T AII 001-2021 人臉識別安全技術(shù)規(guī)范

準(zhǔn)TechnicalSpecificationfo深圳市人工智能行業(yè)協(xié)會發(fā)布IT/AII001-2021 II III 12規(guī)范性引用文件 13術(shù)語和定義 14人臉識別安全技術(shù)架構(gòu) 34.1人臉識別應(yīng)用系統(tǒng)架構(gòu) 34.2人臉識別安全技術(shù)架構(gòu) 35活體檢測 45.1活體檢測概述 45.2活體檢測手段 46數(shù)字合成內(nèi)容取證 56.1概述 56.2取證方法 67模型安全防御規(guī)范 67.1模型安全性概述 67.2常見攻擊防范 68數(shù)據(jù)安全 78.1數(shù)據(jù)安全概述及基本要求 78.2處理規(guī)范 79性能指標(biāo) 99.1活體性能指標(biāo) 99.2內(nèi)容取證性能指標(biāo) 109.3模型安全指標(biāo) 10附錄A（資料性）性能測試參考方案 13A.1活體測試 13A.2內(nèi)容取證測試 15A.3模型安全測試 16T/AII001-2021本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則—第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由深圳市人工智能行業(yè)協(xié)會提出并歸口。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件負(fù)責(zé)起草單位：騰訊科技（上海）有限公司、騰訊云計算(北京)有限責(zé)任公司、深圳市人工智能行業(yè)協(xié)會、京東科技控股股份有限公司、深圳市華賽睿飛智能科技有限公司、上海計算機軟件技術(shù)開發(fā)中心、上海交通大學(xué)、華東師范大學(xué)。本文件主要起草人：黃飛躍、李季檁、丁守鴻、吳雙、李博、畢明偉、姚太平、劉海濤、鄧瑩婷、郎麗艷、王輝、錢麗玲、林必毅、孫凱、陳敏剛、盛斌、賀樑、李博、王啟立。本文件為首次發(fā)布。T/AII001-2021人臉識別（FaceRecognition）是一種以人的面部特征信息為核心進行身份識別的技術(shù)。近年來，隨著人工智能、計算機視覺、云計算等技術(shù)的迅速發(fā)展，人臉識別技術(shù)獲得了長足的進步并日臻趨于完善。簡單易用的人臉識別技術(shù)伴隨著互聯(lián)網(wǎng)的發(fā)展越來越多地被應(yīng)用于社會的各行各業(yè)。與此同時，人臉識別系統(tǒng)也面臨著潛在的安全風(fēng)險，攻擊者嘗試用各種手段破壞人臉識別系統(tǒng)的安全穩(wěn)定運行，嚴(yán)重威脅到了系統(tǒng)使用者的生命與財產(chǎn)安全。目前市場上有些人臉識別系統(tǒng)中嵌入了如人臉活體檢測技術(shù)的安全模組，但并沒有統(tǒng)一的安全技術(shù)規(guī)范，各個廠家自成體系，系統(tǒng)的安全性參差不齊，同時沒有統(tǒng)一衡量標(biāo)準(zhǔn)，一定程度上阻礙了人臉識別發(fā)展。本規(guī)范以保障人臉識別系統(tǒng)的安全性為目標(biāo)，提出了人臉識別技術(shù)安全規(guī)范，明確了人臉識別應(yīng)用算法框架中內(nèi)容安全和基礎(chǔ)安全兩大安全組件。通過對安全威脅的細(xì)化分類，可以引導(dǎo)從事相關(guān)業(yè)務(wù)的單位對不同安全風(fēng)險進行有針對性地防范，以提升人臉識別系統(tǒng)的安全性。同時，本標(biāo)準(zhǔn)的提出也有利于上級監(jiān)管部門與不同公司在統(tǒng)一的安全威脅下進行評測對比。引導(dǎo)并促進人臉識別技術(shù)安全健康地發(fā)展。1T/AII001-2021人臉識別安全技術(shù)規(guī)范本文件規(guī)定了人臉識別系統(tǒng)在活體檢測、數(shù)字合成內(nèi)容取證、數(shù)據(jù)安全和模型安全等方面的技術(shù)要求。本文件適用于人臉識別系統(tǒng)的設(shè)計、技術(shù)開發(fā)、測試和管理。