近日，国家市场监督管理总局、国家标准化委员会正式发布《信息安全技术 人脸识别数据安全要求》（GB/T 41819-2022，以下简称《人脸识别标准》），该文件规定了人脸识别数据的安全通用要求以及收集、存储、使用、传输、提供、公开、删除等具体处理活动的安全要求。适用于数据处理者安全开展人脸识别数据处理活动。

《人脸识别标准》明确，人脸识别数据包括了移动终端、应用程序使用人脸识别数据实现解锁、支付等功能。所以理论上，当下的线下刷脸支付需要遵循该标准。

《人脸识别标准》要求，对于处理超过10万人的人脸识别数据的数据处理者,应设置专门的个人信息保护机构和个人信息保护负责人,对个人信息保护负责人和关键岗位人员进行安全背景审查,并公开个人信息保护负责人的联系方式。

《人脸识别标准》要求，实现相同目的或达到同等安全要求可采用非人脸识别方式的,应优先选择使用非人脸识别方式。

《人脸识别标准》要求，数据主体不同意收集人脸识别数据的,不应拒绝数据主体使用基本业务功能。

《人脸识别标准》，对数据处理者使用人脸识别数据的要求如下：

a)应在使用人脸识别数据识别自然人身份后立即删除用于识别的人脸图像；

b)人脸特征应具有可更新、不可逆、不可链接的特性；

c)在本地和远程人脸识别方式均适用时，应优先使用本地人脸识别；

d)应对人脸识别数据使用行为进行审计。

点击下载《信息安全技术 人脸识别数据安全要求》