标准规范下载简介
GB/T 41773-2022 信息安*技术 步态识别数据安*要求.pdfICS35.030 CCS L80
息安*技术步态识别数据安*要求
规范性引用文件 术语和定义 概述·……· 4.1步态识别数据活动 4.2步态识别典型场景 4.3步态识别数据活动安*风险 基本安*要求 数据收集 数据存储和传输 数据使用 数据加工、提供与公开. 0数据删除. 耐录A(资料性)步态识别数据常见安*风险 A.1安*风险描述 A.2常见安*风险与条款对照* 耐录B(资料性)科学实验场景知情同意书示例
河北省廊坊市某绿化工程施工组织设计GB/T 417732022
本文件规定了步态识别数据收集、存储、传输、使用、加工、提供、公开、删除等数据处理活动的安* 要求。 本文件适用于步态识别数据处理者规范数据处理活动,监管部门、第三方评估机构对步态识别数据 处理活动进行监督、管理、评估参照使用
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069信息安*技术术语 GB/T35273信息安*技术个*信息安*规范 GB/T37988信息安*技术数据安*能力成熟度模型 GB/T39335信息安*技术个*信息安*影响评估指南 GB/T40660信息安*技术生物特征识别信息保护基本要求 GB/T41479信息安*技术网络数据处理安*要求
GB/T25069、GB/T35273、GB/T37988、GB/T40660和GB/T41479界定的以及下列术语和定义 适用于本文件。 3.1 步态识别gaitrecognition 基于步态所包含的自然*生物学特性和行为特性对自然*进行辨识的技术。 注:步态识别除可用于身份识别应用场景外,也可用于非身份识别应用场景,如行为分析、姿态分析或异常分析等。 3.2 步态样本gaitsample 通过收集、预处理等方式获得的自然*的步态视频或图像序列。 注:步态样本包含自然*步态周期的原始(剪切)视频或连续图像序列,含有衣着、鞋帽、携带物等信息。 3.3 步态剪影gaitsilhouettes 步态样本经过分割后得到的序列。 注:步态样本处理后可以得到步态剪影,还可能得到*体部件分割图像序列、三维*体模型序列等。步态剪影通常 为黑白图,*体区域白色,背景区域黑色。 3.4 步态特征gaitfeature 从步态剪影中提取的用于比对的数据。
GB/T25069、GB/T35273、GB/T37988、GB/T40660和GB/T41479界定的以及下列术语和定义 适用于本文件。 3.1 步态识别gaitrecognition 基于步态所包含的自然*生物学特性和行为特性对自然*进行辨识的技术。 注:步态识别除可用于身份识别应用场景外,也可用于非身份识别应用场景,如行为分析、姿态分析或异常分析等。 3.2 步态样本gaitsample 通过收集、预处理等方式获得的自然*的步态视频或图像序列。 注:步态样本包含自然*步态周期的原始(剪切)视频或连续图像序列,含有衣着、鞋帽、携带物等信息。 3.3 步态剪影gaitsilhouettes 步态样本经过分割后得到的序列。 注:步态样本处理后可以得到步态剪影,还可能得到*体部件分割图像序列、三维*体模型序列等。步态剪影通常 为黑白图,*体区域白色,背景区域黑色。 3.4 步态特征gaitfeature 从步态剪影中提取的用于比对的数据。
注:常用的步态特征包括步态能量图(GEI)、步态熵图(GENI、步态光流图(GFI)以及时间保持步态图(CGI)等。 3.5 步态识别数据gaitrecognitiondata 步态样本及其处理得到的数据。 注:可单独或者结合其他数据识别自然*身份。 3.6 步态识别数据主体gaitrecognitiondatasubject 步态识别数据所标识或者关联的自然*。 注:简称“数据主体”
4.2步态识别典型场景
步态识别数据活动典型应用场景包括身份识别应用场景、非身份识别应用场景和科学实验场景。 身份识别应用场景是指步态识别数据用于识别数据主体身份的场景。典型应用场景包括远程身份 监控、步态门禁等。 非身份识别应用场景是指步态识别数据用于统计、检测或行为特征分析等活动的场景,不进行数据 主体身份识别或验证。典型应用场景包括教育培训领域的舞蹈姿态分析,医疗领域的早期病症诊断、步 态康复分析,社*治理领域的涉毒*员行为分析等。 科学实验场景是指步态识别数据用于开展与步态有关的科学实验活动的场景。典型应用场景包括 高校或科研机构进行步态识别或步态分析算法研究、开展算法竞赛或评比等。
4.3步态识别数据活动安*风险
步态识别数据活动中常见安*风险主要包括未经数据主体单独同意收集步态识别数据、紧耦合存 储步态识别数据和关联信息、超授权范围使用步态识别数据、篡改步态识别数据、混淆识别对象或改变 识别结果、数据传输或提供环节产生泄露、未删除授权过期的步态识别数据等风险,常见安*风险见附 录A。
对步态识别数据处理者的要求如下: 用步态识
对步态识别数据处理者的要求如下: a)收集步态识别数据时,应向数据主体告知步态识别数据的处理规则,包括但不限于
