您的脸您作主,可以说不!
近日,国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》(以下简称《办法》),自2025年6月1日起施行。
国家互联网信息办公室有关负责人表示,人脸识别技术应用与人脸信息安全紧密相关,受到社会各方高度关注。为了规范应用人脸识别技术处理人脸信息活动,保护个人信息权益,国家互联网信息办公室、公安部联合出台《办法》,对应用人脸识别技术处理人脸信息的基本要求和处理规则、人脸识别技术应用安全规范、监督管理职责等作出了规定。
《办法》明确了应用人脸识别技术处理人脸信息的基本要求。应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。
《办法》明确了应用人脸识别技术处理人脸信息的处理规则。一是应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。二是应当履行告知义务。三是基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。四是除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。五是应当事前进行个人信息保护影响评估,并对处理情况进行记录。
《办法》明确了人脸识别技术应用安全规范。一是实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。国家另有规定的,从其规定。二是应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施。三是任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。四是在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。五是人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。
《办法》明确了监督管理职责。个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作。
《办法》同时对违反《办法》规定的法律责任、相关术语的含义等作出了规定。
《办法》全文如下
国家互联网信息办公室中华人民共和国公安部
令
第19号
《人脸识别技术应用安全管理办法》已经2024年9月30日国家互联网信息办公室2024年第23次室务会会议审议通过,并经公安部同意,现予公布,自2025年6月1日起施行。
国家互联网信息办公室主任 庄荣文
公安部部长 王小洪
2025年3月13日
人脸识别技术应用安全管理办法
第一条 为了规范应用人脸识别技术处理人脸信息活动,保护个人信息权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规,制定本办法。
第二条 在中华人民共和国境内应用人脸识别技术处理人脸信息的活动,适用本办法。
在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用本办法的规定。
第三条 应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。
第四条 应用人脸识别技术处理人脸信息,应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。
第五条 个人信息处理者应用人脸识别技术处理人脸信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)人脸信息的处理目的、处理方式,处理的人脸信息保存期限;
(三)处理人脸信息的必要性以及对个人权益的影响;
(四)个人依法行使权利的方式和程序;
(五)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
法律、行政法规规定可以不向个人告知的,从其规定。
处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定。
第六条 基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。法律、行政法规规定处理人脸信息应当取得个人书面同意的,从其规定。
基于个人同意处理人脸信息的,个人有权撤回同意,个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第七条 基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者应用人脸识别技术处理不满十四周岁未成年人人脸信息的,应当在存储、使用、转移、披露等方面制定专门的处理规则,依法保护未成年人个人信息安全。
第八条 除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。
除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。
第九条 个人信息处理者应用人脸识别技术处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估主要包括下列内容:
(一)人脸信息的处理目的、处理方式是否合法、正当、必要;
(二)对个人权益带来的影响,以及降低不利影响的措施是否有效;
(三)发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害;
(四)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存3年。处理人脸信息的目的、方式发生变化,或者发生重大安全事件的,应当重新进行个人信息保护影响评估。
第十条 实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。
国家对应用人脸识别技术验证个人身份另有规定的,从其规定。
第十一条 应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施,减少人脸信息收集、存储,保护人脸信息安全。
第十二条 任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
第十三条 在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。
任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。
第十四条 人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。涉及网络安全等级保护、关键信息基础设施的,应当按照国家有关规定履行网络安全等级保护、关键信息基础设施保护义务。
第十五条 个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。申请备案应当提交下列材料:
(一)个人信息处理者的基本情况;
(二)人脸信息处理目的和处理方式;
(三)人脸信息存储数量和安全保护措施;
(四)人脸信息的处理规则和操作规程;
(五)个人信息保护影响评估报告。
备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。
第十六条 网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作。
网信部门、公安机关和其他履行个人信息保护职责的部门依法对应用人脸识别技术处理个人信息活动实施监督检查,个人信息处理者应当依法予以配合。
第十七条 任何组织、个人有权对违法应用人脸识别技术处理人脸信息的活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉人、举报人。
第十八条 违反本办法规定的,依照有关法律、行政法规的规定处理;构成犯罪的,依法追究刑事责任。
第十九条 本办法下列术语的含义:
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
(二)人脸信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的面部特征生物识别信息,不包括匿名化处理后的信息。
(三)人脸识别技术,是指以人脸信息作为识别个体身份的个体生物特征识别技术。
(四)人脸识别设备,是指应用人脸识别技术识别个体身份的终端设备。
(五)验证个人身份,是指通过收集获得的人脸信息与信息系统存储的特定人脸信息进行“一对一”比对,确认和核对两者是否为同一人。
(六)辨识特定个人,是指通过收集获得的人脸信息与信息系统存储的特定范围内人脸信息进行“一对多”比对,发现和识别具有特定身份的个人。
第二十条 本办法自2025年6月1日起施行。
《人脸识别技术应用安全管理办法》
答记者问
近日,国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。
问1:请介绍一下《办法》的出台背景?