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T20273-2006信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T26238-2010信息技術(shù)生物特征識別術(shù)語GB/T29268.1-2012信息技術(shù)生物特征識別性能測試和報告原則與框架（ISO/IEC19795-1）GB/T38671-2020信息安全技術(shù)遠程人臉識別系統(tǒng)技術(shù)要GB/T35678-2017公共安全人臉識別應(yīng)用圖像技術(shù)要求GB/T31488-2015安全防范視頻監(jiān)控人臉識別系統(tǒng)技術(shù)要求3術(shù)語和定義GB/T20271-2006、GB/T26238-2010和GB/T29268.1-2012確立的以及下列術(shù)語和定義適用于本文件。3.1生物特征識別biometricrecognition基于個體的行為特征和生物學(xué)特征，對該個體進行的自動識別。3.2人臉識別facerecognition以人臉特征作為識別人體身份的一種人體生物特征識別方法。其通過分析提取用戶人臉圖像數(shù)字特征產(chǎn)生樣本特征序列，并將該樣本特征序列與已存儲的模板特征序列進行比對，用以識別用戶身份。3.3人臉識別系統(tǒng)facerecognitionsystem實現(xiàn)人臉識別功能的專用信息處理系統(tǒng)。人臉識別系統(tǒng)可以是一個由獨立軟硬件構(gòu)成的獨立系統(tǒng)，也可以是在信息系統(tǒng)已有平臺上運行的計算機系統(tǒng)。2T/AII001-20213.4人臉識別身份認(rèn)證系統(tǒng)Face-basedIdentityAuthenticationSystem指采用人臉識別技術(shù)，提供人臉用戶身份認(rèn)證的系統(tǒng)。3.5人臉圖像采集模塊faceimagecapturemodule人臉識別系統(tǒng)的一個模塊，用于進行人臉圖像采集。3.6用戶user指人臉識別系統(tǒng)用以識別的對象。3.7用戶登記userenrollment分析提取用戶人臉圖像數(shù)字特征、產(chǎn)生并存儲模板特征序列的過程。3.8人臉驗證faceverification人臉識別應(yīng)用之一，將所產(chǎn)生的樣本特征序列與按用戶標(biāo)識信息所給定的已存儲的用戶的模板特征序列進行比對（1：1比對），以確認(rèn)用戶是否為所聲明的身份。3.9人臉辨認(rèn)faceidentification人臉識別應(yīng)用之一，將所產(chǎn)生的樣本特征序列與已存儲的指定范圍內(nèi)的所有模板特征序列進行比對（1：N比對），確定用戶身份。3.10候選者candidate通過用戶辨認(rèn)所確定的用戶。該用戶是在已進行過用戶登記的所有用戶中選出的符合當(dāng)前樣本特征序列數(shù)據(jù)要求的用戶。3.11相似度similarity兩個生物特性相似程度的一個實數(shù)；數(shù)值越大兩個生物特性越相似。3.12閾值threshold做出判定所依據(jù)的邊界值（或值集）。3.13錯誤接受率（FAR）falseacceptrate(FAR)人臉驗證過程中，發(fā)生錯誤接受的次數(shù)占冒充者比對總次數(shù)的比率，用百分比表示。3.14錯誤拒絕率（FRR）falserejectrate(FRR)人臉驗證過程中，發(fā)生錯誤拒絕的次數(shù)占真實人比對總數(shù)的比率，用百分比表示。3.15誤識falsealarm人臉辨認(rèn)過程中，非目標(biāo)人被判為目標(biāo)人。3.16辨認(rèn)識別率detectionandidentificationrate人臉辨認(rèn)過程中，正確判定目標(biāo)人身份次數(shù)占目標(biāo)人出現(xiàn)總次數(shù)的比率，用百分比表示。3T/AII001-20213.17誤識率falsealarmrate人臉辨認(rèn)過程中，錯誤識別次數(shù)占非目標(biāo)人出現(xiàn)總次數(shù)的比率，用百分比表示。