2025年3月13日,国家互联网信息办公室与公安部联合发布《人脸识别技术应用安全管理办法》(以下简称《办法》),将于2025年6月1日正式施行。作为我国首部专门针对人脸信息处理活动的部门规章,《办法》进一步细化了《个人信息保护法》《数据安全法》等上位法的要求,标志着人脸识别技术应用的监管体系逐步完善。本文从律师视角,结合实务经验,对《办法》的核心条款及合规影响进行解读。
根据《办法》第二条,其适用于境内应用人脸识别技术处理人脸信息的活动,但技术研发、算法训练场景除外。需注意的是:
1. “处理人脸信息”的界定:仅限以人脸作为个体身份识别的生物特征技术(如1:1验证、1:N辨识)。非识别目的的活动(如人流量统计)不适用《办法》,但仍需遵守《民法典》《个人信息保护法》等规定。
2. 研发活动的豁免:虽不适用《办法》,但研发中处理人脸信息仍需遵循《网络安全法》《个人信息保护法》的一般性要求,不可“放飞自我”。
《办法》围绕“最小必要”“知情同意”“安全保障”三大原则,提出以下关键要求:
1. 处理前提:目的明确与必要性
特定目的:人脸信息处理需明确、具体且合法(如身份验证、公共安全)。用户画像等场景需明示用途,避免模糊表述。
充分必要性:需证明人脸识别是达成目的的“最优解”之一,但《办法》未强制要求其为唯一方式,兼顾技术创新与安全。
2. 告知与同意:增强义务
显著告知:需以清晰语言告知处理者信息、处理目的、保存期限、权益影响等,并通过单独同意(如勾选、签字)获取授权。
特殊群体保护:处理未成年人信息需监护人同意;公共场所采集需设置显著提示标识,默认进入区域不视为同意。
3. 存储与传输:严格本地化
本地存储:人脸信息原则上不得通过互联网传输,须存储于终端设备内。确需传输的,需取得单独同意或符合法定例外。
最短保存期限:保存时间不得超过实现目的所需的最短期限,超期需删除或匿名化。
4. 安全措施:技术与管理双重要求
技术防护:需采取加密、访问控制、入侵检测等措施,涉及关键信息基础设施的需落实等级保护要求。
备案义务:存储量达10万人脸信息的企业,需向省级以上网信部门备案,提交处理规则、安全措施及评估报告。
5. 替代方式:避免“唯一验证”
不得将人脸识别作为唯一身份验证方式,需提供其他合理替代方案(如密码、刷卡)。例如,员工考勤若使用人脸识别,需允许员工选择其他方式。
1. 公共场所安装设备的合规边界
允许场景:以维护公共安全(如反恐、人群管控)为必要目的,且需合理划定采集区域、设置显著标识。
禁止场景:宾馆客房、公共浴室等私密空间严禁安装。企业若以“防盗窃”为由安装,需转化为公共安全表述。
2. 数据出境的风险管控
《办法》未直接限制境外技术使用,但人脸信息出境需遵守《数据安全法》《个人信息保护法》的严格审批程序。建议优先采用境内技术,避免跨境传输的合规风险。
3. 未成年人信息处理的特殊规则
除监护人同意外,需制定专门的存储、使用规则,例如限制披露范围、设置访问权限,并定期审查保护措施的有效性。
4. 备案与评估的实操要点
备案材料:需准备处理规则、安全措施说明、影响评估报告等,建议参考后续官方模板完善文件。
动态评估:处理目的或方式变更、发生安全事件时,需重新评估风险并更新备案。
违反《办法》可能面临行政处罚(如责令整改、罚款)甚至刑事责任。企业应对策略包括:
1. 制度完善:制定《人脸信息处理规程》,明确各环节责任,并定期培训员工。
2. 技术投入:部署符合GB/T 44248-2024等标准的安全系统,确保数据加密、日志审计等功能完备。
3. 合规审查:在处理人脸信息前开展个人信息保护影响评估(PIA),留存报告至少3年。
《办法》的出台,既体现了对个人权益的严格保护,也为技术创新留有空间。企业需平衡效率与合规,通过完善制度、技术升级和动态监测,构建人脸识别应用的全生命周期管理体系。在立法细化与执法趋严的背景下,提前布局合规将成为企业规避风险、提升竞争力的关键。
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。
%%合规与风险控制%% $$马识博$$
大成能为您做什么?
联系我们 +