DB31/T 1555-2025 人脸识别系统工程验收规范

上海市地方标准 DB31/T 1555-2025《人脸识别系统工程验收规范》主要内容总结

​​1. 范围与引用标准​​

• ​​适用范围​​：上海市采用人脸识别技术进行身份验证或辨识的系统工程验收，涵盖安防、金融、教育等多领域。
• ​​引用标准​​：包括GB/T 35273（个人信息安全）、GB/T 41819（人脸数据安全）、DB31/T 1467（分级分类应用指南）等20余项国家标准和行业规范。

​​2. 术语与缩略语​​

• ​​关键术语​​：如“人脸测试数据集”（用于验收的脱敏数据集合）。
• ​​性能指标缩略语​​：FAR（错误接受率）、FRR（错误拒绝率）、LDER（活体检测错误率）等。

​​3. 验收总体要求​​

• ​​试运行​​：系统需试运行7-30天，由建设单位出具报告。
• ​​检验机构资质​​：仪器设备需校准，测试数据集需符合标准（如GA/T 1755）。
• ​​验收范围​​：覆盖建设规范中的系统功能、性能、信息安全等要求。

​​4. 验收程序​​

• ​​流程​​：试运行→检验申请→检验方案制定→检验实施→判定结果（合格/基本合格/不合格）→验收申请→专家组审查→验收结论。
• ​​结果处理​​：
  • ​​通过​​：出具合格报告，系统可正式使用。
  • ​​基本通过​​：整改后复验，合格后使用。
  • ​​不通过​​：禁止使用，需重新整改。

​​5. 验收文件要求​​

• ​​建设流程文档​​：
  • 主体资质证明、风险评估报告、设计评审记录。
  • 数据源合法性说明、用户知情同意文件、场所合规性说明。
• ​​工程验收文档​​：
  • 建设方案、设备清单、检测报告、试运行报告、竣工报告等。
  • 功能/性能检验报告（符合DB31/T XXXX-20XX第6-7章）。

​​6. 技术检验方法​​

• ​​系统集成​​：检查协议兼容性（如GB/T 28181视频联网标准）。
• ​​数据管理​​：
  • ​​存储​​：加密存储（国产商用密码）、逻辑/物理隔离、备份容灾。
  • ​​格式​​：符合场景需求（如特征值不可逆）。
• ​​功能测试​​：
  • ​​人脸解析​​：检测、特征提取（成功率≥99%）、属性分析（年龄、附属物）。
  • ​​注册​​：支持批量导入，注册失败率≤1%。
  • ​​验证（1:1）​​：响应时间≤2秒，FAR≤0.1%、FRR≤5%。
  • ​​辨识（1:N/n:N）​​：响应时间≤3秒，FPIR≤1%、FNIR≤5%。
  • ​​防伪检测​​：活体检测/PADER≤1%，防假体攻击（GB/T 41987）。
• ​​系统安全​​：
  • 日志记录（时间、设备标识、操作结果）。
  • 权限管理、数据加密传输（哈希校验）、防数据恢复。
  • 等级保护：公共场所系统需符合GB/T 22239三级以上。

​​7. 验收检查重点​​

• ​​合规性审查​​：
  • ​​主体资质​​：信息安全管理体系认证（如ISO 27001）。
  • ​​风险评估​​：依据DB31/T 1467评估场景风险等级（A-D级），并采取对应措施。
  • ​​数据源合法性​​：使用证件照片需单独授权，权威数据库需许可证明。
  • ​​用户知情权​​：明确提示、未成年人监护人同意、公共场所即时告知。
  • ​​场所合规​​：禁止在敏感区域（如厕所、更衣室）部署。

​​8. 建设方案审查​​

• ​​工程概况​​：用途、必要性分析、数据源、联网方式、现场勘察。
• ​​设计说明​​：系统架构、设备指标（如摄像头分辨率）、隐私影响评估。
• ​​运维管理​​：责任人员、应急预案、巡检计划。

​​9. 特殊场景要求​​

• ​​公共场所警示标志​​：符合GB/T 40694.5图示标准。
• ​​数据共享​​：接入上海市数据平台需符合DB31/T 1240.2接口规范。
• ​​断电保护​​：UPS电源保障数据不丢失。

​​10. 信息安全与隐私保护​​

• ​​数据最小化​​：仅收集必要信息，默认不存储原始图像（特定场景需授权）。
• ​​加密机制​​：传输与存储加密，敏感信息访问控制。
• ​​删除与更新​​：不可恢复删除，定期更新特征数据。

​​总结​​

该标准全面规范了人脸识别系统从技术性能到法律合规的全流程验收要求，强调隐私保护（如知情同意、数据最小化）、安全防护（加密、防攻击）及场景适配（风险分级），确保系统在高效运行的同时符合伦理与法律要求。验收需通过技术测试（功能/性能）和文件审查（资质/合规），形成双重保障机制。