4人臉識別安全技術(shù)架構(gòu)4.1人臉識別應(yīng)用系統(tǒng)架構(gòu)人臉識別應(yīng)用包含了人臉數(shù)據(jù)采集、人臉數(shù)據(jù)處理、人臉注冊數(shù)據(jù)、人臉特征提取和人臉數(shù)據(jù)對比等重要模塊，其中本規(guī)范涉及到的安全模塊包括了內(nèi)容安全和基礎(chǔ)安全。人臉識別應(yīng)用系統(tǒng)架構(gòu)見圖1。圖1人臉識別應(yīng)用系統(tǒng)框圖1)人臉數(shù)據(jù)采集：此模塊負(fù)責(zé)對人臉以及其它多因子生物信息進行采集；2)人臉數(shù)據(jù)處理：主要負(fù)責(zé)對人臉數(shù)據(jù)采集模塊采集的信息進行處理，從而篩選出質(zhì)量較高的人臉用于后續(xù)的識別，一般包含以圖像處理等算法為基礎(chǔ)的活體檢測與內(nèi)容取證；3)人臉特征提?。捍四K負(fù)責(zé)對人臉及其它多因子生物信息進行特征的抽取與加工；4)人臉比對：此為服務(wù)端核心算法，對兩張人臉提取到的特征進行相似度對比，一般包含1:1對比用于人臉驗證和1：N對比用于人臉辨識。5)內(nèi)容安全：應(yīng)提供活體檢測和內(nèi)容取證功能；6)基礎(chǔ)安全：應(yīng)提供數(shù)據(jù)安全管理功能和對抗攻擊防范功能。4.2人臉識別安全技術(shù)架構(gòu)本文涉及的人臉安全功能包含內(nèi)容安全和基礎(chǔ)安全兩部分，其中內(nèi)容安全部分包含了活體檢測和內(nèi)容取證兩大模塊；基礎(chǔ)安全包含了數(shù)據(jù)安全和模型安全兩大模塊。人臉安全技術(shù)架構(gòu)見圖2。4T/AII001-2021圖2人臉識別安全技術(shù)架構(gòu)1)活體檢測：應(yīng)提供靜默活體、動作活體、語音活體、光纖活體和多模態(tài)活體檢測功2)內(nèi)容取證：應(yīng)提供圖像內(nèi)容取證和視頻內(nèi)容取證功能；3)數(shù)據(jù)安全：應(yīng)提供采集、存儲、使用、委托、共享、轉(zhuǎn)讓、公開披露各個階段的數(shù)據(jù)安全功能；4)模型安全：應(yīng)提供對抗攻擊防范、竊取攻擊防范、數(shù)據(jù)投毒防范和后門攻擊防范功5活體檢測5.1活體檢測概述活體檢測指在一些身份驗證場景中確定對象真實生理特征的方法。在人臉識別應(yīng)用中，一般使用攝像頭拍攝及采集人臉圖像的同時，結(jié)合云端人臉防偽檢測技術(shù)，判斷圖像是否來自真人，有效防范紙質(zhì)圖片、屏幕翻拍、面具模型、合成換臉等類別的攻擊，保證人臉信息的真實有效性。5.2活體檢測手段5.2.1靜默活體檢測靜默活體是指無需檢測主體做主動式反應(yīng)，直接基于采集的圖片或視頻內(nèi)容進行分析，包括但不限于背景、光線、色差等，最終作出活體判斷。人臉識別應(yīng)用系統(tǒng)應(yīng)支持靜默活體檢測。5.2.2動作活體檢測動作活體指根據(jù)檢測主體的主動式反應(yīng)進行活體檢測的方式。一般通過指令要求客戶進行相關(guān)操作并判斷人臉的真實有效性，指令動作可以包括但不限于點頭、抬頭、左右轉(zhuǎn)頭、5T/AII001-2021張嘴、眨眼等。人臉識別應(yīng)用系統(tǒng)應(yīng)支持動作活體檢測。5.2.3光線活體檢測光線活體指通過驅(qū)動屏幕顏色變化并采集該過程中的人臉響應(yīng)信息來檢測是否為活體的技術(shù)。人臉識別應(yīng)用系統(tǒng)應(yīng)支持光線活體檢測。5.2.4多模態(tài)活體檢測多模態(tài)活體（深度，紅外，RGB，聲紋，唇語）是指同時利用多種模態(tài)信息進行組合式的活體檢測，應(yīng)支持但不限于以下模態(tài)：a）3D活體檢測：根據(jù)檢測主體的3D深度信息進行活體檢測，檢測主體的輪廓信息是否為真實有效的主體。b）紅外活體檢測：根據(jù)檢測主體的近紅外成像進行活體檢測，直接利用不同材質(zhì)對近紅外光的吸收/反射率的不同導(dǎo)致的成像差異進行判斷。c）熱紅外活體檢測：根據(jù)檢測主體的體溫特征進行活體檢測，直接利用熱成像設(shè)備獲取檢測主體的面部溫度分布圖進行判斷。d）RGB活體檢測：根據(jù)檢測主體的RGB圖像進行活體檢測，通過人臉的外觀圖像特征以及底層紋理特征進行判斷。