答:随着云计算、大数据、物联网、人工智能等互联网技术飞速发展,人脸识别技术应用在消费、金融、出行等社会各领域快速普及,在促进数字经济发展、方便人民生活的同时,也引发了公众对侵犯隐私、泄露个人信息的担忧,受到社会各方高度关注。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律、行政法规对个人信息处理规则作出了规定。同时,《中华人民共和国个人信息保护法》第六十二条规定,国家网信部门统筹协调有关部门针对人脸识别等新技术、新应用制定专门的个人信息保护规则。制定出台《办法》是落实法律、行政法规规定的重要举措,目的是规范应用人脸识别技术处理人脸信息活动,保护个人信息权益。
问2:《办法》如何处理发展与安全的关系,在保护个人信息权益的同时促进人脸识别技术发展?
答:《办法》坚持发展与安全并重,妥善处理促进创新和依法治理之间的关系,在保护个人信息权益的同时鼓励人脸识别技术的应用和创新。一方面,《办法》规定应用人脸识别技术处理人脸信息的基本要求和具体规则,建立人脸识别技术应用监督管理制度,规范人脸识别技术应用,切实保护广大人民群众的个人信息权益。另一方面,《办法》明确在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用本办法的规定,为开展人脸识别技术的攻关研究和应用创新预留空间,有利于推动相关产业安全健康发展。
问3:《办法》的主要内容是什么?
答:《办法》主要对下列内容进行了规定:一是明确应用人脸识别技术处理人脸信息的基本要求,规定应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德等。二是明确应用人脸识别技术处理人脸信息的处理规则,规定应用人脸识别技术处理人脸信息,应当具有特定的目的和充分的必要性,个人信息处理者应当履行告知、进行个人信息保护影响评估等义务。三是明确人脸识别技术应用安全规范,规定实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式,明确在公共场所安装人脸识别设备的具体要求。四是明确监督管理职责和法律责任,规定个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续,明确违反本办法规定的法律责任。
问4:《办法》对应用人脸识别技术处理人脸信息活动提出了哪些基本要求?
答:《办法》规定,应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。
问5:《办法》对应用人脸识别技术处理人脸信息规定了哪些处理规则?
答:《办法》对应用人脸识别技术处理人脸信息规定了以下处理规则:一是应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。二是应当履行告知义务,处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定。三是基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。四是除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。五是应当事前进行个人信息保护影响评估,并对处理情况进行记录。
问6:《办法》对人脸识别技术应用规定了哪些安全规范?
答:《办法》对人脸识别技术应用规定了以下安全规范:一是实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。国家另有规定的,从其规定。二是应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施。三是任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。四是在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。五是人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。
问7:针对群众普遍关心的强制刷脸问题,《办法》作出了哪些规定?
答:人脸信息是敏感个人信息,一旦泄露,容易对个人的人身和财产安全造成重大危害,甚至威胁公共安全。针对“刷脸”住宿、“刷脸”进小区等人脸识别技术应用场景泛化、强制使用等问题,《办法》明确了人脸识别技术应用的非强制原则,规定实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。国家对应用人脸识别技术验证个人身份另有规定的,从其规定。
问8:《办法》对个人信息处理者应用人脸识别技术处理人脸信息备案提出了哪些要求?
