GB/T 41807-2022
基本信息
标准号: GB/T 41807-2022
中文名称:信息安全技术 声纹识别数据安全要求
标准类别:国家标准(GB)
英文名称:Information security technology—Security requirements of voiceprint recognition data
标准状态:现行
发布日期:2022-10-12
实施日期:2023-05-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:7742797
标准分类号
标准ICS号:35.030
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
出版信息
出版社:中国标准出版社
页数:20页
标准价格:38.0
相关单位信息
起草人:郑方、邬晓钧、郝春亮、黄小妮、王小钢、许晓耕、徐明星、胡影、刘亦珩、李俊、王洋、于雪平、长孙菲、马万钟、李军、高雪松、杨春林、傅山、王开林、李美桃、孔昊、戎玲、游寒旭、郑榕、李博文、杨波、付立、雷文钿、林冠辰、李明菊、李汝鑫、曾然然、洪青阳、高星等
起草单位:北京得意音通技术有限责任公司、中国电子技术标准化研究院、清华大学、北京微呼科技有限公司、国民认证科技(北京)有限公司、北京百度网讯科技有限公司、北京曙光易通技术有限公司、西安银行股份有限公司、科大讯飞股份有限公司、云从科技集团股份有限公司等
归口单位:全国信息安全标准化技术委员会(SAC/TC 260)
提出单位:全国信息安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件规定了声纹识别数据的收集、存储、使用、传输、提供、公开、删除等活动中,对数据处理者的安全要求。本文件适用于规范数据处理者的声纹识别数据处理行为。
标准图片预览
标准内容
ICS35.030
CCS L 80
中华人民共和国国家标准
GB/T41807—2022
信息安全技术
声纹识别数据安全要求
Information security technology-Security requirements of voiceprint recognition data2022-10-12发布
国家市场监督管理总局
国家标准化管理委员会
2023-05-01实施
GB/T41807—2022
规范性引用文件
3术语和定义
典型场景
典型风险
基本安全要求
数据收集
通用要求
身份识别应用
非身份识别应用
科学实验与测试
数据存储和传输
通用要求
身份识别应用
非身份识别应用
8数据使用
通用要求
科学实验与测试
数据提供
通用要求
身份识别应用
非身份识别应用
科学实验与测试
数据公开
数据删除·
通用要求
科学实验与测试
附录A(资料性)
附录B(资料性)
参考文献
声纹识别数据安全风险分析
知情同意书示例
GB/T41807—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:北京得意音通技术有限责任公司、中国电子技术标准化研究院、清华大学、北京微呼科技有限公司、国民认证科技(北京)有限公司、北京百度网讯科技有限公司、北京曙光易通技术有限公司、西安银行股份有限公司、科大讯飞股份有限公司、云从科技集团股份有限公司、海信集团控股股份有限公司、北京眼神科技有限公司、中国信息通信研究院、北京中居安信科技发展有限公司、公安部第三研究所、国家工业信息安全发展研究中心、北京软件产品质量检测检验中心、北京远鉴信息技术有限公司、北京银联金卡科技有限公司、京东科技控股股份有限公司、厦门天聪智能软件有限公司、蚂蚁科技集团股份有限公司、北京小米移动软件有限公司、联想(北京)有限公司、中国电信集团有限公司、厦门大学、上海掌数科技有限公司、北京声智科技有限公司、银河水滴科技(北京)有限公司、数据堂(北京)科技股份有限公司。
本文件主要起草人:郑方、邬晓钧、郝春亮、黄小妮、王小钢、许晓耕、徐明星、胡影、刘亦、李俊、王洋、于雪平、长孙菲、马万钟、李军、高雪松、杨春林、傅山、王开林、李美桃、孔昊、戎玲、游寒旭、郑榕、李博文、杨波、付立、雷文钿、林冠辰、李明菊、李汝鑫、曾然然、洪青阳、高星、陈孝良、张曼、谷晓霞、王大亮、程星亮、陈聪、林阳荟晨、张瑾。1
1范围
信息安全技术
声纹识别数据安全要求
GB/T41807—2022
本文件规定了声纹识别数据的收集、存储、使用、传输、提供、公开、删除等活动中,对数据处理者的安全要求
本文件适用于规范数据处理者的声纹识别数据处理行为2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069
GB/T35273
GB/T37988
GB/T39335
GB/T40660
GB/T41479
3术语和定义
信息安全技术术语
信息安全技术个人信息安全规范信息安全技术数据安全能力成熟度模型信息安全技术个人信息安全影响评估指南信息安全技术生物特征识别信息保护基本要求信息安全技术网络数据处理安全要求GB/T25069、GB/T35273、GB/T37988、GB/T40660和GB/T41479界定的以及下列术语和定义适用于本文件。
声纹识别数据主体
