上海市地方標準

《公共場所人臉識別分級分類應用指南》

編制說明

一、任務來源

根據《上海市標準化條例》、《上海市地方標準管理辦法》，

由上海華東電信研究院提出立項，經上海市市場監(jiān)管局評審、公

示，于2021年6月16日，《公共場所人臉識別分級分類應用規(guī)

范》列入2021年第二批上海市地方標準修訂項目計劃（滬市監(jiān)

技標〔2021〕341號）。項目由上海市經濟和信息化委員會提出

并組織實施，上海市人工智能標準化技術委員會歸口，上海華東

電信研究院、上海市質量和標準化研究院、上海依圖網絡科技有

限公司、上海商湯智能科技有限公司、上海市人工智能行業(yè)協會

等單位共同起草。

二、背景情況

人臉識別是基于人的臉部特征信息進行身份識別的一種技

術，是人工智能領域發(fā)展最成熟、應用范圍最廣的技術之一。隨

著人臉識別算法技術不斷優(yōu)化、技術成熟度快速提升，人臉識別

在人們生活中的應用逐漸深入，人臉識別成為了人工智能應用落

地最快最廣泛的領域之一。在人臉識別為人們生活、工作帶來便

利的同時，也出現了技術濫用、隱私安全等問題，引發(fā)社會廣泛

關注。

近幾年，人臉識別已在安防、交通、金融、教育、支付等領

域已得到了廣泛應用，逐漸深入到人們生活的方方面面。如新冠

肺炎疫情爆發(fā)后，人臉識別和智能測溫技術在疫情防控和為有關

部門提供人員信息方面起到了重要支撐作用。然而在一些公共場

所的場景下，一些不規(guī)范的應用仍然導致不少問題,人臉識別技

術有被濫用、監(jiān)管缺失之嫌，比如侵犯消費者隱私、過度采集或

者濫用、泄露個人生物特征信息等，造成了惡劣的社會影響。

2021年初，時任上海市委書記李強提出規(guī)范本市人臉識別

技術應用的批示要求。同時，隨著《個人信息保護法》、《數據安

全法》、《網絡安全法》、《民法典》等相關法律法規(guī)的出臺，在開

展人臉識別業(yè)務時必須充分保障個人信息主體的權益，為用戶帶

來更多的安全性、便捷性，提高用戶辦事效率的同時，也不能侵

害個人信息主體的利益。所以在保障個人信息安全的前提下，通

過規(guī)范公共場所人臉識別應用原則和相應管理要求，不僅具有普

遍的社會意義，也能夠促進人臉識別行業(yè)健康有序發(fā)展。

本標準項目組根據《個人信息保護法》、《數據安全法》等相

關法律法規(guī)和標準規(guī)范的要求，聚焦于公共場所人臉識別系統建

設前的分級分類評估及其應用要求。在明確公共場所人臉識別應

用基本原則的基礎上，對公共場所不同人臉識別應用場景進行分

類，并根據人臉識別應用目的、底庫規(guī)模等風險因素進行綜合風

險值評估，進而對公共場所人臉識別應用進行風險分級，并基于

分級分類針對性地提出應用和管理方法，為規(guī)范應用人臉識別技

術、保護公民隱私、促進行業(yè)發(fā)展提供支撐。

三、編制過程

本標準的修訂主要包括以下幾個階段：

（一）立項準備階段（2021年2月—2021年3月）

2021年初，上海市經濟和信息化委員會人工智能發(fā)展處召

集相關單位組成標準編制項目組，項目組于2021年2月召開首

次工作會議，討論并確定本項目的重點任務、工作計劃和任務分

工。確定了由上海華東電信研究院、上海市人工智能行業(yè)協會、

上海市質量和標準化研究院、上海依圖網絡科技有限公司、上海

商湯智能科技有限公司組成的標準起草小組。

隨后，項目組系統查閱和梳理了關于人臉識別風險防控的國

內外文獻以及相關標準，并進行預調研，深入分析了上海本地人

臉識別的應用情況和風險現狀，初步形成《公共場所人臉識別分

級分類應用規(guī)范》的設計思路。

（二）標準起草（2021年3月—2021年4月）

2021年4月份召開了項目推進會議，根據前期準備工作進

一步明確本項目的具體方案和實施路徑。在起草小組的通力合作

下，初步確立了標準框架。工作組內部多次召開研討會，討論完

善框架內容并初步確立了標準要素，并據此起草了標準草案。

（三）立項申請階段（2021年4月—2021年6月）