e）唇語活體檢測：根據(jù)檢測主體的主動式反應(yīng)進行活體檢測，通過指令要求主體讀出屏幕上顯示的數(shù)字進行唇音一致性判斷等方法來判斷主體是否為真實有效的人臉。f）聲紋活體檢測：根據(jù)檢測主體的聲紋特征進行活體檢測，通過指令要求主體讀出屏幕上顯示的數(shù)字等交互方式提取主體的聲紋特征進行判斷。g）超聲波活體檢測：根據(jù)檢測主體的主動式反應(yīng)進行活體檢測，通過指令要求主體作出一些動作，如搖頭、點頭、張嘴等，利用終端設(shè)備發(fā)射出的超聲波的反射變化進行判斷。以上這些活體檢測可以根據(jù)需要進行優(yōu)選擇的組合使用，以期達到最優(yōu)用戶體驗與檢測效果。人臉識別應(yīng)用系統(tǒng)應(yīng)支持多模態(tài)活體檢測。6數(shù)字合成內(nèi)容取證6.1概述數(shù)字合成內(nèi)容取證是指在人臉識別系統(tǒng)中對輸入的人臉圖像或視頻進行鑒別，判斷數(shù)字內(nèi)容的真實性、完整性和原始性，應(yīng)支持但不限于對以下人臉編輯方法進行有效鑒別：以及人工photoshop編輯等;b）人臉替換：替換主體的人臉內(nèi)容為另一主體的人臉內(nèi)容，常用的方法有Deepfake,FaceSwap以及人工photoshop編輯等;c）人臉屬性編輯：對人臉的屬性內(nèi)容（膚色、性別、年齡等）進行修改，常用的方法有StarGAN以及人工photoshop編輯等;d）人臉表情編輯：對主體的面部表情進行編輯，例如遷移另一主體的表情，常用的方法有Face2Face以及人工photoshop編輯等。6T/AII001-2021數(shù)字合成內(nèi)容取證應(yīng)支持圖像內(nèi)容取證和視頻內(nèi)容取證。6.2取證方法6.2.1圖像內(nèi)容取證圖像內(nèi)容取證是指對輸入的圖像內(nèi)容進行分析，應(yīng)支持但不限于色彩、紋理和頻域分布等，來判斷該圖像內(nèi)容是否為原始真實內(nèi)容6.2.2視頻內(nèi)容取證視頻內(nèi)容取證是指對輸入的視頻內(nèi)容進行分析，應(yīng)支持利用多幀時序信息來判斷該視頻內(nèi)容是否為原始真實內(nèi)容。7模型安全防御規(guī)范7.1模型安全性概述本章所指模型安全為人臉識別系統(tǒng)中的人工智能算法從模型訓(xùn)練到模型使用應(yīng)具備的安全性能，需效防御投毒、后門、對抗、竊取等多種攻擊，防范攻擊能力等應(yīng)至少滿足以下安全要求。7.2常見攻擊防范7.2.1對抗攻擊防范對抗樣本攻擊通過精心設(shè)計的輸入樣本誤導(dǎo)人工智能算法。對抗樣本為在正常人臉圖像上添加人眼不易分辨的擾動，欺騙人工智能算法。對抗攻擊可以發(fā)生在數(shù)字空間，也可以通過物理手段在真實世界構(gòu)造。人臉識別系統(tǒng)中的人工智能算法應(yīng)有效防御對抗樣本攻擊，包括但不限于FGSM、DeepFool、C/W、PGD等算法生成的以及通過查詢或者遷移方式生成的黑盒對抗樣本攻擊?？赏ㄟ^安全防御措施提升人工智能算法魯棒性，有效抵御對抗攻擊，包括但不限于以下方式：a）人工智能算法模型訓(xùn)練階段可將對抗樣本加入訓(xùn)練數(shù)據(jù)集，構(gòu)建高容忍擾動的人工智能算法，有效抵抗對抗樣本攻擊；b）人工智能算法模型使用階段可添加對抗樣本檢測模塊，有效過濾對抗樣本；c）人工智能算法模型可采用網(wǎng)絡(luò)蒸餾技術(shù)降低模型對微小擾動的敏感度，提高模型魯棒性；d）應(yīng)盡量避免直接使用常見的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)作為算法模型的骨干網(wǎng)絡(luò)，提升模型對遷移性攻擊的魯棒性。7.2.2竊取攻擊防范人工智能算法應(yīng)對模型竊取攻擊進行有效防范，避免模型泄露，應(yīng)滿足以下安全性要求：a）應(yīng)加強人工智能算法關(guān)于訓(xùn)練數(shù)據(jù)、模型的傳輸、存儲等方面的安全管理，防范模型被竊?。籦）應(yīng)保障人工智能算法訓(xùn)練步驟安全，防范訓(xùn)練過程被竊取導(dǎo)致訓(xùn)練信息泄露，進而惡意構(gòu)建相似模型；7T/AII001-2021c）應(yīng)限制算法模型的查詢次數(shù)，只輸出模型結(jié)果，隱藏模型輸出細(xì)節(jié)；d）人工智能算法模型應(yīng)具有辨識度，一旦出現(xiàn)惡意偽構(gòu)模型，應(yīng)能夠通過合適途徑辨別真?zhèn)?