voiceprintrecognitiondata subject声纹识别数据所对应的特定自然人。注:本文件中简称“数据主体”。3.2
语音样本
speechsample
语音的模拟表示或数字表示。
注:直接从数据主体收集的语音样本中蕴含数据主体的声纹3.3
voiceprint
人的语音中所蕴含的、能用以表征和标识数据主体的生物学特性和行为特性的总称。3.4
声纹语音样本
voiceprintspeechsample
可提取声纹的语音样本
注1:智能语音交互过程中所收集的语音样本如未经过特殊处理,可提取声纹,属于声纹语音样本,1
GB/T41807—2022
注2:采用参数合成方法生成的语音样本不蕴含声纹,不属于声纹语音样本。注3:声纹语音样本是一类生物特征样本,生物特征样本见GB/T5271.37—2021。3.5
声纹特征项
voiceprint feature
从声纹语音样本中提取的用于声纹识别的参数。注1:常用的声纹特征项参数包括频谱(spectrum)、倒频谱(cepstrum)、线性预测系数(LPC)、音高(pitch)、声调(tone)、共振峰(formant)、音质(voicequality)、声韵(prosody)等各种层次的信息。注2:声纹特征项具有不可逆性,无法还原出声纹语音样本。3.6
voiceprintmodel
声纹模型
对具体某个数据主体的声纹特征项进行描述的数学模型注1:常用的数学模型有高斯混合模型(Gaussianmixturemodel)、隐马尔可夫模型(hiddenMarkovmodel)、支持向量机(supportvectormachine)等。注2:一些数学模型可以生成表征和标识数据主体的参数,这些参数常常对应具体某个数据主体的模型参数的取值,也简称为声纹模型。
声纹识别数据
voiceprintrecognitiondata
声纹语音样本及其处理得到的,可单独或结合其他信息识别数据主体的数据。注:声纹识别数据包括声纹语音样本、声纹特征项和声纹模型。3.8
声纹数据分析
voiceprintdataanalysis
对声纹语音样本进行统计、检测或特征分析的活动注:声纹数据分析的典型应用包括但不限于会议发言人数统计、人声美化、识别数据主体的年龄、性别、口音、情感、健康信息等。
星speechwakeup
语音唤醒
处于音频流监听状态的语音交互系统,在检测到特定的特征或事件出现后,切换到交互指令识别、连续语音识别等其他工作状态的过程。[来源:GB/T36464.2—2018,3.13]4概述
4.1典型场景
4.1.1应用场景
身份识别应用
身份识别应用场景是指声纹识别数据用于识别数据主体身份的场景。在此场景中处理的数据包括声纹语音样本、声纹特征项和声纹模型,通常还包括其他个人信息。典型应用场景如:移动设备声纹解锁屏、声纹门禁、声纹锁、远程声纹身份鉴别等。4.1.1.2
非身份识别应用
非身份识别应用场景是指应用场景涉及声纹语音样本,但未用于识别数据主体身份的场景。在此场景中处理的数据是声纹语音样本,可能包括其他个人信息典型应用场景如:提供智能语音技术应用,业务场景中收集的语音样本包含声纹,但不涉及使用声2
GB/T41807—2022
纹进行身份识别,包括智能音箱语音唤醒、智能语音系统交互、自动语音翻译、声纹数据分析等。4.1.2非应用场景
非应用场景主要是科学实验与测试场景,它是指声纹识别数据用于开展与语音有关的科学实验活动和产品测试的场景。在此场景中处理的数据包括声纹语音样本、声纹特征项和声纹模型,通常还包括其他个人信息。当数据处理者收集声纹语音样本时,可能会引人第三方和其他数据处理者。典型应用场景如:科研机构(数据处理者)委托第三方收集或标注声纹语音样本并开展研究工作,包括高校进行声纹技术处理研究,学术团体开展算法竞赛和评比等;检测机构(数据处理者)开展算法或产品评测等。
4.2典型风险
声纹识别数据处理活动中常见的安全风险主要包括数据的滥采滥用,数据提供给未获授权同意的第三方,以及数据传输过程中被监听和攻击导致语音样本泄露等。具体处理活动风险分析见附录A。5基本安全要求
对声纹识别数据处理者的基本安全要求如下。应符合GB/T35273、GB/T40660、GB/T41479规定的各项要求。a)
组织机构数据处理者应按照GB/T37988达到数据安全能力成熟度3级以上要求。开展声纹识别数据处理活动前,应按照GB/T39335的规定开展个人信息安全影响评估,并形c)
成评估报告。
开展声纹识别数据处理活动实现产品或服务功能时,应具有明确的、必要的、难以通过其他技术替代的、直接服务于数据主体的处理目的,并确保不将声纹识别数据用于与该目的无关的其他数据处理活动。
除有远程处理的必要,应仅在本地进行处理。e)
处理未成年人声纹识别数据的,应取得其父母或监护人的单独同意。注1:本文件中的未成年人按照《中华人民共和国个人信息保护法》第三十一条指不满十四周岁未成年人。g
数据主体为未成年人的,或者应用了未成年人模式的,应制定专门的声纹识别数据处理规则,内容包括但不限于:
1)未成年人声纹识别数据的处理目的和处理方式,确保不涉及生命健康、财产安全;处理的未成年人声纹识别数据种类和保存期限;2)
指定专人负责未成年人声纹识别数据保护;4)
处理未成年人个人信息的必要性和对未成年人个人权益的影响;5)