項目組完成《上海市制修訂地方標準項目建議書》和《公共

場所人臉識別分級分類應用規(guī)范》標準草案，正式立項并完成立

項答辯。經上海市市場監(jiān)管局評審、公示，2021年6月項目獲

批。

同時，項目組廣泛征集參與單位，邀請公安部第三研究所、

上海計算機軟件技術開發(fā)中心、上海市大數據中心、華東師范大

學、同濟大學法學院、中國社科院、上海交通大學、上海人工智

能實驗室等單位的專家參與標準的編制和討論，開展了更廣泛的

理論研究和實際調研，形成了較為科學的標準框架和主要內容。

（四）集中編寫和討論階段（2021年7月—2022年12

月）

項目組按照GB/T1.1—2020的最新要求，進一步完善了標

準草案內容并撰寫了《地方標準編制說明》，組織了多輪內部討

論會，以專家學者、業(yè)務骨干座談會以及企業(yè)調研等形式進行深

入調研和討論，進一步提升了標準內容的科學性和可操作性，形

成標準征求意見稿。

（五）征集意見階段（2023年1月—2023年10月）

項目組、項目提出單位、人工智能標委會面向相關主管部門、

技術機構、高校、社會公眾等相關主體，開展線上、線下相結合，

會議、訪談、問卷等多種形式的公開意見收集，其中：

發(fā)送"征求意見稿"的單位數：31個。

收到"征求意見稿"后，回函的單位數：17個。

收到"征求意見稿"后，回函并有建議或意見的單位數：

9個。

沒有回函的單位數：14個。

標委會網絡系統專家給出建議和意見數：0個。

根據相關意見，項目組進一步完善標準內容，形成了標準送

審稿。

（六）送審稿階段（2023.10月）

2023年10月31日上海市市場監(jiān)督管理局組織召開了本標

準的審定會，與會專家聽取了標準起草組關于標準編制說明，標

準技術內容和征求意見匯總與處理的匯報，并對標準送審稿進行

逐條審議，提出了相關意見建議，并提出將標準名稱變更為《公

共場所人臉識別分級分類應用指南》。項目組采納了全部意見，

并對相關內容進行了完善。

四、標準編制原則

（一）規(guī)范性原則

標準內容符合國家和本市現行法律、法規(guī)和規(guī)范性文件以及

上海市市場監(jiān)督管理局的相關方針政策。

（二）科學性原則

標準科學性體現在項目成員構成、標準內容和研制過程三個

方面。一是標準項目組組織了哲學、倫理、法學、公共安全、人

臉識別技術、人臉識別技術應用等領域的專家學者，從不同維度

對標準內容進行充分廣泛的討論，以保證本標準立場的公平性和

科學性；二是本標準的風險評估方法通過廣泛討論確定，具體涉

及的參數也是通過廣泛調研、資料查詢、專家座談會獲取，體現

了標準內容編制方法論的科學性；三是標準的修訂過程嚴格遵循

上海市地方標準制修訂程序，堅持問計于民，廣泛召開座談會、

深入開展調研，確保標準修訂過程的科學性。

（三）系統性原則

本標準系統性地考慮了公共場所人臉識別應用事前、事中、

事后的管理閉環(huán)，立足于事前評估管理的基本定位，按照系統性

原則，與事中、事后管理需求緊密聯系，形成系統性方案。

（四）實用性原則

本標準提出的人臉識別分級分類評估方法立足實際，考慮評

估依據的可獲取性和方法的可操作性，為公共場所人臉識別事前

風險評估提供技術支撐，具備較強的實用性。

五、標準的主要技術內容

本標準以“分類分級”為總體思路，在對公共場所進行“分

類”的基礎上，進一步對人臉識別應用風險進行“量化”，并綜

合2個維度的分析結果，構建人臉識別技術在公共場所應用的

“分級”方法，提出不同應用場景下的分類分級方法，主要架構

分為“基本原則”、“分級分類方法”、“應用方法”和“附錄”等

部分。

本標準旨在為公共場所人臉識別技術的應用提供一個明確

的框架，確保技術的應用既能夠滿足社會管理的需求，又能夠保

護個人隱私和數據安全，同時符合法律法規(guī)的要求。通過制定和

實施這些標準，可以促進技術的健康發(fā)展，增強公眾對人臉識別

應用的信任。

（一）基本原則

《個人信息保護法》、《數據安全法》、《網絡安全法》以及《民