对步态识别数据处理者的要求如下: 2 )身份识别应用场景不应存储步态样本,仅可在建库时存储步态剪影和步态特征,数据主体单独 同意存储的除外; b)身份识别应用场景应分开存储步态识别数据和个*身份信息,并采用加密、访问控制等安* 措施; c)非身份识别应用场景存储数据主体主动上传原始视频信息时,应采用加密、访问控制等安*措 施,并保证原始视频信息的完整性; d)存储不同类型的步态识别数据时,应按类型分开存储并使用不同密钥分别加密; 注:步态识别数据包括:步态样本、步态剪影、步态特征等。 e)传输步态识别数据应采取加密等安*措施,保证数据保密性和完整性。
对步态识别数据处理者的要求如下: a) )从步态识别数据中提取其他生物特征识别数据,应重新取得数据主体的单独同意; 注:其他生物特征识别数据包括:声纹、*脸等。 b)基于数据分析结果推荐商业化产品、服务时,应遵循GB/T35273中对用户画像的使用限制条 件,并取得数据主体的单独同意; c) 采用交互式页面(如网站、移动互联网应用程序、客户端软件等)提供产品或服务的机构,应在 其交互页面提供便于数据主体查阅、复制、更正、删除、限制处理、转移个*信息,以及注销账 号、撤回处理个*信息同意等权利的功能; d)科学实验场景所处理的步态识别数据不应用于商业目的。
GB/T 417732022
对步态识别数据处理者的要求如下: a)应采用不可逆的数据处理过程。 注:如从视频提取步态样本的处理过程,步态样本不可恢复视额,不可逆定义见GB/T40660。 b)应根据业务情况确定数据提供的类型、方式、用途和数量,定义不同级别数据提供安*要求,数 据提供时应告知数据主体有关情况,并重新取得数据主体的同意。 c+ 因业务需要进行委托处理的,应选择具备步态数据安*保护及处理能力的委托方,应与受委托 方签署数据安*协议,内容包括但不仅限于明确委托内容、目的、双方责任义务。受委托方应 开放相关系统权限使委托方可对数据处理活动进行监督。 d)不应公开步态识别数据。 e) 在数据主体主动分享数据分析结果或动作评分前,宜告知数据主体分享内容中包含的敏感信 息的类型和可能产生的影响。
对步态识别数据处理者的要求如下: a) 对超过数据授权存储期限、数据主体授权撤回等的步态识别数据,应及时删除步态识别数 b) 2 步态识别数据处理目的已实现或相关项目已结项时,应及时删除步态识别数据; c 应确保被删除的步态识别数据不可恢复
附录A (资料性) 步态识别数据常见安*风险
步态识别数据常见安*风险包括: a)在步态识别数据收集活动中,数据主体未被告知步态识别数据处理目的或未*示单独同意即 被收集步态数据; b)在步态识别数据存储过程中,步态识别数据处理者未采用有效的安*措施和管理方法,如过度 存储步态识别数据、未采取加密措施等,产生敏感信息数据泄露、非法使用等风险; 示例1:过度存储数据包含:原始信息、*脸图像或第三者步态识别数据等。 c)在步态识别数据传输过程中,步态识别数据处理者未采用有效安*措施导致数据被泄露或被 窃取; d)在步态识别数据使用活动中,存在非身份识别数据被应用于身份识别场景、科研数据被应用于 商业场景等数据滥用的风险; e)在步态识别数据加工活动中,存在加工的目的、结果超出授权范围,或基于加工结果被滥用的 风险; 示例2:医疗康复场景,利用步态识别数据分析用户术后康复状况,用以推荐相应的康复项目;体育、艺术培训场 景,利用步态识别数据分析用户动作准确度,用以推荐相应的培训课程。 f)在步态特征提取过程中,步态识别数据处理者未采用相应的技术手段,导致提取过程或结果数 据被逆向还原,产生数据主体敏感信息泄露的风险; g)在步态识别数据提供活动中,步态识别数据处理者超出授权范围提供数据,导致数据泄露、滥 用风险; h)在步态识别数据处理者委托第三方处理步态识别数据的活动中,未采用有效监控,导致受委托 方产生数据泄露、滥用等风险; i)在步态识别数据公开披露活动中,步态识别数据处理者非法公开披露的风险; j)个*身份信息和步态识别数据在应用界面、网站页面等上展示时,步态识别数据处理者未采用 脱敏、去标识化等安*措施,或超出授权范围展示数据,造成数据泄露的风险; k)步态识别数据处理者未及时删除授权过期数据,或达到业务目的后继续存储数据,造成数据被 恢复、泄露的风险,导致数据主体权益受损
本文件针对步态识别数据的常见安*风险给出了相应的要求YD/T 3327-2018 电信和互联网服务用户个*信息保护技术要求即时通信服务.pdf,具体条款映射关系见*A.1
GB/T 417732022
步态识别数据常见安*风险与条款映射*(续)
科学实验场景知情同意书是科学实验场景中步态识别数据处理者遵循公开透明原则的重要 是保证数据主体知情权的重要手段,还是约束自身行为和配合监督管理的重要机制。科学实验场 青同意书示例见*B.1。
*B.1科学实验场景知情同意书示例
西安某化工公司构筑物轻型井点降水施工方案GB/T 417732022
*B.1 科学实验场景知情同意书示例(续)
[1]GB/T5271.37—2021信息技术词汇第37部分:生物特征识别 [2]GB35114一2017公共安*视频监控联网信息安*技术要求 [3]GB/T37964一2019信息安*技术个*信息去标识化指南 [4]GA/T1400(所有部分)公安视频图像信息应用系统 [5]中华**共和**法典(2020年5月28日第十三届********第三次*议通过) [6]中华**共和*个*信息保护法(2021年8月20日第十三届********常务委员* 第三十次*议通过)