが、「実際のニーズに応じて画像情報の収集領域を合理的に決定し、個人情報への不正アクセス、コピー、開示、外部提供、流布を防ぐための厳格な保護措置を講じる必要があります」個人情報の漏洩、改ざん、紛失、不正取得・利用を防止します。
(3) 事業所(ホテル、銀行、駅、空港、競技場、展示場、博物館、美術館、図書館等)。顔認証技術の利用が法令で定められている場合を除き、業務遂行やサービス品質の向上を理由に、本人確認のための顔認証技術の受け入れを強制、誤解させ、騙し、または強要することはできません。個人が自分の身元を確認するために顔認識技術を使用することを自発的に選択する場合、その人が十分な情報を得てプロセスに積極的に参加することを保証する必要があります。わかりやすい音声やテキスト。
(4) 財産管理区域への出入りの際の本人確認に使用します。不動産サービス会社などのビル管理者は、これを唯一の方法として使用することはできず、個人が同意しない場合には、他の合理的かつ便利な本人確認方法を提供するものとします。
3. 特別な状況
(1) 特定の自然人の長距離かつ非帰納的な識別の状況。公共の場所または事業所で実施される場合、国家の安全、公共の安全を維持するか、緊急時に自然人の生命、健康、財産の安全を保護するために必要であり、個人によって提案される必要があります。または利害関係者。ユーザーは、関連サービスを必要最小限の時間、場所、またはグループに限定する必要があり、個別のリクエストに直接かつ必ずしも関連しない個人情報を関連付けてはなりません。
(2) 個人の人種、民族、宗教的信念、健康状態、社会階級などの機密性の高い個人情報を分析する。これは、国家の安全、公共の安全を維持するため、または緊急事態において自然人の生命、健康、財産の安全を保護するために必要な場合、または個人の同意を得るために必要な場合にのみ実行できます。
(3) 生活保護や不動産の処分などの重大な個人的利益に関わる事態。顔認識技術は人間によるレビューの代替として使用されるものではなく、支援技術としてのみ使用されるものとします。
(4) 14歳未満の未成年者の顔情報の取扱い。未成年者の両親またはその他の保護者の別途または書面による同意が得られるものとします。
上記の規制は基本的に顔認識技術の応用のさまざまなシナリオをカバーしており、主要ユーザーが上記の規制を遵守する限り、法的リスクを効果的に回避できます。
03
技術ユーザー向けの仕様
「顔認識規則」によると、さまざまなシナリオや状況に対する特別な要件に加えて、顔認識技術のユーザーは特定の使用仕様にも従う必要があります。
1. 個人情報保護影響評価の実施義務。顔認証技術を利用して顔情報を処理する場合、利用者は事前に評価(詳細は「顔認証規程」第15条を参照)を行い、処理内容を記録しなければなりません。評価報告書は最低3年間保存し、顔情報の処理目的や処理方法が変更された場合や重大なセキュリティインシデントが発生した場合には再評価が必要となります。
2. 市レベル以上のネットワーク情報部門に提出する義務。公共の場所で顔認識技術を使用する場合、または 10,000 件を超える顔情報を保存する場合、ユーザーは 30 営業日以内に申告する必要があります。ただし、出願情報に大幅な変更があった場合や顔認証技術の使用を中止した場合には、関連する出願手続きを完了する必要があります。
3. 顔認識技術サービスが一般大衆に提供される場合、関連技術システムはネットワークセキュリティレベル保護の第 3 レベル以上の保護要件を満たさなければならず、データ暗号化、セキュリティ監査などの手段によって保護されなければなりません。 、アクセス制御、認可管理、侵入検知と防御、情報セキュリティに直面します。
4. 適時に削除または匿名化する義務。法的条件または個人の同意を除き、匿名化された顔情報を除き、ユーザーは顔のオリジナル画像、写真、ビデオを保存することはできません。同時に、ユーザーは、サービスの提供に関係のない顔情報の収集を避けるよう努めるべきであり、やむを得ない場合には、適時に削除または匿名化する必要があります。
4. 適時に削除または匿名化する義務。法的条件または個人の同意を除き、匿名化された顔情報を除き、ユーザーは顔のオリジナル画像、写真、ビデオを保存することはできません。同時に、サービスの提供に関係のない顔情報の収集は避けるよう努め、やむを得ない場合には適時に削除または匿名化する必要があります。
5. リスクの監視と評価を実施する義務。顔認識技術のユーザーは、画像取得機器および個人識別機器のセキュリティと潜在的なリスクを毎年検査および評価し、検出および評価の状況に基づいてセキュリティ戦略を改善し、信頼度のしきい値を調整し、画像取得機器を保護するための効果的な措置を講じる必要があります。 、攻撃、侵入、妨害、破壊からの個人識別デバイス。
03
最後に書きます
「顔認識に関する規定」は、前述の規定に違反するさまざまな行為に対する罰則を個別に定めているわけではなく、関連部門が他の上位法の規定に従って罰則を課すことができると指摘していることは注目に値する。しかし、いずれにせよ、たとえ規制が単なる意見募集の草案であっても、規制当局の長期にわたる規制方針や規制の方向性がすでに示されているため、顔認証技術を利用する企業はコンプライアンスの準備に十分な注意が必要です。ポリシーの実施後にスムーズに移行し、合法的に運用できるようにするため。
新しいテクノロジーやデジタル経済に興味のある友人がいたら、Ta に転送してください。
全てのコメント