，如模型添加水印等方法?.2.3數(shù)據(jù)投毒防范投毒攻擊是指在模型訓(xùn)練時通過污染部分訓(xùn)練數(shù)據(jù)，從而達到惡意操縱模型的攻擊。人工智能算法應(yīng)對投毒攻擊進行防范，有效挑揀出訓(xùn)練數(shù)據(jù)中的藥餌數(shù)據(jù)，避免訓(xùn)練數(shù)據(jù)被投毒。人工智能算法為有效防范投毒攻擊應(yīng)滿足以下安全性要求：a）應(yīng)確保訓(xùn)練數(shù)據(jù)來源可信、可靠，避免采集到污染數(shù)據(jù)；b）應(yīng)加強訓(xùn)練數(shù)據(jù)存儲、使用等環(huán)節(jié)安全管理，防范訓(xùn)練數(shù)據(jù)被投毒；c）應(yīng)確保訓(xùn)練數(shù)據(jù)分布合理，防止污染攻擊數(shù)據(jù)點混入，造成模型傾斜等錯誤狀況；d）宜采用回歸分析等方法利用訓(xùn)練數(shù)據(jù)的特性檢測與過濾數(shù)據(jù)集中的噪聲和異常值，防止數(shù)據(jù)投毒攻擊；e）宜采用集成分析等方式通過采用獨立訓(xùn)練的多個子模型綜合結(jié)果提升人工智能算法抗投毒攻擊的能力；f）不宜使用完全公開的模型進行遷移學(xué)習(xí)，提升投毒攻擊的難度。7.2.4后門攻擊防范后門攻擊是一種新興的針對人工智能算法模型的攻擊方式攻擊者會在模型中植入后門，使得模型被感染。通常情況下模型表現(xiàn)正常，但當(dāng)后門被激活時，模型的輸出將變?yōu)楣粽哳A(yù)先設(shè)置的惡意目標(biāo)。人臉識別系統(tǒng)中的人工智能算法模型應(yīng)有效防御后門攻擊，包括但不限于以下手段：a）在算法應(yīng)用時，宜對輸入預(yù)處理，過濾掉能觸發(fā)后門的輸入，降低輸入觸發(fā)后門、改變模型判斷的風(fēng)險，防范后門攻擊。b）可采用模型剪枝、再訓(xùn)練技術(shù)對模型進行重建，破壞模型中可能埋藏的后門。8數(shù)據(jù)安全8.1數(shù)據(jù)安全概述及基本要求本章所指的數(shù)據(jù)安全為人臉識別系統(tǒng)安全中的重要基礎(chǔ)組成部分，描述了數(shù)據(jù)控制者在人臉相關(guān)數(shù)據(jù)的采集、存儲、使用以及委托、共享轉(zhuǎn)讓和公開披露等過程中應(yīng)該遵守的安全規(guī)范。數(shù)據(jù)安全的基本要求包括：a）處理人臉識別數(shù)據(jù)時應(yīng)遵循最小必要原則。b）不應(yīng)收集未授權(quán)自然人的人臉圖像。c）應(yīng)具備與其所處理人臉識別數(shù)據(jù)的數(shù)量規(guī)模、處理方式等相適應(yīng)的數(shù)據(jù)安全防護和個人信息保護能力。8.2處理規(guī)范8.2.1采集規(guī)范a）采集人臉識別數(shù)據(jù)時，應(yīng)向數(shù)據(jù)主體告知收集規(guī)則，包括但不限于收集目的、數(shù)據(jù)類型和數(shù)量、處理方式、存儲時間等，并征得數(shù)據(jù)主體明示同意。8T/AII001-2021b）用于采集人臉識別數(shù)據(jù)的設(shè)備應(yīng)遵循相關(guān)標(biāo)準(zhǔn)要求。c）在滿足應(yīng)用場景安全要求前提下，應(yīng)僅收集用于生成人臉特征所需的最小數(shù)量、最少圖像類型的人臉圖像。