收集的未成年人信息范围;
6)不针对未成年人进行声纹数据分析;7)
对处理未成年人声纹识别数据可能引起的安全风险的评估及解决方案。h)
在涉及生命健康、财产安全的业务中,应采用满足业务所需安全性、准确性和有效性要求的语音处理技术。
注2:包括采用适当的采样频率及采样精度、去噪及语音增强方法、语音质量检测、语音鉴伪和各类识别算法等在发生或者有证据明确表明存在声纹识别数据泄露、损毁、丢失的风险时,应立即采取补救措D
施,及时告知数据主体,并向有关部门报告。注3:告知方式包括口头、邮寄、传真、电子邮件、短信、登报或网上公告等。i)安全事件发生后,应及时追溯声纹识别数据来源,并采取补救措施,包括通知数据主体,删除或GB/T41807—2022
撤销已泄露数据,重建不同的声纹模型等。应制定并公开发布声纹识别数据保护策略,清晰、准确、完整地描述对于声纹识别数据的处理k)
行为,确保数据主体易于理解。1)
应采取措施确保数据主体权利,包括但不限于获取声纹识别数据使用情况、撤回授权同意、注销账号、投诉、获得及时响应等。m)凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的,应遵循密码相关国家标准和行业标准
在中华人民共和国境内收集或产生的声纹识别数据应在境内存储,因业务需要确需出境的,应n)
按照个人信息出境相关规定进行安全评估。6数据收集
6.1通用要求
对声纹识别数据处理者的要求如下。a)
收集声纹语音样本前,应告知数据主体数据处理者名称和联系方式,声纹识别数据的处理目的、处理方式和处理范围,处理的声纹识别数据类型、存储期限、存储地点,以及要收集的声纹语音样本内容和时长等信息,并征得数据主体的单独同意b)每次收集声纹语音样本应具有明确的、已取得用户同意收集的时间期限,且在满足用户同意收集的声纹语音样本内容和时长条件后立即停止收集。收集声纹语音样本时,应使用安全的语音收集设备。注1:安全的语音收集设备是指能够保证使用方(包括自然人和法人)的数据支配权、产品控制权、产品选择权等不受损害的语音收集设备。
收集声纹语音样本时,应提示数据主体不说出完整身份号码、姓名、电话号码、账号口令等个人信息,提示方式包括但不限于人工提示、机器提示。e)
声纹语音样本收集现场有监督人员时,应安排监督人员提供指导,不应收集未授权同意人员的信息,以及现场不应有其他无关人员和设备录制语音。声纹语音样本收集现场无监督人员时,应在使用产品和服务时提前告知数据主体收集注意事f)
项;如果布置了特定场所进行收集,应设置单独隔音的空间,不应收集未授权同意人员的信息,以及周围不应有其他无关人员和设备录制语音。g)
应记录必要的信息,确保能够回溯到所使用的语音收集设备及收集监督人员信息,收集场所等。
在具有语音唤醒功能的设备中,应实现以下功能:1)用户首次使用时,语音唤醒功能处于停用状态,待用户操作后方可启用;处于音频流监听状态下收集及其处理得到的数据,不传输到远程服务器端,不用于实现语2)
音唤醒之外的任何其他用途,且在实现语音唤醒功能后立即删除。注2:处于音频流监听状态时,会持续收集语音样本。i
收集声纹语音样本过程中,数据主体明示停止时,应立即停止收集。j
收集声纹语音样本过程中,数据主体未明示停止且持续不发声时长达到10s时,应立即自动停止收集。收集声纹语音样本以实现语音唤醒功能的情形除外。停止收集声纹语音样本后,未经数据主体主动发起,不应重新开始收集声纹语音样本。为持续k)
提供语音唤醒功能并得到用户单独同意的情形除外。主动发起的方式包括:1)语音唤醒;
2)非语音操作,包括实体按键、触摸按键。4
GB/T41807—2022
在具有收集语音样本功能的智能家居产品中,不将所收集的语音样本及其处理得到的数据传1)
输到家外,以下情况除外:
用户主动传输的通信信息,包括语音通话及留言消息;1
用户主动唤醒产品后20s内的交互语音,但应将其中除指令以外的内容及时删除、不进2)
行任何其他处理;
用户主动获取的家内音频信息,但应确保只能在该用户正在使用的设备上查看,且如需存3)
储,只能在用户自有的设备、网盘上存储。6.2身份识别应用
在身份识别应用场景中,对声纹识别数据处理者的要求如下:a)开展身份识别业务时,不应将声纹识别作为唯一的身份识别手段,以强制数据主体同意收集其个人声纹语音样本;法律、行政法规另有规定的从其规定;不应将收集声纹语音样本作为使用产品或服务的前提条件;b)
收集声纹语音样本用于声纹注册时,应先对用户进行身份核验;)
应采用技术手段防止针对声纹身份识别应用的呈现攻击注1:技术手段包括语音鉴伪、语音质量检测、语音内容识别等。注2:呈现攻击是指以干扰生物特征识别系统的操作为目的,针对生物特征数据采集模块的一种攻击行为。通常针对声纹识别系统的呈现攻击包括录音重放、语音模仿、语音合成、语音拼接等6.3非身份识别应用
在非身份识别应用场景中,对声纹识别数据处理者的要求如下:应明示告知数据主体产品或服务所具有的收集声纹语音样本和声纹数据分析的功能,并声明a)
和承诺所收集的声纹语音样本不用于身份识别;开展声纹数据分析前应取得数据主体的单独同意b)
应遵循“最小必要”原则,避免过度收集超出产品或服务基本业务功能所必须数量的声纹语音样本;