答:《办法》从信息数量、备案时间、备案部门、备案材料、备案变更和注销五个方面对个人信息处理者应用人脸识别技术处理人脸信息备案提出了具体要求。一是信息数量方面,以“应用人脸识别技术处理的人脸信息存储数量达到10万人”为备案起始数量。二是备案时间方面,规定应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内进行备案。三是备案部门方面,明确向所在地省级以上网信部门履行备案手续。四是备案材料方面,明确应当提交个人信息处理者的基本情况、人脸信息处理目的和处理方式、人脸信息存储数量和安全保护措施、人脸信息的处理规则和操作规程、个人信息保护影响评估报告五项材料。五是备案变更和注销方面,明确备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。
专家解读一
筑牢人脸信息保护法治屏障
推进数据安全治理能力现代化
(上下滑动查看)
随着人脸识别技术的快速发展和广泛应用,人脸识别技术在提升社会管理效率、增强安全保障等方面发挥了重要作用。然而,技术的滥用也带来了隐私泄露、数据安全等风险。近日,国家互联网信息办公室与公安部联合出台了《人脸识别技术应用安全管理办法》(以下简称《办法》),对人脸识别技术应用的范围和要求做出具体规定,对于有效保护个人信息权益,提升国家数据安全治理监管能力具有重要意义。
一、《办法》突出问题导向,积极回应了社会关切
《办法》以维护广大人民利益作为出发点和落脚点,对人脸识别技术使用中人民群众反映强烈、社会关注度高的问题,给出明确具体的回应,体现了鲜明的问题导向。
针对强制使用人脸识别技术问题,例如国内某小区物业强制业主使用人脸识别技术作为唯一出入方式,某银行App强制人脸验证登录,某健身房强制会员刷脸入场等,《办法》确立非唯一验证原则,第十条明确规定“实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式”。同时,为了减少人脸信息收集、存储,第十一条明确规定“应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施,减少人脸信息收集、存储,保护人脸信息安全”。
针对社会反映强烈的部分弱势群体的人脸信息权益受损的问题,例如国内某在线教育平台通过摄像头采集学生课堂表情数据用于“学习效果分析”,某保姆利用人脸识别技术诈骗老人等,《办法》第五条明确规定“处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定”,第七条明确要求“基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意”。
针对社会广泛关注的公共场所、私密空间滥用人脸识别技术的问题,例如国内某酒店在客房内安装人脸识别门锁,《办法》第十三条明确规定“在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备”。
二、《办法》坚持系统观念,全面覆盖了治理重点环节
《办法》着眼人脸识别技术应用的全流程管理,明确了告知、评估、备案、处罚等重点环节的具体要求,环环相扣,层层递进,体现了立法的系统观念。
在告知环节,《办法》第五条明确规定应用人脸识别技术处理人脸信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式,人脸信息的处理目的、处理方式以及保存期限、处理的必要性等等,要求应用人脸识别技术的主体必须履行告知义务,保障公众的知情权。同时第十三条明确规定,在公共场所安装人脸识别设备时,应当设置显著提示标识。
在评估环节,《办法》第九条明确规定,个人信息处理者应用人脸识别技术处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估主要包括处理人脸信息的处理目的、处理方式的合法性、正当性、必要性等,并要求评估报告和处理情况记录至少保存3年。
在备案环节,《办法》第十五条明确规定,“个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续”。申请备案应当提交个人信息处理者的基本情况、人脸信息处理目的和处理方式、存储数量和安全保护措施、处理规则和操作规程、个人信息保护影响评估报告等材料。这不仅有助于监管部门掌握实际应用情况,也为后续监督检查提供了依据。
在处罚环节,《办法》第十八条明确规定,“违反本办法规定的,依照有关法律、行政法规的规定处理;构成犯罪的,依法追究刑事责任”。
三、《办法》注重落地见效,完整构筑了监管责任体系
《办法》围绕落地实施的可操作性和实效性,针对监管部门、个人信息处理者、社会大众等,建立了主体明确、要求清晰、相互协作的责任体系,体现了科学立法的精神。
首先,《办法》明确了有关部门的监管责任。《办法》第十六条规定“网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作”,第十七条规定“收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉人、举报人”。通过多部门的协同配合,形成了强有力的监管合力。
