标准规范下载简介
GB/T 41807-2022 信息安全技术 声纹识别数据安全要求.pdf简介:
GB/T 41807-2022,全称为《信息安全技术 声纹识别数据安全要求》,是中国关于声纹识别技术数据安全管理的一项国家标准。该标准主要规定了在声纹识别系统中,如何处理、存储和传输声纹识别数据时应遵循的安全要求,以确保用户的声纹信息不被非法获取、使用或泄露,保护个人隐私和信息安全。
其内容可能包括但不限于以下方面:
1. 数据加密:要求声纹数据在采集、存储和传输过程中必须进行加密,以防止数据被未经授权的人员访问。
2. 访问控制:规定了对声纹数据的访问权限管理,确保只有经过授权的系统和人员才能访问这些数据。
3. 安全审计:要求定期进行安全审计,以便监控和发现潜在的安全问题。
4. 数据生命周期管理:明确了声纹数据的生命周期管理策略,包括数据的创建、存储、使用、销毁等各阶段的安全控制措施。
5. 数据最小化原则:强调在满足业务需求的前提下,尽可能减少收集和处理的声纹数据量,降低数据泄露的风险。
6. 安全培训:要求参与声纹识别系统设计、实施和运营的人员接受信息安全培训,提高安全意识。
总的来说,GB/T 41807-2022 是为了在推动声纹识别技术广泛应用的同时,确保其在信息安全方面的合规性,保障用户的声纹信息安全。
GB/T 41807-2022 信息安全技术 声纹识别数据安全要求.pdf部分内容预览:
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069信息安全技术术语 GB/T35273信息安全技术个人信息安全规范 GB/T37988信息安全技术数据安全能力成熟度模型 GB/T39335信息安全技术个人信息安全影响评估指南 GB/T40660信息安全技术生物特征识别信息保护基本要求 GB/T41479信息安全技术网络数据处理安全要求
GB/T25069、GB/T35273、GB/T37988、GB/T40660和GB/T41479界定的以及下 适用于本文件。 3.1 声纹识别数据主体voiceprintrecognitiondatasubject 声纹识别数据所对应的特定自然人。 注:本文件中简称“数据主体”。 3.2 语音样本speechsample 语音的模拟表示或数字表示。 注:直接从数据主体收集的语音样本中蕴含数据主体的声纹。 3.3 声纹 voiceprint 人的语音中所蕴含的、能用以表征和标识数据主体的生物学特性和行为特性的总称。 3.4 声纹语音样本 voiceprintspeechsample 可提取声纹的语音样本。 注1:智能语音交互过程中所收集的语音样本如未经过特殊处理,可提取声纹,属于声纹语音样本。
注2:采用参数合成方法生成的语音样本不蕴含声纹,不属于声纹语音样本。 注3:声纹语音样本是一类生物特征样本,生物特征样本见GB/T5271.37一2021。 3.5 声纹特征项voiceprintfeature 从声纹语音样本中提取的用于声纹识别的参数。 注1:常用的声纹特征项参数包括频谱(spectrum)、倒频谱(cepstrum)、线性预测系数(LPC)、音高(pitch)、声调 (tone)、共振峰(formant)、音质(voicequality)、声韵(prosody)等各种层次的信息。 注2:声纹特征项具有不可逆性,无法还原出声纹语音样本。 3.6 声纹模型voiceprintmodel 对具体某个数据主体的声纹特征项进行描述的数学模型。 注1:常用的数学模型有高斯混合模型(Gaussian mixturemodel)、隐马尔可夫模型(hiddenMarkovmodel)、支持向 量机(supportvectormachine)等。 注2:一些数学模型可以生成表征和标识数据主体的参数,这些参数常常对应具体某个数据主体的模型参数的取 值,也简称为声纹模型。 3.7 声纹识别数据voiceprintrecognitiondata 声纹语音样本及其处理得到的,可单独或结合其他信息识别数据主体的数据。 注:声纹识别数据包括声纹语音样本、声纹特征项和声纹模型。 3.8 声纹数据分析voiceprintdataanalysis 对声纹语音样本进行统计、检测或特征分析的活动。 注:声纹数据分析的典型应用包括但不限于会议发言人数统计、人声美化、识别数据主体的年龄、性别、口音、情感、 健康信息等。
