2020年生物识别隐私保护研究报告.pdf

生物识别隐私保护  研究报告  （ 2020 年）  中国信息通信研究院 泰尔终端实验室  电信终端产业协会  中国互联网协会  互联网金融身份认证联盟  移动 APP创新 与 个人信息保护实验室  2020 年 10 月  版权声明本报告 版权属于中国信息通信研究院 、 电信终端 产业协会 、 中国互联网协会 、 互联网金融身份认证联盟 和 移动APP 创新 与 个人信息保护实验室 ，并受法律保护。转载、摘编或利用其它方式使用本 报告 文字或者观点的，应注明“来源： 中国信息通信研究院 、 电信终端产业协会、中国互联网协会、互联网金融身份认证联盟和移动 APP 创新与个人信息保护实验室 ”。违反上述声明者，将追究其相关法律责任。  前   言  当前，世界正处于新一轮科技革命和产业革命的变革浪潮中，以智能终端为代表的互联网产业已成为 “ 互联网 +” 的基础设施，是推动经济社会变革的重要力量。近年来，越来越多的智能终端及应用软件搭载生物识别技术，在金融科技、安防、民生、智慧家庭等领域广泛应用，为用户带来了更加便利的体验。随着产业的蓬勃发展，生物识别产业未来会进一步走向信息化、智能化。  目前，频频出现的用户个人信息泄露事件表明，以指纹、人脸、声纹、步态等为 代表的个人生物识别信息作为高度敏感的用户个人信息，存在一定的 隐私泄露和信息安全风险。为研究 生物识别 隐私保护 方面的风险和应对措施，维护用户合法权益，中国信息通信研究院泰尔终端实验室 、 电信终端产业协会、中国互 联网协会、互联网金融身份认证联盟和移动 APP 创新与个人信息保护实验室 联合制定与发布本报告。本 报告 着眼于生物识别产业现状， 基于国内外相关法律法规和标准规范， 阐述 生物识别隐私保护 面临的挑战，在设备、应用、算法等方面提出对生物识别信息的保护 要点 ，并倡议产业界落实企业主体责任，加强行业自律，强化产业协作体系，共筑生物识别隐私保护 的良好生态。  生物识别隐私保护 研究报告（ 2020）  目   录  一、  生物识别产业现状  . 1 （一）生物识别产业市场现状  . 1 （二）生物识别产业发展趋势  . 2 （三）生物识别隐私保护监管动态  . 3 二、  生物识别隐私保护面临的挑战  . 6 （一）特定生物识别模态信息保护缺少明确标准  . 6 （二）生物识别信息过度收集使用难识别难举证  . 7 （三）设备及应用抵抗呈现 攻击的水平参差不齐  . 7 （四）深度伪造生物识别信息难判定、难追溯  . 9 （五）生物识别算法缺陷引发高误识率  . 10 （六）传感器数据缺乏权限保护  . 10 （七）生物识别模型面临窃取风险  . 11 （八）供应链安全导致隐私泄露风险  . 11 三、  生物识别隐私保护要点  . 12 （一）  落实规定要求，及时自查自纠  . 12 （二）  对接国际规范，输出中国方案  . 12 （三）  健全标准体系，完善评价指标  . 12 （四）  提升安全能力，落实告知同意  . 13 （五）  构建评估机制，提升保护力度  . 13 （六）  加强技术研究，创新技术手段  . 13 （七）  赋能技术落地，推动产业升级  . 14 （八）  制定保护机制，完善供应链管理  . 14 四、  生物识别隐私保护行动倡议  . 14 （一）  加强行业自律，明确企业主体责任  . 15 （二）  依托公众监督，及时响应用户关切  . 15 （三）  规范信息共享规则，明确责任归属  . 15 生物识别隐私保护 研究报告（ 2020）  （四）  规范推送及权限调用，加强用户可知可控  . 16 （五）  提高应用防护能力，保障用户合法权益  . 16 （六）  规范平台信息声明，保证下载用户知情  . 16 （七）  完善安全审核职责，落实分发上架机制  . 17 （八）  鼓励各方合作共享，强化产业协作体系  . 17 生物识别隐私保护 研究报告（ 2020）  1 一、 生物识别产业现状  （ 一） 生物识别产业市场现状  全球生物识别产业近年来稳步增长。 自 2010 年以来，全球生物识别产业迅速增长，根据国际生物识别集团（ IBG）和美国咨询机构Transparency Market Research 数据显示，在 2017-2018 年，市场增速最快，增长率达到 22.28%； 在 2019 年之后呈现逐步平稳增长的趋势，至 2020 年将达到 233 亿美元。  图 1 全球生物特征识别技术市场规模  北美亚太在全球生物识别市场占比居前两位。 根据 IBG 最新报告显示，在生物识别产业中，北美地区占比居首，达到 33.5%；其次是亚太地区，为 23.8%；欧洲、中东和印度、中南美洲、非洲地区，市占率依次为 16.5%、 11.0%、 9.1%和 6.1%。美国是全球主要 的生物识别市场  ， “ 911” 事件发生后，全美在 115 座机场和 14 个主要港口生物识别隐私保护 研究报告（ 2020）  2 设立了 “ 美国访客和移民身份显示技术 ” 系统，采用指纹识别、人脸识别与虹膜识别等技术验证访客与移民信息；同时 27 个免签国公民去往美国，都必须持有生物识别护照。  