其次,《办法》对个人信息处理者应承担的责任给出明确规定。前端设置告知同意规则,《办法》第六条明确规定,“基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意”;中端规定存储传输限制,《办法》第八条明确规定,“除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输”;后端建立备案管理制度等。同时,要求个人信息处理者应当配合监管部门的监督检查。
此外,《办法》还鼓励社会大众积极参与监管。《办法》第十七条明确规定,“任何组织、个人有权对违法应用人脸识别技术处理人脸信息的活动向履行个人信息保护职责的部门进行投诉、举报”。通过公众的广泛参与,形成社会共治的良好氛围。
《办法》的出台,标志着我国在人脸识别技术应用管理方面迈出了重要一步,是我国个人信息保护历程中的里程碑,必将为提高我国个人信息保护水平、提升我国数据安全治理监管能力发挥重要作用。
专家解读二
人脸识别技术应用安全
深系人民安全和幸福
(上下滑动查看)
近年来,人脸识别技术不断取得突破,因其高效便捷而被广泛使用,并迅速融入人们的日常生活。从机场、火车站的快速安检,到小区门禁系统的便捷出入;从移动支付的刷脸认证,到学校课堂的考勤管理,这项技术正以前所未有的速度重塑着人们的生活方式,极大地提升了社会运行效率。“刷脸”解锁、“刷脸”支付、“刷脸”入景区、“刷脸”进小区等生活中的人脸识别技术应用越来越常见。然而,人脸识别技术在广泛应用过程中,也存在着不容忽视的安全隐患。《人脸识别技术应用安全管理办法》(以下简称《办法》)的出台,有利于推进人脸识别技术应用规范发展。
一、推动解决人脸识别技术滥用
人脸识别技术在便利人们生活的同时,被滥用的趋势愈发严重,引发的个人信息保护问题也日益凸显。尤其是在“刷脸”过程中,个人用户的面部细节和生物特征信息等被采集并储存。一方面,部分企业、行业机构在未经用户明确同意的情况下,擅自收集、使用用户的人脸信息,侵犯了用户的隐私权,引发社会关注和担忧。另一方面,一旦存储人脸信息的数据库遭到黑客攻击或者被内部人员非法盗取,大量用户的人脸信息将面临泄露的危险。人脸信息泄露可能会导致用户遭遇诈骗、身份被盗用等严重后果。2024年6月,杭州市网警分局破获了国内首起“AI换脸技术”侵犯隐私案,犯罪团伙通过使用境外多模态专用大模型,通过文字对话,输出活体视频,突破平台人脸认证,获取了大量受害人个人信息包括敏感个人信息并出售获利。《办法》积极回应了社会关切,有利于推动人脸识别技术滥用问题得到有效解决。
二、推动高质量发展和高水平安全良性互动
《中华人民共和国个人信息保护法》第六十二条中明确,国家网信部门统筹协调有关部门,针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准。近日,国家互联网信息办公室与公安部联合公布《办法》,明确了应用人脸识别技术处理人脸信息活动时所应遵循的基本要求和使用规则,为人脸识别技术应用安全管理提供了重要依据。《办法》为个人信息处理者合规使用人脸识别技术提供了具体指引,在推动技术发展的同时,强调了安全保障的重要性,确保技术进步与风险防控并重。在应用管理方面,《办法》确立了告知、个人同意、未成年人保护、人脸信息存储、个人信息保护影响评估和非唯一验证等六项基本要求,对人脸识别技术的具体应用场景进行了规范,确保其应用安全可控,防止侵害个人权益。在安全防护方面,《办法》明确强化人脸识别技术应用系统的网络和数据安全要求。人脸识别技术应用系统是个人信息处理者处理人脸信息的关键载体,是开展人脸信息保护的核心所在,个人信息处理者应采取必要的安全措施强化应用系统安全防护。在监督管理方面,《办法》建立了相应的监督管理机制,确保相关规定的执行和落实,明确责任主体和监管措施。
三、推动个人信息保护走深走实
人脸识别技术应用安全绝非小事,它深系人民的安全与幸福,牵一发而动全身,必须多管齐下,构建全方位的安全保障体系。
在法律层面,《办法》作为《中华人民共和国个人信息保护法》的关键配套制度,为人脸识别技术应用安全管理工作提出了具体要求,明确了人脸识别技术的应用边界、使用规则等内容。通过规范性制度约束,有利于进一步规范企业和相关机构行为,为人脸识别技术的合规应用提供坚实的法律依据。
在技术层面,鼓励和支持相关机构不断提升人脸识别技术的安全性和可靠性。加强对数据加密技术的研究,确保人脸信息在收集、存储、传输等环节的安全,防止数据被窃取或篡改。通过优化算法,提高识别系统的抗干扰和防伪鉴真能力。
在社会层面,要加强公众宣传教育,提高人们对人脸识别技术安全风险的认识和防范意识。让公众了解如何保护自己的人脸信息,在面对人脸识别应用时,能够理性判断,谨慎授权。同时,鼓励公众积极参与监督,对发现的人脸识别技术滥用行为及时举报,形成全社会共同维护技术应用安全的良好氛围。
专家解读三
明确人脸识别应用边界
完善个人信息权益保障