法典》等相關法律法規(guī)的出臺，為公共場所人臉識別技術的應用

提供了法律依據和規(guī)范框架。這些法律法規(guī)共同構成了個人信息

保護和數據安全的法律體系，確保了個人信息的合法收集、處理

和使用，強化了數據安全和網絡安全的保護措施，以及明確了個

人信息主體的權利和義務?；诖隧椖科鸩萁M認為，在公共場所

應用人臉識別技術時，必須遵守這些法律法規(guī)的要求，以保護個

人隱私和數據安全，維護網絡空間的秩序和安全。在應用層面的

分級分類原則條款制定時，需要強調：一是在收集和使用個人人

臉信息時必須遵循合理性原則，確保信息收集的最小必要性、目

的明確性和一致性；二是良性發(fā)展原則，要求系統建設和應用的

公開透明性和準入控制；三是權責一致原則，確保信息處理者明

確并承擔相應責任；四是安全性原則，強調事前風險評估、事中

安全保障和事后追溯機制；五是未成年人保護原則，要求在處理

未成年人信息時獲得監(jiān)護人同意并采取特殊保護措施。這些原則

共同構成了確保人臉識別技術合法、合規(guī)且安全應用的框架。

（二）分級分類方法

1.人臉識別公共場所分類

在標準研制階段，標準編制組認為，鑒于人臉識別技術具有

非接觸性、隱蔽性等特點，公眾在人臉識別技術面前實際上是完

全暴露，開放程度相同（100%），因此人臉識別分級分類應用從

“使用主體”角度來劃分相對比較科學。一般而言，政府社會管

理（toGovernment，簡稱toG）相關使用主體要求更加嚴格規(guī)

范；商業(yè)相關行業(yè)應用（toBusiness,簡稱toB）主體的個人

信息保護意識和管理水平相對較弱；公眾服務（toCustomer，

簡稱toC）相關主體能力介于前述二者之間，暫可認為與商業(yè)（toB）

相當。經組織企業(yè)座談和專家討論，將公共場所應用人臉識別的

常見應用場景分為社會管理、行業(yè)應用、其他三類。社會管理包

括公共安全、司法、政務、公共服務、交通以及其他具有社會管

理屬性的細分場景；行業(yè)應用包括金融、醫(yī)療、教育、建筑、房

地產、商業(yè)、娛樂等細分場景；其他包括社區(qū)和園區(qū)等細分場景。

2.綜合風險值評估

公共場所實施人臉識別時宜充分考慮的風險要素包括五項：

應用目的風險、底庫規(guī)模風險、覆蓋密度風險、管理水平風險和

網絡環(huán)境風險，見表1。

表1：人臉識別應用要素風險評估表

風險值參考

風險要素

取值范圍

安全防范1~3

應用目的人員管理2~4

（M）商業(yè)分析3~5

娛樂體驗4~5

底庫規(guī)模0~1000人1~2

（D）1000~10000人2~3

10000人及以上3~5

0~50路/平方公里1~2

覆蓋密度

50~100路/平方公里2~3

（F）

100路/平方公里以上3~5

政策和制度、機構和人員管理水平、

風險管理等方面水平分別達到或超

1~3

過GB/T20269—20066.3.2、6.3.3、

6.3.4的相關要求

政策和制度、機構和人員管理水平、

管理水平風險管理等方面水平分別達到GB/T

2~4

（G）20269—20066.2.2、6.2.3、6.2.4

的相關要求

政策和制度、機構和人員管理水平、

風險管理等方面水平分別達到GB/T

3~5

20269—20066.1.2、6.1.3、6.1.4

的相關要求

政府專網或離網1~3

網絡環(huán)境

局域網2~4

（W）

公網3~5

標準項目組邀請了來自權威產業(yè)研究機構、人臉識別研發(fā)頭

部企業(yè)、人臉識別應用單位、高校等17家單位參與討論，采用

層次分析賦權法，計算出各影響要素的權重，構建出的“人臉識

別應用綜合風險值”計算方法見公式(1)。標準編制過程中組織

了超過十次的全體或核心討論會議、發(fā)起了多次企業(yè)溝通和專家

座談、進行了兩次次問卷調研，從而確定了各項風險要素宜采用

的取值范圍可參考下表。

……(1)