图  2 全球生物特征识别市场占比  （二）生物识别产业发展趋势  近年来，我国生物特征识别产业发展迅速，产业链基本形成，市场规模快速增长，指纹识别所占份额仍处于高位，人脸识别市场规模不断扩大，各类生物识别市场蓬勃发展。我国移动终端生物特征识别发展呈现如下特点：  新技术不断涌现和落地，为生物识别带来技术突破。 以深度学习为代表的新技术与生物识别技术的融合，使识别技术不断出现新突破，识别的准确度大幅提高。  生物识别技术逐渐成熟，应用场景趋于复杂多样化。 不同应用场景，对识别技术的需求有所差异，针对不同的场景使用不同的识别技生物识别隐私保护 研究报告（ 2020）  3 术、或结合多种识别技术于一体，为不同的领域、行业、场景、应用提供定制化的识别技术，是生物识别技术产业未来发展的趋势。近年来，随着声纹、掌纹、静脉等识别技术取得重大突破，其产品得到了广泛的应用。未来，生物特征识别技术也将继续多元化发展。  多生物特征融合技术 广泛应用，以提升识别系统的安全与体验。由于客观条件变化的不可估计性，单生物特征识别技术往往会遇到难以克服的特例。而且在安全性要求极高的应用领域，单生物特征识别的性能很难达到预期的效果。因此，多生物特征识别技术越来越受到人们的关注。多生物特征识别技术利用了多个生物特征，结合数据融合技术，不仅提高了识别的准确性，而且扩大了多生物特征识别系统的应用范围，降低了多生物特征识别系统风险，是未来生物特征识别应用领域的趋势。  融合技术将引领产业升级，带来数字化新体验。 5G、人工智能、大数据、云计算、 AR 等技术与生物识别的 结合应用，使新需求和新愿景可以落地实现，赋能垂直行业，进一步引领产业升级，带来全息影像通话、可穿戴设备生物特征身份识别、基于眼球追踪的广告分析等应用场景。  （ 三 ） 生物识别隐私保护 监管动态  当前，世界主要国家高度重视对生物识别信息的保护，相关法律法规制定以及标准化工作有序开展。  欧美等国：立法先行，监管打击并举 。 欧美等地区对于生物特征信息保护的立法、实践较为完善，内容全面且具体，特别是美国相关生物识别隐私保护 研究报告（ 2020）  4 的立法原则，目前成为全球其他大多数国家、地区和国际组织的参考原则。  美国伊利诺伊州于 2008 颁布的生物信息隐私法案（ BIPA），是美国境内第一部规范生物标识和生物识别信息的收集、使用、保护、处理、存储和销毁的法律。 2018 年 6 月 28 日，加州颁布了 2018 年加州消费者隐私法案（ CCPA），旨在加强对用户生物信息等隐私数据的安全保护，该法案于 2020 年 1 月 1 日起正式实施。 2019 年 5 月，旧金山通过了停止秘密监 视条例，全面禁止市政府使用人脸识别技术，以防公权力机构的监视网络侵犯 个人隐私及其他权利。 2019年 6 月 28 日，两党议员分别在众议院、参议院同时提出的 2019 年深度伪造报告法案（ Deepfakes Report Act of 2019）要求国土安全部商有关部门对不断增长的深度伪造技术开展前瞻性研究，以评估防范这项新技术可能带来的风险及构成的威胁。  欧盟于 2018 年 5 月 25 日起正式施行通用数据保护条例（ GDPR），赋予欧盟用户控制个人数据的权利，明确给出了生物识别信息的定义，成为各国制定个人信息保护法案的重要参考。随后，印度、巴西等国家纷纷制定了数据保护的法律，对个人数据的收集和使用进行了明确规定。 GDPR 已引发全球立法规则进一步融合，同时，GDPR 执法案例也成为监管态势的重要参照。 自 GDPR 实施以来，欧盟已开具数百项罚单，对象包括英国航空、谷歌、万豪国际集团等企业和个人。  国内：法律法规不断完善，标准体系初步形成 。 2009 年，刑法生物识别隐私保护 研究报告（ 2020）  5 修正案（七）首次将窃取或以其他方式非法获取公民个人信息情节严重的行为规定为犯罪。 2012 年，全国人民代表大会常务委员会关于加强网络信息保护的决定规定了网络服务提供者在收集、使用、保管公民个人信息中应当遵循的原则、承担的义务及法律责任。 2016年，中华人民共和国网络安全法奠定了我国网络空间安全治理的法治化的基础，不仅明确地界定了个人信息的含义，把个人生 物识别信息纳入个人信息的范畴，同时还对个人信息的收集、存储、保管和使用进行了更详细、全面的规范，提出了 “ 最少够用原则 ” ，并规定了信息权利人删除权、知情权、更正权等。 2020 年，民法典人格权编加大了对公民隐私权的保护力度：完善个人信息的法律定义；明晰处理个人信息内涵、原则和条件；严格限制处理个人信息免责事由；保障信息主体的更正权与删除权；强化处理者的信息安全保障义务；明确机关、机构及人员的保密义务。 2013 年，工业和信息化部第 24号令电信和互联网用户个人信息保护规定，电信业务经营者、互联网信息服务提供 者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则。 2020 年 7 月 3 日，数据安全法（草案）正式向社会公开征求意见，规定了 “ 数据处理者的数据安全保护义务 ” ，明确规定了任何组织、个人收集数据，必须采取合法、正当的方式，不得窃取或者以其他非法方式获取数据，不得超过法律、行政法规规定的必要限度。与此同时，个人信息保护法也在制定过程中。  2020 年，信息安全技术  个人信息安全规范正式发布，并于