ICS 35.240 CCS L 80 团体标准 T/CITIF 004—2023 人脸识别应用安全评估指南 Guide to security evaluation for face recognition application 2023 - 08 – 21 发布 2023 - 08 – 21 实施 中国电子信息行业联合会 发布 全国团体标准信息平台 全国团体标准信息平台 I 目 次 前 言 ................................ ................................ ................ II 引 言 ................................ ................................ ............... III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ ....... 1 3 术语和定义 ................................ ................................ ........... 1 4 人脸识别数据处理流程 ................................ ................................ . 2 5 人脸识别应用安全评估内容 ................................ ............................. 2 5.1 概述 ................................ ................................ .............. 2 5.2 应用单位 ................................ ................................ .......... 2 5.3 人员安全 ................................ ................................ .......... 3 5.4 数据安全 ................................ ................................ .......... 3 5.5 系统安全 ................................ ................................ .......... 3 5.6 服务安全 ................................ ................................ .......... 4 附 录 A （资料性） 人脸识别应用安全评估表格 ................................ ............. 5 全国团体标准信息平台 II 前 言 本标准按照 GB/T 1.1 —2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起 草。 本标准由 中国电子信息行业联合会 提出并归口。 请注意本 标准的某些内容可能涉及专利，本 标准的发布机构不承担识别专利的责任。 本标准起草单位：国家工业信息安全发展研究中心、国家语音及图像识别产品质量检验检测中心、 小视科技（江苏）股份有限公司、杭州海康威视数字技术股份有限公司、上海依图网络科技有限公司、 上海商汤智能科技有限公司、深信服科技股份有限公司、北京智游网安科技有限公司、蚂蚁科技集团股 份有限公司、北京百度网讯科技有限公司、罗克佳华科技集团股份有限公司、大同市数字政府服务中心、 北京信源电子信息技术有限公司大同分公司、北京信源电子信息技术有限公司吉安分公司。 本标准主要起草人：朱倩倩、汪慕峰、刘永东、李美桃、杨帆、李双、王晶晶、王 升国、种国双、 高云龙、倪邦杰、乔思渊、赵春昊、成瑾、鲍旭华、马红丽、韩云、林冠辰、郭建领、 李世勇、 薛学琴、 周永修、 韩杰、马国斌。 全国团体标准信息平台 III 引 言 人脸识别是一种基于人的面部特征信息进行身份识别的生物识别技术。在应用人脸识别技术后， 采集到的人脸图像经过算法的处理得到人脸识别数据，进而实现更加准确高效的身份识别，提升应用 单位的管理能力和业务水平。人脸识别应用场景广泛，但人脸识别应用安全制度还不完善，使应用单 位人员的人脸识别数据和可能关联单位业务的系统面临安全风险。当政府部门、高新企业、科研院所 等重点单位应用人脸识别技术时，建议特别关注安全问题。 政府部门、高新企业、科研院所等重点单位可参考本文件对人脸识别应用采取相应的安全技术和 管理措施，保障人脸识别应用 安全。 全国团体标准信息平台 全国团体标准信息平台 1 人脸识别应用安全评估指南 1 范围 本文件给出了评估人脸识别应用安全时涉及应用单位、人员安全、数据安全、系统安全和服务安 全方面的建议。 本文件适用于人脸识别应用单位对人脸识别应用进行安全评估，也适用于人脸识别系统的规划、 设计、建设和使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T 25069 —2022 信息安全技术 术语 GB/T 38671 —2020 信息安全技术 远程人脸识别系统技术要求 GB/T 41772 —2022 信息技术 生物特征识别 人脸识别系统技术要求 GB/T 41819 —2022 信息安全技术 人脸识别数据安全要求 3 术语和定义 GB/T 25069 —2022、GB/T 41772 —2022、GB/T 41819 —2022界定的以及下列术语和定义适用于本 文件。 3.1 人脸图像 face image 自然人脸部信息的 模拟表示 或数字表示 ，也称人脸样本 。 [来源:GB/T 41819 —2022，3.1，有修改 ] 3.2 人脸特征 face feature 从人脸图像提取的反映 对应数据主体 特征，用于比对的数值或标记 。 [来源:GB/T 41819 —2022，3.2，有修改 ] 3.3 人脸识别数据 face recognition data 可识别自然人身份的 人脸图像或人脸特征。 [来源:GB/T 41819 —2022，3.3] 3.4 人脸识别数据控制者 data controller 有能力决定人脸识别数据处理目的、方式等的组织或个人。 3.5 人脸识别应用 face recognition application 使用人脸识别技术来确认特定自然人或特定自然人身份的过程。 3.6 应用单位 application unit 使用、控制人脸识别系统的组织。 3.7 全国团体标准信息平台 2 用户 user 使用人脸识别产品或服务不具备特殊权限的个体，特指人脸识别数据主体。 3.8 系统用户 system user 能够对人脸识别 系统进行特定操作，实现特定功能的 人员。 注：系统用户指系统 管理员、 数据操作 员和审计员 等。 3.9 服务商 service provider 直接为应用单位提供或维护人脸识别产品 /服务的组织。 注：服务商指供应商或集成商等。 4 人脸识别数据处理流程 人脸识别系统通常要经过采集人脸图像、提取人脸特征和存储人脸识别数据，人脸识别数据处理 流程见图 1。最终，通过人脸识别数据的比对实现人脸识别功能。 图1 人脸识别数据处理流程 5 人脸识别应用安全评估 内容 5.1 概述 人脸识别应用场景广泛，其安全风险主要源自人员、数据、系统和服务四个方面，应用单位需根 据自身单位性质和业务特点，配备相应管理措施和技术手段。本文件主要为政府部门、高新企业、科 研院所等应用单位的人脸识别应用开展安全评估提供指导，具体评估要点见参考附录 A。 5.2 应用单位 5.2.1 单位情况 明确应用单位的类型，可分为 政府部门 、高新企业 、科研院所等 。 设立安全管理部门，并明确组织架构、岗位和岗位人员数量，以用于防范和响应安全事件。 5.2.2 应用系统 记录应用单位范围内已部署的人脸识别系统数量及业务信息，能够独立部署运行且包含多个人脸 识别相关业务的系统为 1套。 明确每个人脸识别系统关联业务重要程度，可分为关