d）采集得到的人臉識別數(shù)據(jù)應(yīng)滿足以下質(zhì)量要求：表1人臉圖像質(zhì)量要素序號類型1人臉姿態(tài)包括但不限于大小、角度、完整度等2圖像質(zhì)量包括但不限于分辨率、清晰度等3光線條件包括但不限于正常光、強光、弱光、逆光等4場景條件包括但不限于室內(nèi)、室外等多場景等表2人臉視頻質(zhì)量要素序號類型1人臉姿態(tài)包括但不限于大小、角度、完整度等2視頻質(zhì)量包括但不限于分辨率、清晰度、幀率、時長、穩(wěn)定性等3光線條件包括但不限于正常光、強光、弱光、逆光等4場景條件包括但不限于室內(nèi)、室外等多場景等5動作條件包括但不限于靜止、眨眼、張嘴、搖頭、點頭、晃動等e）人臉圖像、視頻數(shù)據(jù)質(zhì)量應(yīng)滿足包括但不限于表3所示要求:表3人臉數(shù)據(jù)質(zhì)量要求序號具體要求1圖像尺寸分辨率≥640*4802人臉大小人臉區(qū)域大小≥100*100兩眼瞳間距應(yīng)≥60，宜≥903清晰度高斯模糊<0.24運動模糊<0.15拉普拉斯方差≥5004姿態(tài)水平轉(zhuǎn)動角(°)[-20,20]俯角(°)<20仰角(°)>-20傾斜角(°)[-20,20]5完整度幾何失真度≤5%眉毛可見度=100%眼睛可見度=100%鼻子可見度=100%嘴巴可見度=100%面頰皮膚可見度=100%9T/AII001-2021表3人臉數(shù)據(jù)質(zhì)量要求(續(xù)）序號具體要求6保真度無過渡化妝7光照光照均勻，對比度適中無光斑和陰陽臉整體無過曝和欠曝灰度級=2568表情無過渡夸張表情注1：人臉姿態(tài)的定義參考GB/T35678-2017,3.3。注2：特殊應(yīng)用，如居民身份證數(shù)字相片、護照相片標(biāo)準(zhǔn)參考相關(guān)標(biāo)準(zhǔn)和規(guī)注3：人臉樣本整體模糊程度的計算可參考GB/T33767.5-2018,7.4.7或《Diatomautofocusinginbrightfieldmicroscopy:acomparativestudy》。8.2.2存儲規(guī)范a）在未經(jīng)過授權(quán)同意的情況下，不應(yīng)該存儲人臉圖像等數(shù)據(jù)。b）在授權(quán)到期或撤回授權(quán)的情況下，應(yīng)刪除人臉數(shù)據(jù)或進行匿名化處理。c）應(yīng)采取安全措施存儲和傳輸人臉識別數(shù)據(jù)，包括但不限于加密存儲和傳輸人臉識別數(shù)據(jù)，采用物理或邏輯隔離方式分別存儲人臉識別數(shù)據(jù)和個人身份信息等。8.2.3使用規(guī)范a）應(yīng)在完成驗證或辨識后立即刪除人臉圖像。b）應(yīng)對提取的人臉特征進行加密處理，提升特征的不可逆性，即難以從特征中逆向恢復(fù)出人臉圖像。8.2.4委托、共享、轉(zhuǎn)讓、公開披露規(guī)范1)不應(yīng)公開披露人臉識別數(shù)據(jù)，原則上不應(yīng)共享、轉(zhuǎn)讓人臉識別數(shù)據(jù)。因業(yè)務(wù)需要，確需共享、轉(zhuǎn)讓的，應(yīng)按照GB/TCCCCC《個人信息安全影響評估指南》開展安全評估，并單獨告知數(shù)據(jù)主體共享或轉(zhuǎn)讓的目的、接收方身份、接收方數(shù)據(jù)安全能力、數(shù)據(jù)類別、可能產(chǎn)生的影響等相關(guān)信息，并征得數(shù)據(jù)主體的書面授權(quán)。2)原則上不應(yīng)進行委托處理，確需委托處理的，應(yīng)在委托處理前審核受委托者的數(shù)據(jù)安全能力，并對委托處理行為開展個人信息安全影響評估。9性能指標(biāo)9.1活體性能指標(biāo)真人通過率：測試用例為真人，被正確判斷為真人的概率攻擊誤過率：測試用例為攻擊，但被誤判為真人的概率活體性能指標(biāo)要求如表4所示：T/AII001-2021表4活體性能指標(biāo)要求活體項目一級安全指標(biāo)二級安全指標(biāo)真人通過率攻擊誤過率真人通過率攻擊誤過率活體類型＜0.1%9.2內(nèi)容取證性能指標(biāo)數(shù)字內(nèi)容取證應(yīng)能防范多種人臉內(nèi)容篡改方法，包括但不限于人臉生成，人臉替換，人臉屬性編輯和人臉表情編輯等。內(nèi)容取證指標(biāo)為對真人和攻擊的整體鑒別準(zhǔn)確率數(shù)字內(nèi)容取證性能指標(biāo)要求如表5所示。表5數(shù)字內(nèi)容取證性能指標(biāo)要求9.3模型安全指標(biāo)a）對抗攻擊防御指標(biāo)以人臉識別系統(tǒng)中FAR為一百萬分之一時采用的相似度得分閾值為基準(zhǔn)，如果攻擊后的人臉與目標(biāo)人臉之間的相似度大于該閾值，則認(rèn)為攻擊成功，反之則不成功，攻擊成功的人臉對抗樣本與全部測試樣本之間的比值為攻擊成功率ASR(AttackSuccessfulRate)。