近日，规范人脸识别技术的一项重要国家推荐性标准GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》（“《人脸识别数据安全要求》”或“正式稿”）正式由全国信息安全标准化委员会（“信安标委”）全文发布，并将于2023年5月1日正式生效实施。在信安标委今年4月份公布的征求意见稿的基础上，正式发布的《人脸识别数据安全要求》进一步优化了内容结构编排并针对人脸识别数据处理的全生命周期进一步细化和明确了安全要求，具有重要的实践指导意义。

人脸图像——是自然人脸部信息的模拟或数字表示，可从设备收集或通过视频、数字照片等获取，主要包括可见光图像、非可见光图像（如红外图像）、三维图像等类型。此一定义与征求意见稿描述基本一致。

人脸特征——是从人脸图像提取的反映自然人脸部信息特征的参数，该定义将征求意见稿的“反映数据主体的参数”进一步限定到“反映自然人脸部信息特征的参数”，外延更加准确和清晰。

人脸识别数据——是前述提及的人脸图像与人脸特征的统称。

（一）服务开启可选择、不诱导

（二）数据处理前开展个人信息保护影响评估

（三）敏感个人信息处理的单独同意或书面同意要求

（四）人脸识别数据安全管理

明确个人信息安全管理制度中应覆盖何种具体内容以明确人脸识别数据保护要求，同时对编写其中涉及的人脸识别处理规则进一步进行了内容指导。

在人脸识别数据泄露、篡改、丢失等情形之上，新增数据篡改、被非法获取、非法利用为安全事件类型，并明确此类事件发生时应立即启动应急预案以及所需采取的具体处置或补救措施。

● 收集——主动配合+持续告知：应采用需要数据主体主动配合的措施收集人脸识别数据，包括要求数据主体直视收集设备并作出目光注视、特定姿势、表情，或者通过标注了人脸识别应用的文字、图示、图标或符号的专用收集通道等；应用在识别过程中持续告知数据主体验证目的，并通过语言、文字等向数据主体进行提示。

● 存储：数据主体个人所有且具备人脸识别功能的信息技术产品，如移动智能终端、智能家居设备等，应将人脸识别数据存储在信息技术产品中，并可由数据主体删除。

需要注意的是，该本地设备存储的规则限于数据主体个人所有的硬件产品，像应用市场开放下载的APP产品一般不在此限。

● 使用：A.应在使用人脸识别数据识别自然人身份后立即删除用于识别的人脸图像。相比征求意见稿在征得数据主体“单独书面授权同意”后可存储人脸图像的规定，正式稿向前一步，删除了这一例外。B.人脸特征应具有可更新、不可逆、不可链接的特性。C.在本地和远程人脸识别方式均适用时，应优先使用本地人脸识别。D.应对人脸识别数据使用行为进行审计。我们理解此处延续了《个人信息保护法》的审计要求，可一并实施。

● 传输：数据处理者应采取双向身份鉴别、数据完备性校验、数据加密等措施保障人脸识别数据传输安全。

●提供、公开：在提供或委托处理人脸识别数据前，数据处理者需单独告知数据主体相关内容并征得数据主体的单独同意或书面同意。

针对委托处理行为，《个人信息保护法》并未提出单独同意或书面同意的要求，此处的规定向前迈进一步，规定更加严格，涉及和《个人信息保护法》的协调适用。

●删除：在《个人信息保护法》第四十七条规定的法定数据删除情形之外，《人脸识别数据安全要求》进一步将“数据主体一年未使用数据处理者提供的产品或服务”明确列为法定情形之一。此外，针对所有的法定删除情形还明确了15日的删除期限要求，不再限于数据主体提出相关权利请求时。