马识博:解读《人脸识别技术应用安全管理办法》——合规要点与实务建议

发布时间: 2025.04.16
 
 

2025年3月13日,国家互联网信息办公室与公安部联合发布《人脸识别技术应用安全管理办法》(以下简称《办法》),将于2025年6月1日正式施行。作为我国首部专门针对人脸信息处理活动的部门规章,《办法》进一步细化了《个人信息保护法》《数据安全法》等上位法的要求,标志着人脸识别技术应用的监管体系逐步完善。本文从律师视角,结合实务经验,对《办法》的核心条款及合规影响进行解读。

 

 

适用范围:哪些场景受《办法》约束?
 

 

根据《办法》第二条,其适用于境内应用人脸识别技术处理人脸信息的活动,但技术研发、算法训练场景除外。需注意的是:

1. “处理人脸信息”的界定:仅限以人脸作为个体身份识别的生物特征技术(如1:1验证、1:N辨识)。非识别目的的活动(如人流量统计)不适用《办法》,但仍需遵守《民法典》《个人信息保护法》等规定。

2. 研发活动的豁免:虽不适用《办法》,但研发中处理人脸信息仍需遵循《网络安全法》《个人信息保护法》的一般性要求,不可“放飞自我”。

 

核心合规要求:企业需关注哪些重点?
 

 

《办法》围绕“最小必要”“知情同意”“安全保障”三大原则,提出以下关键要求:

1. 处理前提:目的明确与必要性

  • 特定目的:人脸信息处理需明确、具体且合法(如身份验证、公共安全)。用户画像等场景需明示用途,避免模糊表述。

  • 充分必要性:需证明人脸识别是达成目的的“最优解”之一,但《办法》未强制要求其为唯一方式,兼顾技术创新与安全。

2. 告知与同意:增强义务

  • 显著告知:需以清晰语言告知处理者信息、处理目的、保存期限、权益影响等,并通过单独同意(如勾选、签字)获取授权。

  • 特殊群体保护:处理未成年人信息需监护人同意;公共场所采集需设置显著提示标识,默认进入区域不视为同意。

3. 存储与传输:严格本地化

  • 本地存储:人脸信息原则上不得通过互联网传输,须存储于终端设备内。确需传输的,需取得单独同意或符合法定例外。

  • 最短保存期限:保存时间不得超过实现目的所需的最短期限,超期需删除或匿名化。

4. 安全措施:技术与管理双重要求

  • 技术防护:需采取加密、访问控制、入侵检测等措施,涉及关键信息基础设施的需落实等级保护要求。

  • 备案义务:存储量达10万人脸信息的企业,需向省级以上网信部门备案,提交处理规则、安全措施及评估报告。

5. 替代方式:避免“唯一验证”

不得将人脸识别作为唯一身份验证方式,需提供其他合理替代方案(如密码、刷卡)。例如,员工考勤若使用人脸识别,需允许员工选择其他方式。

 

实务难点与应对建议
 

 

1. 公共场所安装设备的合规边界

  • 允许场景:以维护公共安全(如反恐、人群管控)为必要目的,且需合理划定采集区域、设置显著标识。

  • 禁止场景:宾馆客房、公共浴室等私密空间严禁安装。企业若以“防盗窃”为由安装,需转化为公共安全表述。

2. 数据出境的风险管控

  • 《办法》未直接限制境外技术使用,但人脸信息出境需遵守《数据安全法》《个人信息保护法》的严格审批程序。建议优先采用境内技术,避免跨境传输的合规风险。

3. 未成年人信息处理的特殊规则

  • 除监护人同意外,需制定专门的存储、使用规则,例如限制披露范围、设置访问权限,并定期审查保护措施的有效性。

4. 备案与评估的实操要点

  • 备案材料:需准备处理规则、安全措施说明、影响评估报告等,建议参考后续官方模板完善文件。

  • 动态评估:处理目的或方式变更、发生安全事件时,需重新评估风险并更新备案。

 

违法后果与合规建议
 

 

违反《办法》可能面临行政处罚(如责令整改、罚款)甚至刑事责任。企业应对策略包括:

1. 制度完善:制定《人脸信息处理规程》,明确各环节责任,并定期培训员工。

2. 技术投入:部署符合GB/T 44248-2024等标准的安全系统,确保数据加密、日志审计等功能完备。

3. 合规审查:在处理人脸信息前开展个人信息保护影响评估(PIA),留存报告至少3年。

 

结语
 

《办法》的出台,既体现了对个人权益的严格保护,也为技术创新留有空间。企业需平衡效率与合规,通过完善制度、技术升级和动态监测,构建人脸识别应用的全生命周期管理体系。在立法细化与执法趋严的背景下,提前布局合规将成为企业规避风险、提升竞争力的关键。

 

 

 

 

特别声明:

大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。

%%合规与风险控制%% $$马识博$$

大成能为您做什么?

联系我们 +