其中，數(shù)字域?qū)构舭缀谐晒β?lt;50%；黑盒物理攻擊在現(xiàn)實人臉識別應(yīng)用場景中威脅更大，具體安全指標(biāo)見下表：表6物理對抗防御性能指標(biāo)要求攻擊區(qū)域攻擊區(qū)域示例黑盒查詢攻擊（數(shù)值類型，查詢次數(shù)小于黑盒查詢攻擊（決策類型，查詢次數(shù)小于100）黑盒遷移攻擊（以常見神經(jīng)網(wǎng)絡(luò)模型如Resnet、VGG、Densenet等作為替代模型）面積在該區(qū)域占比<80%）攻擊成功率<1%攻擊成功率<0.5%攻擊成功率<0.1%T/AII001-2021表6物理對抗防御性能指標(biāo)要求（續(xù)）攻擊區(qū)域攻擊區(qū)域示例黑盒查詢攻擊（數(shù)值類型，查詢次數(shù)小于黑盒查詢攻擊（決策類型，查詢次數(shù)小于100）黑盒遷移攻擊（以常見神經(jīng)網(wǎng)絡(luò)模型如等作為替代模型）面積在該區(qū)域占比<50%）攻擊成功率<1%攻擊成功率<0.5%攻擊成功率<0.15%面積在該區(qū)域占比<100%）攻擊成功率<0.3%攻擊成功率攻擊成功率<0.05%面積在該區(qū)域占比<80%）攻擊成功率<1%攻擊成功率<0.5%攻擊成功率<0.1%人臉背景（攻擊面積在該區(qū)域占比<100%）攻擊成功率<0.5%攻擊成功率<0.2%攻擊成功率<0.1%組合區(qū)域（攻擊面積在該區(qū)域占比<90%）攻擊成功率<3%攻擊成功率<1%攻擊成功率<0.5%T/AII001-2021b）竊取攻擊防御指標(biāo)被竊取模型性能下降>50%。c）數(shù)據(jù)投毒攻擊防御指標(biāo)數(shù)據(jù)投毒攻擊成功率<20%。d）后門攻擊防御指標(biāo)后門攻擊成功率<5%。T/AII001-2021（資料性）性能測試參考方案A.1活體測試活體測試攻擊類型包括但不限于二維假體攻擊類型，三維假體攻擊類型及劫持注入攻擊類型。測試方法：真人通過率測試：N個真人，每個真人在正常環(huán)境下配合完成活體交互M次（測試過程可以選擇不同的場景），活體通過次數(shù)記為P，即真人通過率TPR=P/（N*M），整體指標(biāo)應(yīng)符合真人通過率>95%的性能指標(biāo)。實際測試過程中一般建議真人超過100人，測試總量超過1000次，真人圖像應(yīng)滿足數(shù)據(jù)質(zhì)量要求；攻擊誤過率測試：構(gòu)造二維假體素材并黑盒攻擊N次（包含二維靜態(tài)紙質(zhì)圖像攻擊N1,二維靜態(tài)電子圖像N2,二維動態(tài)圖像N3,等。N=N1+N2+N3+…），構(gòu)造三維假體素材并黑盒攻擊M次（包含三維面具攻擊M1次和三維頭模攻擊M2次等，M=M1+M2+…）,構(gòu)造劫持注入類型素材并黑盒攻擊P次（具體注入素材類型可參考下表內(nèi)容及呈現(xiàn)方式等P1，P2，P3…,P=P1+P2+P3）;其中攻擊總次數(shù)為N＋M＋P，記攻擊成功的次數(shù)為F，則攻擊誤過率FAR＝F/（N＋M＋P），整體性能指標(biāo)應(yīng)符合一級安全指標(biāo)誤過低于1%,二級安全指標(biāo)誤過率低于0.1%的要求。考慮到攻擊素材的成本差異較大（三維攻擊素材成本高于注入攻擊成本，遠高于二維攻擊素材），一般構(gòu)造攻擊類型的數(shù)量分布推薦為N：M：P=50：1：10，且總量不低于3000次。A.1.1二維假體攻擊二維假體攻擊包括但不限于二維靜態(tài)紙質(zhì)圖像攻擊、二維靜態(tài)電子圖像攻擊和二維動態(tài)圖像攻擊。