应通过语音转换等技术手段消除或破坏语音样本中的声纹后再进行处理,处理声纹是提供产品或服务基本业务功能所必须的情况除外。6.4科学实验与测试
在科学实验与测试场景中,对声纹识别数据处理者的要求如下。a)
收集声纹语音样本前,应向数据主体展示“知情同意书”,并取得数据主体的书面同意。知情同意书应清晰、准确、完整地描述数据处理者的声纹识别数据处理行为。“知情同意书”示例见附录B。
注:书面同意指通过合同书、信件、电报、传真、电子数据交换和电子邮件等方式进行同意b)应单独向数据主体告知科学实验或测试目的,取得数据主体书面同意后,应妥善保管授权同意材料以便未来追溯。
应制定科学的研究实验或测试计划,明确说明研究或测试目的、意义及必要性,实验或测试设计、研究或测试过程中可能涉及的合作及数据委托、提供需求,并依照“最小必要”原则,制定收集数量、声纹识别数据及其关联信息的收集方法等。在“知情同意书”中应明确写明声纹识别数据的用途,如“用于进行防录音攻击算法的研究”“用d
于进行声纹门禁系统性能的测试”等。5
GB/T41807—2022
数据存储和传输
通用要求
对声纹识别数据处理者的要求如下:a)
不应存储声纹识别数据及其处理得到的数据,经过用户单独同意存储,且为实现基本业务功能所必需的除外;
应采用技术手段,确保存储和传输时声纹识别数据的机密性和完整性:b)
注:技术手段包括数据加密、逻辑隔离或物理隔离等。c)存储和传输声纹识别数据时,不应在文件名中出现能识别数据主体的信息;宜嵌人声纹识别数据的处理时间、处理设备、处理软件、数据处理者等信息,便于安全事件发生后的追溯;d)不应存储声纹语音样本,经安全影响评估满足GB/T37988中数据安全能力成熟度3级的要求并取得数据主体书面单独同意的除外;取得授权同意存储时,不应与声纹特征项、声纹模型直接关联,且不应超出授权同意的存储期限;未经明示授权同意,不应对存储在终端设备内部的声纹识别数据有读、写、修改、复制和删除e)
权限;
确需存储数据主体的身份信息、声纹特征项和声纹模型时,应采用技术手段分别存储这三类信息,并且数据主体的身份信息不应与声纹特征项、声纹模型直接关联。2身份识别应用
在身份识别应用场景中,声纹识别数据处理者不应将仅在本地设备上实现产品功能的声纹语音样本传输到远程服务器处理。
注:仅在本地设备上实现身份识别产品功能的情形包括移动设备声纹解锁屏、利用声纹识别实现移动设备应用锁等。
7.3非身份识别应用
在非身份识别应用场景中,对声纹识别数据处理者的要求如下:a)仅在本地设备上实现的产品功能不应将声纹语音样本及其处理得到的数据传输到远程服务器端处理;
注:仅在本地设备上实现非身份识别产品功能的情形包括智能音箱语音唤醒、手机语音拨号等。b)不应存储声纹语音样本。确需存储的,应限定存储期限或存储期限的规则,另行明示告知并取得数据主体单独同意,且应采用物理或逻辑隔离的方式分别存储声纹语音样本与数据主体的身份信息。
8数据使用
8.1通用要求
声纹识别数据处理者将声纹识别数据用于除授权同意处理目的之外的其他处理活动,应重新取得数据主体的单独同意。
8.2科学实验与测试
在科学实验与测试场景中,对声纹识别数据处理者的要求如下:a)应只记录实现科学实验或测试目的所必需的个人信息;6
注:必需的个人信息包括年龄、性别、口音、情感、健康信息等应对声纹识别数据进行去标识化处理;b)
GB/T41807—2022
c)不应将声纹识别数据和关联信息用于未取得数据主体授权同意的其他研究开发或测试活动。9数据提供
9.1通用要求
对声纹识别数据处理者的要求如下:a)
向第三方提供声纹识别数据时,应告知数据主体提供数据的目的、类型、方式、范围、存储期限、存储地点,并取得数据主体的单独同意;应通过合同的形式与第三方约定处理数据的目的、范围、处理方式、数据安全保护措施等,并对b)
第三方数据处理活动进行监督;应根据业务情况确定数据提供的类型、方式、用途和数量,并针对不同量级数据提供审批流c)
程,采取数据加密等保护措施。2身份识别应用
在身份识别应用场景中,声纹识别数据处理者不应向第三方提供声纹识别数据。因业务需要,确需提供的,应单独向数据主体告知数据接收方的名称、联系方式、处理目的、处理方式、处理的声纹识别数据类型,以及数据接收方的数据安全能力等,并取得数据主体的书面同意。9.3非身份识别应用
在非身份识别应用场景中,声纹识别数据处理者不应向第三方提供声纹语音样本。9.4科学实验与测试此内容来自标准下载网
在科学实验与测试场景中,对声纹识别数据处理者的要求如下。提供声纹产品和服务评测时,不应向被测方提供声纹语音样本和其他个人信息。a)
通过接受第三方无偿提供方式收集声纹语音样本的,应规定使用的期限,且不应再次向任何第三方提供
委托第三方收集声纹语音样本或对声纹语音样本进行标注的,应在“知情同意书”中指明委托事项并取得数据主体的单独同意。在涉及委托事项的“知情同意书”中,应包含以下内容:d
明确告知数据主体委托方信息、受托方信息、委托事项和期限等:2)不要求取得对声纹语音样本委托事项以外的处理的授权同意3)
明确要求受托方完成数据交付后及时删除存储的声纹语音样本和其他个人信息;4)明确要求受托方不得向任何第三方提供声纹语音样本。在涉及无偿提供的“知情同意书”中,应包含以下内容:e)
明确告知数据主体无偿提供的方式、对象和期限:1