注2:采用参数合成方法生成的语音样本不蕴含声纹,不属于声纹语音样本。 注3:声纹语音样本是一类生物特征样本,生物特征样本见GB/T5271.37一2021。 3.5 声纹特征项voiceprintfeature 从声纹语音样本中提取的用于声纹识别的参数。 注1:常用的声纹特征项参数包括频谱(spectrum)、倒频谱(cepstrum)、线性预测系数(LPC)、音高(pitch)、声调 (tone)、共振峰(formant)、音质(voicequality)、声韵(prosody)等各种层次的信息。 注2:声纹特征项具有不可逆性,无法还原出声纹语音样本。 3.6 声纹模型voiceprintmodel 对具体某个数据主体的声纹特征项进行描述的数学模型。 注1:常用的数学模型有高斯混合模型(Gaussian mixturemodel)、隐马尔可夫模型(hiddenMarkovmodel)、支持向 量机(supportvectormachine)等。 注2:一些数学模型可以生成表征和标识数据主体的参数,这些参数常常对应具体某个数据主体的模型参数的取 值,也简称为声纹模型。 3.7 声纹识别数据voiceprintrecognitiondata 声纹语音样本及其处理得到的,可单独或结合其他信息识别数据主体的数据。 注:声纹识别数据包括声纹语音样本、声纹特征项和声纹模型。 3.8 声纹数据分析voiceprintdataanalysis 对声纹语音样本进行统计、检测或特征分析的活动。 注:声纹数据分析的典型应用包括但不限于会议发言人数统计、人声美化、识别数据主体的年龄、性别、口音、情感、 健康信息等。
GB/T 38684-2020 金属材料 薄板和薄带 双轴应力-应变曲线胀形试验 光学测量方法.4.1.1.1身份识别应用
身份识别应用场景是指声纹识别数据用于识别数据主体身份的场景。在此场景中处理的数据包 语音样本、声纹特征项和声纹模型,通常还包括其他个人信息。 典型应用场景如:移动设备声纹解锁屏、声纹门禁、声纹锁、远程声纹身份鉴别等。
4.1.1.2非身份识别应用
非身份识别应用场景是指应用场景涉及声纹语音样本,但未用于识别数据主体身份的场景。在 中处理的数据是声纹语音样本,可能包括其他个人信息。 典型应用场景如:提供智能语音技术应用,业务场景中收集的语音样本包含声纹,但不涉及使用
非应用场景主要是科学实验与测试场景,它是指声纹识别数据用于开展与语音有关的科学实验活 动和产品测试的场景。在此场景中处理的数据包括声纹语音样本、声纹特征项和声纹模型,通常还包括 其他个人信息。当数据处理者收集声纹语音样本时,可能会引人第三方和其他数据处理者。 典型应用场景如:科研机构(数据处理者)委托第三方收集或标注声纹语音样本并开展研究工作,包 括高校进行声纹技术处理研究,学术团体开展算法竞赛和评比等;检测机构(数据处理者)开展算法或产 品评测等。
声纹识别数据处理活动中常见的安全
GB/T 41807—2022
