ICS35-020 L80 团体标准 T/GDNS003-2022 高校人脸识别基准库建设规范 Universityfacerecognitionbenchmarkdatabaseconstructionspecification 2022-03-28发布 2022-04-28实施 广东省计算机信息网络安全协会发布 全国团体标准信息平台 I目次 前言...............................................................................II 引言..............................................................................III 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4高校人脸识别基准库建设基本原则.......................................................2 5人脸基准库建设基本框架...............................................................2 6信息收集原则.........................................................................2 6.1集中采集.........................................................................2 6.2可信身份核验.....................................................................2 7信息存储规范.........................................................................3 7.1设备基本安全.....................................................................3 7.2生成特征码.......................................................................3 7.3信息安全防护.....................................................................3 8基准库管理要求.......................................................................3 8.1人脸生物特征信息及特征码管理.....................................................3 8.2商户管理.........................................................................3 9安全控制规范.........................................................................3 9.1特征码无泄漏.....................................................................3 9.2建立用户信息保护制度.............................................................4 10标准库使用规范......................................................................4 11监督投诉反馈机制....................................................................4 参考文献.........................................................................5 全国团体标准信息平台 II前言 本文件依据GB/T1.1－2020给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由广东省计算机信息网络安全协会提出并归口管理。 本规范起草单位：华南理工大学、广东省计算机信息网络安全协会、广东省清朗网络安全应急服务 中心。 本规范主要起草人：陆以勤、邹杜、沈雄、陈嘉睿、缪婧、黄振毅、艾飞、覃健诚、程喆、王海瀚、 毛中书、罗杏娥、谢婉娟、韩颖铮、余骏华、梁倩、潘伟锵、邓国强、唐玮俊、刘卫红、刘葵、郑媛、 林茵、陈卓星、张洋、王猛、唐文军、梁湘燕、黄建波、钟培俊、黎志生、刘梅、李涛、邓婷、黄俊贤。 全国团体标准信息平台 III引言 随着人工智能技术的迅速发展，人脸识别技术的应用范围呈现出进一步扩大的态势，“刷脸”支付、 “刷脸”登陆、“刷脸”进出校园等随处可见。但科学技术在给人们带来便利的同时，其可能引发的安 全风险也不容忽视，人脸识别技术应用也是如此，而且人脸信息数据库的安全成为社会各界比较关注的 问题，这也是该技术能否被广泛运用的前提。以往的人体生物信息采集，由于其主导方是政府机构，具 有一定的权威性和信誉度，被采集对象更容易接受。人脸生物特征的采集，也必然经历从个体自愿采集 到依法义务采集的过程，而这一过程自然是伴随着法律法规的完善、人脸识别技术安全性能的提高，以 及高校人脸库管理部门对保护个人隐私信息进行公开承诺和给予制度机制规范。但即使如此，由于工作 人员素质技术参差不齐和信息技术存在漏洞等原因，高校师生对个人隐私安全的担忧并不能完全消除。 为更好的推动智慧校园的发展，进一步规范高校对人脸信息的采集、使用、存储和交换，全面提升智慧 校园安全能力和水平，更好的贯彻实施《中华人民共和国网络安全法》，依据GB/T1.1－2020《标准 化工作导则第1部分:标准化文件的结构和起草规则》的标准起草规则，制定高校人脸识别基准库建设 规范，指导高校人脸库的建设，保护高校人脸库的数据信息，提高高校智慧校园的安全等级。 全国团体标准信息平台 1高校人脸识别基准库建设规范 1范围 本标准规定了高校人脸识别基准库的建设规范，包括高校人脸识别基准库建设框架规范、人脸信息 采集、处理、存储、使用等应遵循的原则和要求。 本标准适用于各高校人脸识别基准库建设活动。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069-2010信息安全技术术语 GB/T35273-2020信息安全技术个人信息安全规范 GB/T29244-2012信息安全技术办公设备基本安全要求 3术语和定义 GB/T25069-2010和GB/T35273-2020中界定的以及下列术语和定义适用于本文件。 3.1 人脸生物特征facebiometric 能够辨识个人信息主体的人脸面部信息。 3.2 采集对象Collectionobjects 高校人脸识别库建设过程中待采集的人脸生物特征个人信息主体 3.3 采集场地collectionsite 采集个人人脸生物特征的活动场地。 3.4 采集部门collectiondepartment 采集个人人脸生物特征的组织。 3.5 可信身份核验verificationoftrustedidentity 人脸生物特征采集过程中，核验个人信息主体信息正确性、真实性的活动。 3.6 特征码featurecode 通过对人脸生物特征的技术处理，提取的人脸生物特征的唯一标识，且获取的唯一标识无法直接识 别或关联个人信息主体，也无法还原人脸生物特征。 注：人脸生物特征经过处理后所提取的特征码不属于个人信息。 3.7 商户commercialtenant 需要使用特征码的组织。 3.8 厂商vendor 提供软硬件设施的组织。 全国团体标准信息平台 24高校人脸识别基准库建设基本原则 高校人脸识别基准库建设应遵循合法安全、统一管理、公开透明的原则，具体包括： a)统一采集——由指定部门或组织在指定时间指定地点进行人脸生物特征采集。 b)统一管理——采集到的人脸生物特征交由一个部门或组织管理，并对其进行技术处理。 c)采集最小化——只采集需要录入高校人脸识别基准库的人脸生物特征。 d)安全保障——具备与所面临的安全风险想匹配的安全处理能力，并已有完善的安全管理措施和 技术手段，保护信息的安全。 e)公开透明——以明确、易懂和合理的方式告知个人信息主体信息采集的目的、范围、处理规则、 信息安全保障，并接受外部监督。 5人脸基准库建设基本框架 高校人脸识别基准库建设基本框架应与图1相符合。