随着人工智能、图像处理和计算机视觉技术的飞速发展,人脸识别技术在经济社会各领域广泛应用,其便捷性和高效性为数字化转型提供了有力支撑,但同时也带来了不少安全隐患和伦理挑战。近日,国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》(以下简称《办法》),针对人脸识别技术的应用提出了系统化的规范指引,旨在应对人脸识别技术滥用,完善治理机制,保护个人信息权益,维护社会秩序和公共安全。
一、《办法》出台具有重要的实践意义
第一,促进人脸识别技术的合法使用,降低安全风险。人脸识别技术作为一种生物特征识别技术,具有其独特的安全风险。人脸信息具有唯一性和终身性,一旦泄露,无法像密码那样更改,危害更为持久和严重。《办法》的出台为人脸识别技术的应用划定了法治红线和伦理要求,通过建立健全人脸识别技术应用的规则体系,有效平衡了技术创新与安全风险防控的关系,既保障了技术正向发展的动力,又为防范人脸信息泄露、滥用等风险提供了制度保障,推动人脸识别技术在法律规制下健康有序发展。
第二,明确人脸识别技术的非强制原则,防止技术滥用。近年来,人脸识别技术应用呈现泛滥趋势,从楼宇出入到消费支付,“被刷脸”现象日益普遍。特别在商业场所,一些经营者以提升服务体验为名,实则通过人脸信息进行精准画像和行为分析,侵犯个人隐私权益。《办法》规定实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式,有助于纠正技术应用中的过度依赖和扩张现象,避免技术被滥用于非必要领域,减轻公众在日常生活中的“被刷脸”负担,实现技术应用与基本权利保护的平衡,为构建健康的数字生态环境奠定基础。
第三,细化个人信息保护法律规范,提升保护水平。作为我国个人信息保护法律体系的重要组成部分,《办法》针对人脸信息这一特殊敏感个人信息的保护需求,进一步细化和完善了法律规范。通过构建专门的制度安排和操作指引,《办法》弥补了现有法律在应对新兴技术应用方面的不足,也为应对未来可能出现的新型技术挑战提供了可借鉴的制度经验,体现了我国个人信息保护法治建设系统化水平。
二、《办法》有利于推动人脸识别技术应用的规范发展
第一,明确基本原则,划定人脸识别合法基线。《办法》明确规定了人脸识别技术应用的基本原则,为整个规范体系奠定了坚实基础。其一,只有满足“具有特定的目的和充分的必要性”的基本条件,才能应用人脸识别技术处理人脸信息,而且应当采取对个人权益影响最小的方式,并实施严格保护措施。其二,明确实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式,避免过度依赖人脸识别技术。其三,重申了“单独同意”原则,基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。这些基本原则共同构成了人脸识别技术应用的规范框架,明确国家对人脸识别技术应用的基础导向。
第二,细化应用场景要求,为实践提供明确指引。《办法》针对人脸识别技术在现实生活中的典型应用场景,提供了清晰具体的操作指南。在公共场所中,安装人脸识别设备应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。在日常生活中,明确任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。同时规定,任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。对人脸识别技术应用的场景化要求直接回应了公众对“被刷脸”的担忧,为各行业落实人脸识别技术合规应用提供了实操性指引,精准划定了人脸识别技术的应用边界。
第三,多元化治理机制,推动主体合规履责。《办法》构建了包括个人信息保护影响评估、备案管理、系统安全要求等多种治理机制,为个人信息处理者履行合规义务提供了系统性指引。通过个人信息保护影响评估机制,要求个人信息处理者事前评估处理活动的合法性和风险;通过备案制度,增强个人信息处理者责任意识并便于监管部门开展监督;通过数据加密、入侵检测和防御等要求,促进个人信息处理者持续改进安全策略和保护措施。多元化的规制工具相互配合、互为补充,为企业提供了清晰的合规路径,有利于促进相关主体更好地履行合法应用人脸识别技术、保护人脸信息的法定义务。
《办法》体现了精准施策的理念,既考虑了人脸识别技术应用的实际需求,又针对高风险情形设置了相应的保护措施,明确了应用人脸识别技术处理人脸信息的具体规则,实现了安全保障与技术应用的平衡。《办法》的出台,将有效规范人脸识别技术的应用,切实保障公民个人信息权益,为人脸识别技术的健康发展营造良好环境。
专家解读四
规范人脸识别技术应用
切实保障人脸信息安全
人脸信息安全关系数据安全和广大人民群众切身利益。党的二十届三中全会通过的《中共中央关于进一步全面深化改革 推进中国式现代化的决定》明确提出了“提升数据安全治理监管能力”的要求。近日,国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》(以下简称《办法》)。《办法》的出台,对我国规范应用人脸识别技术处理人脸信息活动,强化个人信息权益保护具有重要意义。
