T_CITIF 004-2023 人脸识别应用安全评估指南.docxVIP

ICS 35.240 CCS L 80 团 体 标 准 T/CITIF 004—2023 人脸识别应用安全评估指南 Guide to security evaluation for face recognition application 2023 - 08 – 21 发布 2023 - 08 – 21 实施 中国电子信息行业联合会 发布 目 次 前 言 II 引 言 III 范围 1 规范性引用文件 1 术语和定义 1 人脸识别数据处理流程 2 人脸识别应用安全评估内容 2 概述 2 应用单位 2 人员安全 3 数据安全 3 系统安全 3 服务安全 4 附 录 A （资料性） 人脸识别应用安全评估表格 5 前 言 本标准按照GB/T 1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。 本标准由中国电子信息行业联合会提出并归口。 请注意本标准的某些内容可能涉及专利，本标准的发布机构不承担识别专利的责任。 本标准起草单位：国家工业信息安全发展研究中心、国家语音及图像识别产品质量检验检测中心、 小视科技（江苏）股份有限公司、杭州海康威视数字技术股份有限公司、上海依图网络科技有限公司、 上海商汤智能科技有限公司、深信服科技股份有限公司、北京智游网安科技有限公司、蚂蚁科技集团股 份有限公司、北京百度网讯科技有限公司、罗克佳华科技集团股份有限公司、大同市数字政府服务中心、北京信源电子信息技术有限公司大同分公司、北京信源电子信息技术有限公司吉安分公司。 本标准主要起草人：朱倩倩、汪慕峰、刘永东、李美桃、杨帆、李双、王晶晶、王升国、种国双、 高云龙、倪邦杰、乔思渊、赵春昊、成瑾、鲍旭华、马红丽、韩云、林冠辰、郭建领、李世勇、薛学琴、周永修、 韩杰、马国斌。 引 言 人脸识别是一种基于人的面部特征信息进行身份识别的生物识别技术。在应用人脸识别技术后， 采集到的人脸图像经过算法的处理得到人脸识别数据，进而实现更加准确高效的身份识别，提升应用单位的管理能力和业务水平。人脸识别应用场景广泛，但人脸识别应用安全制度还不完善，使应用单位人员的人脸识别数据和可能关联单位业务的系统面临安全风险。当政府部门、高新企业、科研院所等重点单位应用人脸识别技术时，建议特别关注安全问题。 政府部门、高新企业、科研院所等重点单位可参考本文件对人脸识别应用采取相应的安全技术和管理措施，保障人脸识别应用安全。 人脸识别应用安全评估指南 范围 本文件给出了评估人脸识别应用安全时涉及应用单位、人员安全、数据安全、系统安全和服务安全方面的建议。 本文件适用于人脸识别应用单位对人脸识别应用进行安全评估，也适用于人脸识别系统的规划、设计、建设和使用。 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。 GB/T 25069—2022 信息安全技术 术语 GB/T 38671—2020 信息安全技术 远程人脸识别系统技术要求GB/T 41772—2022 信息技术 生物特征识别 人脸识别系统技术要求GB/T 41819—2022 信息安全技术 人脸识别数据安全要求 术语和定义 GB/T 25069—2022、GB/T 41772—2022、GB/T 41819—2022 界定的以及下列术语和定义适用于本文件。 3.1 人脸图像 face image 自然人脸部信息的模拟表示或数字表示，也称人脸样本。[来源:GB/T 41819—2022，3.1，有修改] 3.2 人脸特征 face feature 从人脸图像提取的反映对应数据主体特征，用于比对的数值或标记。[来源:GB/T 41819—2022，3.2，有修改] 3.3 人脸识别数据 face recognition data 可识别自然人身份的人脸图像或人脸特征。[来源:GB/T 41819—2022，3.3] 3.4 人脸识别数据控制者 data controller 有能力决定人脸识别数据处理目的、方式等的组织或个人。 3.5 人脸识别应用 face recognition application 使用人脸识别技术来确认特定自然人或特定自然人身份的过程。 3.6 应用单位 application unit 使用、控制人脸识别系统的组织。 3.7 用 户 user 使用人脸识别产品或服务不具备特殊权限的个体，特指人脸识别数据主体。 3.8 系统用户 system user 能够对人脸识别系统进行特定操作，实现特定功能的人员。 注：系统用户指系统管理员、数据操作员和审计员等。 3.9 服务商 service provider 直接为应用