式中：

R——表示綜合風險值；

M、D、F、G、W——分別表示五個單項風險得分。

3.公共場所人臉識別應用風險分級

標準編制組借鑒風險評估矩陣方法，綜合考慮上述“公共場

所分類”和“人臉識別應用綜合風險值”2大維度，將“公共場

所人臉識別應用風險等級”劃分為5級，如圖1所示。其中，綠

色（A）代表低風險，青色（B）代表中低風險，黃色（C）代表

中風險，棕色（D）代表中高風險，紅色（E）代表高風險。

圖1：公共場所人臉識別應用風險分級

（三）分級分類應用方法

1.應用概述

公共場所人臉識別應用宜遵循最小必要原則，具體分級如下：

A級（低風險）：認可使用；B級（中低風險）：允許使用；C級

（中風險）：適度使用；D級（中高風險）：審慎使用；E級（高

風險）：不應使用。鑒于當前社會管理領域人臉識別使用主體一

般具有較高的管理和技術水平，因此對于風險等級總體上進行了

降檔處理。公共安全、司法場景不做討論。另外，需要強調的是

高風險（E）等級，不應開展人臉識別應用。

2.應用主體條件

公共場所應用人臉識別需考慮各應用主體條件，包括使用主

體、實施主體以及其他服務提供方。雖然人臉識別應用風險等級

有高低之分，但對于人臉識別應用的使用和實施主體而言，有一

些管理要求是共性的、基礎的。

（1）對于使用主體而言，首先人臉識別系統的使用主體具

有良好的信用情況；其次應按照《個人信息保護法》、最高法關

于人臉識別的司法解釋等上位法要求，獲得人臉識別對象的正式

同意授權、在顯著位置設置采集提示標識；再次宜參照GB/T

20269—2006《信息安全技術信息系統安全管理要求》要求，做

好組織的策略和制度、機構和人員管理、風險管理等方面的要求；

最后，宜采用必要的安全技術確保系統和數據安全，并建立相應

的應急預案對使用中的危險行為進行溯源。

（2）對于實施主體而言，系統集成商和供應商宜通過質量

管理體系認證和信息安全管理體系認證，并取得符合國家或行業(yè)

