各单位、各部门：

随着人工智能技术的快速发展，学校人脸识别应用越来越广泛，为加强人脸信息在校园内各场景的顺利应用和安全稳定，防范数据安全隐患问题，结合目前学校人脸信息应用实际，特此通知如下。

一、提高安全意识

1.严格遵照国家法律法规关于公民个人信息安全管理的相关规定，个人信息数据必须校内存储，仅限校内服务应用，不公开不共享不转让。

2.遵循最小必要原则，按“非必要不采集”规定，使用师生人脸识别的部门，严格把控应用必要性和群体范围，加强相关管理人员安全意识教育。

二、规范采集存储

1.师生个人信息数据采集、存储和流转，由学校信息技术中心纳入学校数据中心统一管理，实施分级授权和安全等级保护。

2.采集渠道应确保安全规范，设备应遵循相关标准要求（GB 37300-2018、GB/T 38671-2020），人脸信息采集由信息技术中心提供的采集页面作为唯一渠道（详见附件1）。

3.在满足应用场景安全要求前提下，应仅收集用于生成人脸特征所需的最小数量、最少图像类型的人脸图像。

4.人脸信息存储必须在学校数据中心安全防护框架内，符合人脸数据不同场景应用过程中安全策略要求，符合全生命周期中的安全运营要求和管理要求。

三、规范应用管理

1.目前校园人脸识别应用场景所涉及的不同群体，人员基本信息以相对应部门管理系统数据为准，本专科学生对应教务处学籍管理系统，研究生对应研究生院学籍管理系统，教职员工（含附属医院）对应人事处人事管理系统等，经数据中心采集后与学校人脸数据库同步。无管理系统对接数据的人员，由所在部门确认身份，明确相关校园场景使用权限和时限，另行申请（详见附件2）。

2.各部门做好各类人员人脸应用权限管理，有专人负责权限划分、数据安全要求等级、人员变动数据更新等，包括但不限于删除人脸识别数据、及时撤回授权、注销账号、业务投诉及时响应等。

3.凡是已经对接学校人脸数据库接口的应用系统，如茶山校区校门人脸识别出入口、茶山校区学生宿舍人脸识别出入口，已实现同步自动更改，无需应用系统另行修改。

4.各部门在新建门禁系统、自助服务等涉及人员身份认证的应用时，请提前与信息技术中心联系，加强设备设施的安全性规范性和兼容性，并做好数据对接。

5.人脸数据申请由相关职能部门审批后，以数据库接口的形式开放使用（详见附件3），在照片上加有盲水印，信息技术中心可对照片进行盲水印解析，以追溯照片泄露方和泄露时间，确保人脸数据安全可溯源性。

对于人脸识别应用较多的部门，信息技术中心将近期组织相关说明交流会，做好数据信息安全培训。《温州医科大学信息化数据资源管理办法》〔2020〕65号，《温州医科大学数据安全管理办法》已完成征求意见提交学校发文。

信息技术中心、保卫处

2021年9月22日

附件1：人脸信息采集方法

一、微信端：扫描以下二维码，出现统一身份认证登录界面，账号为学号或工号，默认密码为身份证后六位。

二、钉钉端：首先确认钉钉账号已经加入“温州医科大学”组织（如何加入：https://mp.weixin.qq.com/s/DAUz358Uhv-FydCYwI7EYQ），打开钉钉工作台，在“公共事项”里找到并选择“人脸采集”

。

三、登录到采集页面后，依次选择“拍照上传”-“照片和视频”-“拍照”或选取已有照片（注意照片样例中的照片质量要求）。

四、拍完或者选中照片后点击“发送”，上传成功后点击“提交审核”，出现“审核成功”后完成采集。

五、其他说明：

1. 未被录入人事系统的临聘人员、附属医院人员、项目施工人员，须由相关部门网络管理员上学校注册中心将人员信息提前注册并编号后才能进行人脸信息采集。

2. 境外人员没有身份证的无法正常采集，此类教职工请将照片交给人事处综合科汇总，留学生请将照片给国际教育学院办公室汇总。(照片需露出眉毛和眼睛，可以是单张正面免冠照；命名规则为姓名_学工号.jpg，文件大小为40KB-200KB)

3. 在采集过程中如碰到其他问题请电话咨询：85773959。

附件2：人员基本信息注册申请

部门网络管理员可在钉钉中申请注册人员基本信息，在钉钉工作台中找到OA审批->人员注册申请，填写好相关信息后提交审批，审批通过后，相应人员方可使用人脸采集、虚拟校园卡等应用。

附件3：人脸数据接口申请方法

部门网络管理员可在钉钉中申请人脸数据接口，在钉钉工作台中找到OA审批->人脸接口申请，选择接口类型并录入用途后提交审批，人脸库管理员接到审批通过的消息后，会将接口配置好并发给申请人。