撤销已泄露数据,重建不同的声纹模型等。 k)应制定并公开发布声纹识别数据保护策略,清晰、准确、完整地描述对于声纹识别数据的处理 行为,确保数据主体易于理解。 1)应采取措施确保数据主体权利,包括但不限于获取声纹识别数据使用情况、撤回授权同意、注 销账号、投诉、获得及时响应等。 m)凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的,应遵循密码相关国家标 准和行业标准。 n)在中华人民共和国境内收集或产生的声纹识别数据应在境内存储,因业务需要确需出境的,应 按照个人信息出境相关规定进行安全评估
在身份识别应用场景中,对声纹识别数据处理者的要求如下: ?) 一 开展身份识别业务时,不应将声纹识别作为唯一的身份识别手段,以强制数据主体同意收集其 个人声纹语音样本;法律、行政法规另有规定的从其规定; b)不应将收集声纹语音样本作为使用产品或服务的前提条件; 2 收集声纹语音样本用于声纹注册时,应先对用户进行身份核验; ? 应采用技术手段防止针对声纹身份识别应用的呈现攻击。 注1:技术手段包括语音鉴伪、语音质量检测、语音内容识别等。 注2:呈现攻击是指以干扰生物特征识别系统的操作为目的,针对生物特征数据采集模块的一种攻击行为。通常针 对声纹识别系统的呈现攻击包括录音重放、语音模仿、语音合成、语音拼接等。
在非身份识别应用场景中,对声纹识别数据处理者的要求如下: a) 1 应明示告知数据主体产品或服务所具有的收集声纹语音样本和声纹数据分析的功能,并声明 和承诺所收集的声纹语音样本不用于身份识别; b) 开展声纹数据分析前应取得数据主体的单独同意; c?+ 应遵循“最小必要”原则,避免过度收集超出产品或服务基本业务功能所必须数量的声纹语音 样本; d) 2 应通过语音转换等技术手段消除或破坏语音样本中的声纹后再进行处理,处理声纹是提供产 品或服务基本业务功能所必须的情况除外。
GB 51351-2019-T :建筑边坡工程施工质量验收标准(无水印,带书签)GB/T 41807—2022
在身份识别应用场景中,声纹识别数据处理者不应将仅在本地设备上实现产品功能的声纹语音样 本传输到远程服务器处理。 注:仅在本地设备上实现身份识别产品功能的情形包括移动设备声纹解锁屏、利用声纹识别实现移动设备应用 锁等。
在身份识别应用场景中,声纹识别数据处理者不应将仅在本地设备上实现产品功能的声纹语音 输到远程服务器处理。 注:仅在本地设备上实现身份识别产品功能的情形包括移动设备声纹解锁屏、利用声纹识别实现移动设备应 锁等。
在非身份识别应用场景中,对声纹识别数据处理者的要求如下: a)仅在本地设备上实现的产品功能不应将声纹语音样本及其处理得到的数据传输到远程服务器 端处理; 注:仅在本地设备上实现非身份识别产品功能的情形包括智能音箱语音唤醒、手机语音拨号等。 b) 不应存储声纹语音样本。确需存储的,应限定存储期限或存储期限的规则,另行明示告知并取 得数据主体单独同意,且应采用物理或逻辑隔离的方式分别存储声纹语音样本与数据主体的 身份信息
声纹识别数据处理者将声纹识别数据用于除授权同意处理目的之外的其他处理活动,应重新取得 数据主体的单独同意
在科学实验与测试场景中,对声纹识别数据处理者的要求如下: a 应只记录实现科学实验或测试目的所必需的个人信息;
注:必需的个人信息包括年龄、性别、口音、情感、健康信息等。 b) 2 应对声纹识别数据进行去标识化处理; C) 不应将声纹识别数据和关联信息用于未取得数据主体授权同意的其他研究开发或测试活
对声纹识别数据处理者的要求如下: a)向第三方提供声纹识别数据时,应告知数据主体提供数据的目的、类型、方式、范围、存储期限 存储地点,并取得数据主体的单独同意; b) 应通过合同的形式与第三方约定处理数据的目的、范围、处理方式、数据安全保护措施等,并对 第三方数据处理活动进行监督; ?) 应根据业务情况确定数据提供的类型、方式、用途和数量,并针对不同量级数据提供审批流 程,采取数据加密等保护措施。
在非身份识别应用场景中SGBZ-0217砖混结构、构造柱、圈梁、板缝等混凝土施工工艺标准,声纹识别数据处理者不应向第三方提供声纹语音样本