要求的信息安全管理體系相關資質證書，以及根據業(yè)務需求所需

的其他特定資質證書。信息安全工程管理要求參考GB/T20282

—2006的規(guī)定。

（3）其他服務提供方管理參考GB/T32914—2016的規(guī)定。

3.實施環(huán)節(jié)及措施

人臉識別涉及的環(huán)節(jié)較多，因此有必要按照《個人信息保護

法》、GB/T35273—2020等法規(guī)、標準規(guī)范的要求，逐一對收集、

傳輸、存儲、使用、刪除等環(huán)節(jié)的要求進一步細化。應用人臉識

別逐一考慮這些環(huán)節(jié)可采取的技術措施，以及各環(huán)節(jié)的個人信息

主體、使用主體、人臉識別系統技術提供者或設備供應商等主體

的權限和責任。

4.不同應用等級建議采取的措施

不同應用等級建議采取的措施從“風險管理”、“抗攻擊能力”、

“安全管理制度”、“安全管理組織”、“安全管理人員”、“安全計

算環(huán)境”、“環(huán)境和資源”、“監(jiān)督和檢查管理”八個維度考慮，風

險水平越高對應越嚴格的措施。

（四）附錄

附錄A提供了一個關于公共場所人臉識別應用的分類說明，

這有助于理解和指導不同場景下的人臉識別技術應用。它包括了

場所的名稱、應用目的、必要性分析以及可能的替代方案，為人

臉識別技術的分級分類應用提供了實用的指導。

六、與國內外同類標準技術內容的對比情況

經查詢，國內外標準主要是從產品端開展，對于應用端特別

是涉及公眾利益、應用場景復雜的公共場所，并沒有給出相關的

應用規(guī)范。例如IEEEStd2790—2020《生物特征識別活體檢測

標準》、GB/T41819—2022《信息安全技術人臉識別數據安全要

求》、GB/T41772—2022《信息技術生物特征識別人臉識別系

統技術要求》以及GA/T1470—2018《安全防范人臉識別應用分

類》等。這些標準均是在產品端提供了詳盡的技術規(guī)范，它們在

應用層面，尤其是針對那些涉及公共利益且應用場景復雜的公共

場所，尚未提供充分的應用規(guī)范。《公共場所人臉識別分級分類

應用指南》則聚焦于公共場所用人臉識別系統的應用場景分類、

事前應用風險評估需考慮的因素、應用中需考慮的責任主體和實

施環(huán)節(jié)及措施等，旨在為公共場所人臉識別技術的應用提供明確

的指導，與相關標準并無沖突。

七、與有關法律、行政法規(guī)及相關標準的關系

本標準為推薦性標準,制定的內容符合各類法律法規(guī)要求。

經檢索，該標準為上海首創(chuàng)，無相關國外標準、國家標準以及行

業(yè)標準。本標準可與其它人臉識別相關的國家標準、行業(yè)標準、

地方標準等協調使用。

八、重大分歧意見的處理經過和依據

無。

九、實施標準的措施建議

本標準發(fā)布后將盡快組織宣貫，加大貫徹實施力度。第一，

在適用主體中推廣應用該標準，開展公共場所人臉識別分級分類

應用試點示范，形成經驗；第二，根據試點經驗，推動標準在應

用人臉識別的公共場景中的實施，切實提升公共場所人臉識別應

用安全；第三，廣泛收集意見和建議，及時歸納和總結，并不斷

完善標準，必要時提出標準修訂。

十、其他應當說明的事項

無。

上海市地方標準

《公共場所人臉識別分級分類應用指南》

編制說明

一、任務來源

根據《上海市標準化條例》、《上海市地方標準管理辦法》，

由上海華東電信研究院提出立項，經上海市市場監(jiān)管局評審、公

示，于2021年6月16日，《公共場所人臉識別分級分類應用規(guī)

范》列入2021年第二批上海市地方標準修訂項目計劃（滬市監(jiān)

技標〔2021〕341號）。項目由上海市經濟和信息化委員會提出

并組織實施，上海市人工智能標準化技術委員會歸口，上海華東

電信研究院、上海市質量和標準化研究院、上海依圖網絡科技有

限公司、上海商湯智能科技有限公司、上海市人工智能行業(yè)協會

等單位共同起草。

二、背景情況

人臉識別是基于人的臉部特征信息進行身份識別的一種技

術，是人工智能領域發(fā)展最成熟、應用范圍最廣的技術之一。隨

著人臉識別算法技術不斷優(yōu)化、技術成熟度快速提升，人臉識別

在人們生活中的應用逐漸深入，人臉識別成為了人工智能應用落

地最快最廣泛的領域之一。在人臉識別為人們生活、工作帶來便

利的同時，也出現了技術濫用、隱私安全等問題，引發(fā)社會廣泛

關注。

近幾年，人臉識別已在安防、交通、金融、教育、支付等領

域已得到了廣泛應用，逐漸深入到人們生活的方方面面。如新冠

肺炎疫情爆發(fā)后，人臉識別和智能測溫技術在疫情防控和為有關

部門提供人員信息方面起到了重要支撐作用。然而在一些公共場

所的場景下，一些不規(guī)范的應用仍然導致不少問題,人臉識別技

術有被濫用、監(jiān)管缺失之嫌，比如侵犯消費者隱私、過度采集或

者濫用、泄露個人生物特征信息等，造成了惡劣的社會影響。

2021年初，時任上海市委書記李強提出規(guī)范本市人臉識別

技術應用的批示要求。同時，隨著《個人信息保護法》、《數據安

全法》、《網絡安全法》、《民法典》等相關法律法規(guī)的出臺，在開

展人臉識別業(yè)務時必須充分保障個人信息主體的權益