比如，2021年11月26日，上海市徐汇区市场监督管理局对某汽车销售服务有限公司做出行政处罚，罚款10万元整。原因是2021年1月至2021年6月期间，后者在旗下7家门店安装人脸识别摄像设备，采集消费者面部识别数据，共计采集上传人脸照片431623张，并未获得消费者同意，也无明示、告知消费者收集、使用目的。

　　据悉，客流监测服务其实完全不需要通过人脸识别来采集，没有人脸识别技术前就已开展这种服务。只不过现在有了人脸识别这样的技术，统计起来可能更加便利、准确。

　　逐渐完善个人信息保护相关法规

　　2021年8月9日，杭州市人民代表大会常务委员会发布的《杭州市物业管理条例》第50条明确规定，“物业服务人不得强制业主、非业主使用人通过提供人脸、指纹等生物信息方式进入物业管理区域或者使用共有部分”。该条例将于2022年3月1日起正式实施。

　　各地也根据本地实际情况制定了相应的法规。比如，深圳市人民代表大会常务委员会于2021年7月6日发布的《深圳经济特区数据条例》第三条规定，“处理个人数据应当具有明确、合理的目的，并遵循最小必要和合理期限原则”。第十条明确了处理个人数据应当符合的五项要求。

　　与《深圳经济特区数据条例》同时于2022年1月1日正式实施的，还有《上海市数据条例》。该《条例》第23条规定，在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所，以及居住小区、商务楼宇等区域，安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著标识。

　　信息安全相关行业前景广阔

　　一、物理安全技术的基本内容及定位

　　信息系统的物理安全设计到整个系统的配套部件、设备和设施安全的性能、所处环境安全以及整个系统可靠运行等三方面，是信息系统安全运行的基本保障。

　　硬件的抗电磁干扰能力、防电磁信息泄露能力、电源保护能力以及设备振动、碰撞、冲击适应性等安全性能直接决定了信息系统的保密性、完整性、可用性。

　　信息系统所处物理环节的优劣，如机房防火、防水、防雷、防静电、防盗防毁能力，供电能力、通信线路安全等，直接影响了信息系统的可靠性。

　　二、密码技术的基本内容及定位

　　密码学是信息安全等相关议题，如认证、访问控制的核心。密码学的首要目的是隐藏信息的涵义，并不是将隐藏信息的存在。密码学也促进了计算机科学，特别是在于电脑与网络安全所使用的技术，如访问控制与信息的机密性。密码学已被应用在日常生活：包括自动柜员机的芯片卡、电脑使用者存取密码、电子商务等等。

　　传统的加密方法是加密、解密使用同样的密钥，由发送者和接收者分别保存，在加密和解密时使用，采用这种方法的主要问题是密钥的生成、注入、存储、管理、分发等很复杂，特别是随着用户的增加，密钥的需求量成倍增加。在网络通信中，大量密钥的分配是一个难以解决的问题。

　　例如，若系统中有n个用户，其中每两个用户之间需要建立密码通信，则系统中每个用户须掌握(n-1)/2个密钥，而系统中所需的密钥总数为n*(n-1)/2个。对10个用户的情况，每个用户必须有9个密钥，系统中密钥的总数为45个。对100个用户来说，每个用户必须有99个密钥，系统中密钥的总数为4950个。这还仅考虑用户之间的通信只使用一种会话密钥的情况。如此庞大数量的密钥生成、管理、分发确实是一个难处理的问题。

　　三、身份鉴别技术的基本内容及其定位

　　身份识别技术采用密码技术(尤其是公钥密码技术)设计出安全性高的协议。

　　(1)口令方式：口令是应用最广的一种身份识别方式，一般是长度为5~8的字符串，由数字、字母、特殊字符、控制字符等组成。用户名和口令的方法几十年来一直用于提供所属权和准安全的认证来对服务器提供一定程度的保护。

　　(2)标记方式：标记是一种个人持有物，它的作用类似于钥匙，用于启动电子设备，标记上记录着用于机器识别的个人信息。

　　四、访问控制技术的基本内容及其定位

　　访问控制指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一，也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。

　　访问控制的主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。为了达到上述目的，访问控制需要完成两个任务：识别和确认访问系统的用户、决定该用户可以对某一系统资源进行何种类型的访问。

　　访问控制包括三个要素：主体、客体和控制策略。

　　(1)主体S(Subject)。是指提出访问资源具体请求。是某一操作动作的发起者，但不一定是动作的执行者，可能是某一用户，也可以是用户启动的进程、服务和设备等。

　　(2)客体O(Object)。是指被访问资源的实体。所有可以被操作的信息、资源、对象都可以是客体。客体可以是信息、文件、记录等集合体，也可以是网络上硬件设施、无限通信中的终端，甚至可以包含另外一个客体。

　　(3)控制策略A(Attribution)。是主体对客体的相关访问规则集合，即属性集合。访问策略体现了一种授权行为，也是客体对主体某些操作行为的默认。

　　五、恶意代码防范技术的基本内容及定位

　　图表：恶意代码防范技术