明确要求接收方完成科学实验后及时删除存储的声纹识别数据和其他个人信息;2)
3)明确要求接收方不得再次向第三方提供该声纹语音样本。10数据公开
在身份识别与非身份识别应用场景中,声纹识别数据处理者不应公开声纹识别数据。7
GB/T41807—2022
在科学实验与测试场景中,声纹识别数据处理者公开声纹识别数据时,应取得数据主体书面的单独同意。
数据删除
11.1通用要求
对声纹识别数据处理者的要求如下:应提供数据主体撤回授权同意、明示停止使用声纹识别数据的方法并保持方法有效;a)
在数据主体撤回授权同意、授权同意到期、明示停止使用声纹识别数据后,应及时对声纹识别b)
数据进行删除,并将删除结果告知数据主体;c)应确保被删除的声纹识别数据不可恢复。科学实验与测试
科学实验与测试数据处理者应在科学实验或测试目的完成后及时删除声纹识别数据,8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCS L 80
中华人民共和国国家标准
GB/T41807—2022
信息安全技术
声纹识别数据安全要求
Information security technology-Security requirements of voiceprint recognition data2022-10-12发布
国家市场监督管理总局
国家标准化管理委员会
2023-05-01实施
GB/T41807—2022
规范性引用文件
3术语和定义
典型场景
典型风险
基本安全要求
数据收集
通用要求
身份识别应用
非身份识别应用
科学实验与测试
数据存储和传输
通用要求
身份识别应用
非身份识别应用
8数据使用
通用要求
科学实验与测试
数据提供
通用要求
身份识别应用
非身份识别应用
科学实验与测试
数据公开
数据删除·
通用要求
科学实验与测试
附录A(资料性)
附录B(资料性)
参考文献
声纹识别数据安全风险分析
知情同意书示例
GB/T41807—2022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位:北京得意音通技术有限责任公司、中国电子技术标准化研究院、清华大学、北京微呼科技有限公司、国民认证科技(北京)有限公司、北京百度网讯科技有限公司、北京曙光易通技术有限公司、西安银行股份有限公司、科大讯飞股份有限公司、云从科技集团股份有限公司、海信集团控股股份有限公司、北京眼神科技有限公司、中国信息通信研究院、北京中居安信科技发展有限公司、公安部第三研究所、国家工业信息安全发展研究中心、北京软件产品质量检测检验中心、北京远鉴信息技术有限公司、北京银联金卡科技有限公司、京东科技控股股份有限公司、厦门天聪智能软件有限公司、蚂蚁科技集团股份有限公司、北京小米移动软件有限公司、联想(北京)有限公司、中国电信集团有限公司、厦门大学、上海掌数科技有限公司、北京声智科技有限公司、银河水滴科技(北京)有限公司、数据堂(北京)科技股份有限公司。
本文件主要起草人:郑方、邬晓钧、郝春亮、黄小妮、王小钢、许晓耕、徐明星、胡影、刘亦、李俊、王洋、于雪平、长孙菲、马万钟、李军、高雪松、杨春林、傅山、王开林、李美桃、孔昊、戎玲、游寒旭、郑榕、李博文、杨波、付立、雷文钿、林冠辰、李明菊、李汝鑫、曾然然、洪青阳、高星、陈孝良、张曼、谷晓霞、王大亮、程星亮、陈聪、林阳荟晨、张瑾。1
1范围
信息安全技术
声纹识别数据安全要求
GB/T41807—2022
本文件规定了声纹识别数据的收集、存储、使用、传输、提供、公开、删除等活动中,对数据处理者的安全要求
本文件适用于规范数据处理者的声纹识别数据处理行为2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069
GB/T35273
GB/T37988
GB/T39335
GB/T40660
GB/T41479
3术语和定义
信息安全技术术语
信息安全技术个人信息安全规范信息安全技术数据安全能力成熟度模型信息安全技术个人信息安全影响评估指南信息安全技术生物特征识别信息保护基本要求信息安全技术网络数据处理安全要求GB/T25069、GB/T35273、GB/T37988、GB/T40660和GB/T41479界定的以及下列术语和定义适用于本文件。
声纹识别数据主体
voiceprintrecognitiondata subject声纹识别数据所对应的特定自然人。注:本文件中简称“数据主体”。3.2
语音样本
speechsample
语音的模拟表示或数字表示。
注:直接从数据主体收集的语音样本中蕴含数据主体的声纹3.3
voiceprint
人的语音中所蕴含的、能用以表征和标识数据主体的生物学特性和行为特性的总称。3.4
声纹语音样本
voiceprintspeechsample
可提取声纹的语音样本
注1:智能语音交互过程中所收集的语音样本如未经过特殊处理,可提取声纹,属于声纹语音样本,1
GB/T41807—2022
注2:采用参数合成方法生成的语音样本不蕴含声纹,不属于声纹语音样本。注3:声纹语音样本是一类生物特征样本,生物特征样本见GB/T5271.37—2021。3.5
声纹特征项
voiceprint feature