a）防范二維靜態(tài)紙質(zhì)圖像攻擊時，應(yīng)考慮的因素包括但不限于表A.1所示內(nèi)容；表A.1二維靜態(tài)紙質(zhì)圖像攻擊序號類型1人臉圖像材質(zhì)包括但不限于打印紙、亞光相紙、高光相紙、絨面相紙、啞粉、光銅等2顏料包含但不限于黑白、彩色、噴墨、激光、印刷、銀鹽沖印、繪畫等3人臉圖像質(zhì)量包括但不限于分辨率、清晰度、大小、角度、光照條件、完整度等4呈現(xiàn)方式包括但不限于距離、角度、移動、彎曲、折疊等5裁剪方式包括但不限于圖像是否摳除眼部、鼻子、嘴巴等6光線條件包括但不限于正常光、強光、弱光、逆光等T/AII001-2021b)防范二維電子圖像攻擊時，應(yīng)考慮的因素包括但不限于表A.2所示內(nèi)容;表A.2二維電子圖像攻擊序號類型1二維電子圖像類型包括但不限于拍攝數(shù)字圖像、翻拍數(shù)字圖像等2顯示設(shè)備類型包括但不限于手機、平板電腦、電腦等3顯示設(shè)備能力包括但不限于分辨率、亮度、對比度等4二維電子圖像質(zhì)量包括但不限于分辨率、清晰度、人臉大小比例等5呈現(xiàn)方式包括但不限于距離、角度、移動等6光線條件包括但不限于正常光、強光、弱光、逆光等c)防范二維動態(tài)圖像攻擊時，應(yīng)考慮的因素包括但不限于表A.3所示內(nèi)容。表A.3二維動態(tài)圖像攻擊序號類型1二維動態(tài)圖像類型包括但不限于錄制視頻、合成視頻等2顯示設(shè)備類型包括但不限于手機、平板電腦、電腦等3顯示設(shè)備能力包括但不限于分辨率、亮度、對比度等4二維動態(tài)圖像質(zhì)量包括但不限于分辨率、清晰度、幀率、人臉大小比例、持續(xù)時間等5呈現(xiàn)方式包括但不限于距離、角度、移動等6光線條件包括但不限于正常光、強光、弱光、逆光等A.1.2三維防假體攻擊三維假體攻擊包括但不限于三維面具攻擊和三維頭模攻擊：a）防范三維面具攻擊時，應(yīng)考慮的因素包括但不限于表A.4所示內(nèi)容；表A.4三維面具攻擊序號類型1面具材質(zhì)包括但不限于塑料面具、3D紙張面具、硅膠面具等2呈現(xiàn)方式包括但不限于距離、角度、移動等3光線條件包括但不限于正常光、強光、弱光、逆光等4裁剪方式包括但不限于面具是否摳除眼部、鼻子、嘴巴等5光線條件包括但不限于正常光、強光、弱光、逆光等b）防范三維頭模攻擊時，應(yīng)考慮的因素包括但不限于表A.5所示內(nèi)容。T/AII001-2021表A.5三維頭模攻擊序號類型1頭模材質(zhì)包括但不限于泡沫、樹脂、全彩砂巖、石英砂等2呈現(xiàn)方式包括但不限于距離、角度、移動等3光線條件包括但不限于正常光、強光、弱光、逆光等A.1.3劫持注入類型攻擊劫持注入攻擊類型一般是指通過hook手機劫持繞過攝像頭注入一段偽造的視頻防范劫持注入類視頻攻擊包括但不限于表A.6所示內(nèi)容：表A.6合成視頻攻擊序號類型1視頻內(nèi)容包括但不限于多端非實時拍攝真人視頻，剪輯拼接視頻，人臉融合視頻，人臉驅(qū)動視頻等2呈現(xiàn)方式包括但不限于距離、角度、移動等3光線條件包括但不限于正常光、強光、弱光、逆光等A.2內(nèi)容取證測試測試方法：真人通過率測試：N個真人，每個真人在正常環(huán)境下配合拍攝完成M張圖片（如果為視頻測試，則錄制M個視頻），其中達到質(zhì)量要求（參考表A2.1.3）的數(shù)量為S,達到質(zhì)量要求的真人通過次數(shù)記為P，真人通過率TPR=P/S。實際測試過程中一般建議真人超過100人，有效測試總量超過1000次，真人圖像應(yīng)滿足數(shù)據(jù)質(zhì)量要求；攻擊誤過率測試：利用篡改工具對真人圖片或視頻進行篡改，不限制生成結(jié)果質(zhì)量?；谌四樕煞椒ü鬉1次，基于人臉替換攻擊A2次，基于人臉屬性編輯攻擊A3次，基于人臉表情編輯攻擊A4次，累計攻擊A次（A=A1+A2+A3+A4）,記攻擊成功的次數(shù)為F，則攻擊誤過率FAR＝F/A。一般建議構(gòu)造不同類型的攻擊比例為1:1:1:1，整體攻擊數(shù)量與真人數(shù)量比例為1:1，建議攻擊的總量不低于4000次。最終準(zhǔn)確率為真人通過數(shù)量P以及攻擊攔截數(shù)量（A-F）占總測試數(shù)量的比例，Acc=(P+A-F)/(S+A)。A.2.1攻擊數(shù)據(jù)人臉圖像內(nèi)容攻擊應(yīng)考慮的因素包括但不限于表A.7所示內(nèi)容:表A.7圖像攻擊序號類型1人臉生成包括但不限于StyleGAN，PGGAN等整臉生成方法2人臉替換包括但不限于Deepfake、FaceSwap等人臉替換方法T/AII001-2021表A.7圖像攻擊(續(xù)）序號類型3屬性編輯包括但不限于StarGAN,STGAN等人臉屬性編輯方法屬性編輯內(nèi)容包括但不限于頭發(fā)，年齡，眼鏡，膚色等4表情編輯包括但不限于Face2Face、Neural