近日，《信息安全技术人脸识别数据安全要求》国家标准（以下简称《国标要求》）征求意见稿面向社会公开征求意见。《国标要求》明确，收集人脸识别数据时应征得数据主体明示同意，不得利用人脸识别数据评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等情况。原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。《国标要求》要求，应同时提供非人脸识别的身份识别方式，并提供数据主体选择使用。不应收集未授权自然人的人脸图像。在自然人拒绝使用人脸识别功能或服务后，不应频繁提示以获取自然人对人脸识别方式的授权同意。不应因数据主体不同意收集人脸识别数据而拒绝数据主体使用基本业务功能。此外，《国标要求》对进行人脸识别的开发商提出了技术资质门槛，应采取安全措施存储和传输人脸识别数据。应具备与其所处理人脸识别数据的数量规模、处理方式等相适应的数据安全防护和个人信息保护能力。

 

针对人脸图像，《国标要求》应在完成验证或辨识后立即删除，若开发商希望存储人脸图像，要经过数据主体单独书面授权同意，书面授权形式包括通过合同书、信件、电报、传真、电子数据交换和电子邮件方式进行授权。《国标要求》提出，不应公开披露人脸识别数据，原则上不应共享、转让人脸识别数据。因业务需要，确需共享、转让的，应按照《个人信息安全影响评估指南》开展安全评估，并单独告知数据主体共享或转让的目的、接收方身份、接收方数据安全能力、数据类别、可能产生的影响等相关信息，并征得数据主体的书面授权。《国标要求》强调，在发生或者可能发生人脸识别数据泄露、损毁、丢失的情况时，应立即采取补救措施，按照规定及时告知数据主体，并向相关主管部门报告。此外，在我国境内收集或产生的人脸识别数据应在境内存储。因业务需要确需出境的，应按照个人信息出境相关规定进行安全评估。