从声纹语音样本中提取的用于声纹识别的参数。注1:常用的声纹特征项参数包括频谱(spectrum)、倒频谱(cepstrum)、线性预测系数(LPC)、音高(pitch)、声调(tone)、共振峰(formant)、音质(voicequality)、声韵(prosody)等各种层次的信息。注2:声纹特征项具有不可逆性,无法还原出声纹语音样本。3.6
voiceprintmodel
声纹模型
对具体某个数据主体的声纹特征项进行描述的数学模型注1:常用的数学模型有高斯混合模型(Gaussianmixturemodel)、隐马尔可夫模型(hiddenMarkovmodel)、支持向量机(supportvectormachine)等。注2:一些数学模型可以生成表征和标识数据主体的参数,这些参数常常对应具体某个数据主体的模型参数的取值,也简称为声纹模型。
声纹识别数据
voiceprintrecognitiondata
声纹语音样本及其处理得到的,可单独或结合其他信息识别数据主体的数据。注:声纹识别数据包括声纹语音样本、声纹特征项和声纹模型。3.8
声纹数据分析
voiceprintdataanalysis
对声纹语音样本进行统计、检测或特征分析的活动注:声纹数据分析的典型应用包括但不限于会议发言人数统计、人声美化、识别数据主体的年龄、性别、口音、情感、健康信息等。
星speechwakeup
语音唤醒
处于音频流监听状态的语音交互系统,在检测到特定的特征或事件出现后,切换到交互指令识别、连续语音识别等其他工作状态的过程。[来源:GB/T36464.2—2018,3.13]4概述
4.1典型场景
4.1.1应用场景
身份识别应用
身份识别应用场景是指声纹识别数据用于识别数据主体身份的场景。在此场景中处理的数据包括声纹语音样本、声纹特征项和声纹模型,通常还包括其他个人信息。典型应用场景如:移动设备声纹解锁屏、声纹门禁、声纹锁、远程声纹身份鉴别等。4.1.1.2
非身份识别应用
非身份识别应用场景是指应用场景涉及声纹语音样本,但未用于识别数据主体身份的场景。在此场景中处理的数据是声纹语音样本,可能包括其他个人信息典型应用场景如:提供智能语音技术应用,业务场景中收集的语音样本包含声纹,但不涉及使用声2
GB/T41807—2022
纹进行身份识别,包括智能音箱语音唤醒、智能语音系统交互、自动语音翻译、声纹数据分析等。4.1.2非应用场景
非应用场景主要是科学实验与测试场景,它是指声纹识别数据用于开展与语音有关的科学实验活动和产品测试的场景。在此场景中处理的数据包括声纹语音样本、声纹特征项和声纹模型,通常还包括其他个人信息。当数据处理者收集声纹语音样本时,可能会引人第三方和其他数据处理者。典型应用场景如:科研机构(数据处理者)委托第三方收集或标注声纹语音样本并开展研究工作,包括高校进行声纹技术处理研究,学术团体开展算法竞赛和评比等;检测机构(数据处理者)开展算法或产品评测等。
4.2典型风险
声纹识别数据处理活动中常见的安全风险主要包括数据的滥采滥用,数据提供给未获授权同意的第三方,以及数据传输过程中被监听和攻击导致语音样本泄露等。具体处理活动风险分析见附录A。5基本安全要求
对声纹识别数据处理者的基本安全要求如下。应符合GB/T35273、GB/T40660、GB/T41479规定的各项要求。a)
组织机构数据处理者应按照GB/T37988达到数据安全能力成熟度3级以上要求。开展声纹识别数据处理活动前,应按照GB/T39335的规定开展个人信息安全影响评估,并形c)
成评估报告。
开展声纹识别数据处理活动实现产品或服务功能时,应具有明确的、必要的、难以通过其他技术替代的、直接服务于数据主体的处理目的,并确保不将声纹识别数据用于与该目的无关的其他数据处理活动。
除有远程处理的必要,应仅在本地进行处理。e)
处理未成年人声纹识别数据的,应取得其父母或监护人的单独同意。注1:本文件中的未成年人按照《中华人民共和国个人信息保护法》第三十一条指不满十四周岁未成年人。g
数据主体为未成年人的,或者应用了未成年人模式的,应制定专门的声纹识别数据处理规则,内容包括但不限于:
1)未成年人声纹识别数据的处理目的和处理方式,确保不涉及生命健康、财产安全;处理的未成年人声纹识别数据种类和保存期限;2)
指定专人负责未成年人声纹识别数据保护;4)
处理未成年人个人信息的必要性和对未成年人个人权益的影响;5)
收集的未成年人信息范围;
6)不针对未成年人进行声纹数据分析;7)
对处理未成年人声纹识别数据可能引起的安全风险的评估及解决方案。h)
在涉及生命健康、财产安全的业务中,应采用满足业务所需安全性、准确性和有效性要求的语音处理技术。
注2:包括采用适当的采样频率及采样精度、去噪及语音增强方法、语音质量检测、语音鉴伪和各类识别算法等在发生或者有证据明确表明存在声纹识别数据泄露、损毁、丢失的风险时,应立即采取补救措D
施,及时告知数据主体,并向有关部门报告。注3:告知方式包括口头、邮寄、传真、电子邮件、短信、登报或网上公告等。i)安全事件发生后,应及时追溯声纹识别数据来源,并采取补救措施,包括通知数据主体,删除或GB/T41807—2022
撤销已泄露数据,重建不同的声纹模型等。应制定并公开发布声纹识别数据保护策略,清晰、准确、完整地描述对于声纹识别数据的处理k)
行为,确保数据主体易于理解。1)
应采取措施确保数据主体权利,包括但不限于获取声纹识别数据使用情况、撤回授权同意、注销账号、投诉、获得及时响应等。m)凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的,应遵循密码相关国家标准和行业标准
在中华人民共和国境内收集或产生的声纹识别数据应在境内存储,因业务需要确需出境的,应n)
按照个人信息出境相关规定进行安全评估。6数据收集
6.1通用要求
对声纹识别数据处理者的要求如下。a)
收集声纹语音样本前,应告知数据主体数据处理者名称和联系方式,声纹识别数据的处理目的、处理方式和处理范围,处理的声纹识别数据类型、存储期限、存储地点,以及要收集的声纹语音样本内容和时长等信息,并征得数据主体的单独同意b)每次收集声纹语音样本应具有明确的、已取得用户同意收集的时间期限,且在满足用户同意收集的声纹语音样本内容和时长条件后立即停止收集。收集声纹语音样本时,应使用安全的语音收集设备。注1:安全的语音收集设备是指能够保证使用方(包括自然人和法人)的数据支配权、产品控制权、产品选择权等不受损害的语音收集设备。
收集声纹语音样本时,应提示数据主体不说出完整身份号码、姓名、电话号码、账号口令等个人信息,提示方式包括但不限于人工提示、机器提示。e)
声纹语音样本收集现场有监督人员时,应安排监督人员提供指导,不应收集未授权同意人员的信息,以及现场不应有其他无关人员和设备录制语音。声纹语音样本收集现场无监督人员时,应在使用产品和服务时提前告知数据主体收集注意事f)
项;如果布置了特定场所进行收集,应设置单独隔音的空间,不应收集未授权同意人员的信息,以及周围不应有其他无关人员和设备录制语音。g)
应记录必要的信息,确保能够回溯到所使用的语音收集设备及收集监督人员信息,收集场所等。
在具有语音唤醒功能的设备中,应实现以下功能:1)用户首次使用时,语音唤醒功能处于停用状态,待用户操作后方可启用;处于音频流监听状态下收集及其处理得到的数据,不传输到远程服务器端,不用于实现语2)
音唤醒之外的任何其他用途,且在实现语音唤醒功能后立即删除。注2:处于音频流监听状态时,会持续收集语音样本。i
收集声纹语音样本过程中,数据主体明示停止时,应立即停止收集。j
收集声纹语音样本过程中,数据主体未明示停止且持续不发声时长达到10s时,应立即自动停止收集。收集声纹语音样本以实现语音唤醒功能的情形除外。停止收集声纹语音样本后,未经数据主体主动发起,不应重新开始收集声纹语音样本。为持续k)
提供语音唤醒功能并得到用户单独同意的情形除外。主动发起的方式包括:1)语音唤醒;
2)非语音操作,包括实体按键、触摸按键。4
GB/T41807—2022
在具有收集语音样本功能的智能家居产品中,不将所收集的语音样本及其处理得到的数据传1)
输到家外,以下情况除外:
用户主动传输的通信信息,包括语音通话及留言消息;1
用户主动唤醒产品后20s内的交互语音,但应将其中除指令以外的内容及时删除、不进2)
行任何其他处理;
用户主动获取的家内音频信息,但应确保只能在该用户正在使用的设备上查看,且如需存3)
储,只能在用户自有的设备、网盘上存储。6.2身份识别应用
在身份识别应用场景中,对声纹识别数据处理者的要求如下:a)开展身份识别业务时,不应将声纹识别作为唯一的身份识别手段,以强制数据主体同意收集其个人声纹语音样本;法律、行政法规另有规定的从其规定;不应将收集声纹语音样本作为使用产品或服务的前提条件;b)
收集声纹语音样本用于声纹注册时,应先对用户进行身份核验;)
应采用技术手段防止针对声纹身份识别应用的呈现攻击注1:技术手段包括语音鉴伪、语音质量检测、语音内容识别等。注2:呈现攻击是指以干扰生物特征识别系统的操作为目的,针对生物特征数据采集模块的一种攻击行为。通常针对声纹识别系统的呈现攻击包括录音重放、语音模仿、语音合成、语音拼接等6.3非身份识别应用
在非身份识别应用场景中,对声纹识别数据处理者的要求如下:应明示告知数据主体产品或服务所具有的收集声纹语音样本和声纹数据分析的功能,并声明a)
和承诺所收集的声纹语音样本不用于身份识别;开展声纹数据分析前应取得数据主体的单独同意b)
应遵循“最小必要”原则,避免过度收集超出产品或服务基本业务功能所必须数量的声纹语音样本;
应通过语音转换等技术手段消除或破坏语音样本中的声纹后再进行处理,处理声纹是提供产品或服务基本业务功能所必须的情况除外。6.4科学实验与测试
在科学实验与测试场景中,对声纹识别数据处理者的要求如下。a)
收集声纹语音样本前,应向数据主体展示“知情同意书”,并取得数据主体的书面同意。知情同意书应清晰、准确、完整地描述数据处理者的声纹识别数据处理行为。“知情同意书”示例见附录B。
注:书面同意指通过合同书、信件、电报、传真、电子数据交换和电子邮件等方式进行同意b)应单独向数据主体告知科学实验或测试目的,取得数据主体书面同意后,应妥善保管授权同意材料以便未来追溯。
应制定科学的研究实验或测试计划,明确说明研究或测试目的、意义及必要性,实验或测试设计、研究或测试过程中可能涉及的合作及数据委托、提供需求,并依照“最小必要”原则,制定收集数量、声纹识别数据及其关联信息的收集方法等。在“知情同意书”中应明确写明声纹识别数据的用途,如“用于进行防录音攻击算法的研究”“用d
于进行声纹门禁系统性能的测试”等。5
GB/T41807—2022
数据存储和传输
通用要求
对声纹识别数据处理者的要求如下:a)
不应存储声纹识别数据及其处理得到的数据,经过用户单独同意存储,且为实现基本业务功能所必需的除外;
应采用技术手段,确保存储和传输时声纹识别数据的机密性和完整性:b)
注:技术手段包括数据加密、逻辑隔离或物理隔离等。c)存储和传输声纹识别数据时,不应在文件名中出现能识别数据主体的信息;宜嵌人声纹识别数据的处理时间、处理设备、处理软件、数据处理者等信息,便于安全事件发生后的追溯;d)不应存储声纹语音样本,经安全影响评估满足GB/T37988中数据安全能力成熟度3级的要求并取得数据主体书面单独同意的除外;取得授权同意存储时,不应与声纹特征项、声纹模型直接关联,且不应超出授权同意的存储期限;未经明示授权同意,不应对存储在终端设备内部的声纹识别数据有读、写、修改、复制和删除e)
权限;
确需存储数据主体的身份信息、声纹特征项和声纹模型时,应采用技术手段分别存储这三类信息,并且数据主体的身份信息不应与声纹特征项、声纹模型直接关联。2身份识别应用
在身份识别应用场景中,声纹识别数据处理者不应将仅在本地设备上实现产品功能的声纹语音样本传输到远程服务器处理。
注:仅在本地设备上实现身份识别产品功能的情形包括移动设备声纹解锁屏、利用声纹识别实现移动设备应用锁等。
7.3非身份识别应用
在非身份识别应用场景中,对声纹识别数据处理者的要求如下:a)仅在本地设备上实现的产品功能不应将声纹语音样本及其处理得到的数据传输到远程服务器端处理;
注:仅在本地设备上实现非身份识别产品功能的情形包括智能音箱语音唤醒、手机语音拨号等。b)不应存储声纹语音样本。确需存储的,应限定存储期限或存储期限的规则,另行明示告知并取得数据主体单独同意,且应采用物理或逻辑隔离的方式分别存储声纹语音样本与数据主体的身份信息。
8数据使用
8.1通用要求
声纹识别数据处理者将声纹识别数据用于除授权同意处理目的之外的其他处理活动,应重新取得数据主体的单独同意。
8.2科学实验与测试
在科学实验与测试场景中,对声纹识别数据处理者的要求如下:a)应只记录实现科学实验或测试目的所必需的个人信息;6
注:必需的个人信息包括年龄、性别、口音、情感、健康信息等应对声纹识别数据进行去标识化处理;b)
GB/T41807—2022
c)不应将声纹识别数据和关联信息用于未取得数据主体授权同意的其他研究开发或测试活动。9数据提供
9.1通用要求
对声纹识别数据处理者的要求如下:a)
向第三方提供声纹识别数据时,应告知数据主体提供数据的目的、类型、方式、范围、存储期限、存储地点,并取得数据主体的单独同意;应通过合同的形式与第三方约定处理数据的目的、范围、处理方式、数据安全保护措施等,并对b)
第三方数据处理活动进行监督;应根据业务情况确定数据提供的类型、方式、用途和数量,并针对不同量级数据提供审批流c)
程,采取数据加密等保护措施。2身份识别应用
在身份识别应用场景中,声纹识别数据处理者不应向第三方提供声纹识别数据。因业务需要,确需提供的,应单独向数据主体告知数据接收方的名称、联系方式、处理目的、处理方式、处理的声纹识别数据类型,以及数据接收方的数据安全能力等,并取得数据主体的书面同意。9.3非身份识别应用
在非身份识别应用场景中,声纹识别数据处理者不应向第三方提供声纹语音样本。9.4科学实验与测试此内容来自标准下载网
在科学实验与测试场景中,对声纹识别数据处理者的要求如下。提供声纹产品和服务评测时,不应向被测方提供声纹语音样本和其他个人信息。a)
通过接受第三方无偿提供方式收集声纹语音样本的,应规定使用的期限,且不应再次向任何第三方提供
委托第三方收集声纹语音样本或对声纹语音样本进行标注的,应在“知情同意书”中指明委托事项并取得数据主体的单独同意。在涉及委托事项的“知情同意书”中,应包含以下内容:d
明确告知数据主体委托方信息、受托方信息、委托事项和期限等:2)不要求取得对声纹语音样本委托事项以外的处理的授权同意3)
明确要求受托方完成数据交付后及时删除存储的声纹语音样本和其他个人信息;4)明确要求受托方不得向任何第三方提供声纹语音样本。在涉及无偿提供的“知情同意书”中,应包含以下内容:e)
明确告知数据主体无偿提供的方式、对象和期限:1
明确要求接收方完成科学实验后及时删除存储的声纹识别数据和其他个人信息;2)
3)明确要求接收方不得再次向第三方提供该声纹语音样本。10数据公开
在身份识别与非身份识别应用场景中,声纹识别数据处理者不应公开声纹识别数据。7
GB/T41807—2022
在科学实验与测试场景中,声纹识别数据处理者公开声纹识别数据时,应取得数据主体书面的单独同意。
数据删除
11.1通用要求
对声纹识别数据处理者的要求如下:应提供数据主体撤回授权同意、明示停止使用声纹识别数据的方法并保持方法有效;a)
在数据主体撤回授权同意、授权同意到期、明示停止使用声纹识别数据后,应及时对声纹识别b)
数据进行删除,并将删除结果告知数据主体;c)应确保被删除的声纹识别数据不可恢复。科学实验与测试
科学实验与测试数据处理者应在科学实验或测试目的完成后及时删除声纹识别数据,8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。