一、落实法律法规制度设计,完善个人信息保护制度体系
当前,人脸识别技术在安防、金融、医疗、教育等事关国家安全和国计民生领域的应用场景持续拓展,人脸信息安全问题得到了广泛关注,亟需通过合理的监管措施来实现技术创新、数据安全和公民权益保护之间的有效平衡。我国《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律、行政法规相继出台,为我国网络数据安全及人脸识别技术的合规应用提供了制度保障和实施路径。《办法》作为上述法律、行政法规的配套规章,明确了人脸识别技术应用的具体要求,是对上位法中关于个人信息处理原则的具体细化落实,增强了法律法规的可操作性和执行力,有利于保障新技术合规应用,提升个人信息保护水平,对于进一步完善个人信息保护制度体系具有重要意义。
二、规范人脸识别技术应用,推动人脸识别技术健康发展
规范技术应用是推动新技术高质量发展、形成新质生产力的关键环节。《办法》为人脸识别技术应用设立了规范性要求,促使个人信息处理者在追求经济效益的同时,兼顾社会效益,履行社会责任,推动行业规范化发展。特别值得注意的是,《办法》规定在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用本办法的规定,妥善处理了发展与安全的关系,在严格规范技术应用的同时,促进人脸识别技术创新,为技术的长远发展提供了重要保障。
三、明确人脸识别技术应用规范,筑牢个人信息保护屏障
(一)明确人脸识别技术应用基本原则
《办法》明确了人脸识别技术应用的基本原则。一是合法合理原则。《办法》首先强调应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。体现了人脸识别技术应用的合法性与合理性要求,更是应用人脸识别技术不可动摇的前提和基础。二是最小必要原则。《办法》强调应用人脸识别技术处理人脸信息,应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。三是单独同意原则。《办法》规定基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意,与《个人信息保护法》规定的单独同意原则相衔接,进一步凸显了个人同意在人脸信息处理中的重要性。此外,《办法》还特别指出,基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意,以充分保护未成年人的合法权益。
(二)压实个人信息处理者主体责任
根据《个人信息保护法》等相关法律法规,个人信息处理者必须依法处理个人信息,保障个人信息的安全、准确、完整。在处理人脸信息这一敏感个人信息时,个人信息处理者的责任尤为重要。《办法》强化了个人信息处理者在人脸信息各个处理环节的责任义务。要求个人信息处理者在处理人脸信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人履行告知义务。要求个人信息处理者事前进行个人信息保护影响评估,并对处理情况进行记录,就评估内容作出细化规定。同时,《办法》明确,违反本办法规定的,个人信息处理者将依法承担法律责任。
(三)建立应用人脸识别技术处理人脸信息备案制度
《办法》要求个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续,并对备案材料作出了具体规定。备案制度将有利于促进人脸识别技术的应用符合法律法规的要求,并便于相关部门进行必要的监管。
(四)规范典型场景人脸识别技术应用要求
《办法》明确了人脸识别技术在典型场景下的特别应用要求。规定在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。此外,任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备,从而保护个人的隐私权不受侵犯。
《办法》是我国个人信息保护立法的又一重要成果,有效回应了当前人脸识别技术应用带来的实践挑战。未来,随着《办法》的施行,人脸识别新技术的健康发展将得到更有力的支撑,我国个人信息保护工作也将迈向更高水平。
专家解读五
建章立制开启人脸识别技术应用
安全治理新篇章
近日,国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》(以下简称《办法》),《办法》将于2025年6月1日起施行。《办法》坚持问题导向,积极回应当前人脸识别技术应用发展形势要求,构建了科学合理、系统全面、特色鲜明的制度框架,开启人脸识别技术应用安全治理法治化的新篇章,对于明确技术应用安全管理要求、提升依法管网治网水平具有重要意义,为护航数字经济高质量发展提供有力法治保障。
一、《办法》助推技术应用向善发展意义重大特色鲜明
近年来,人脸识别技术快速发展,应用场景不断丰富拓展,在便利人民群众生活的同时,也对个人信息保护提出了新的挑战。“技术前进一小步,管理难度增加一大步”,如何在合理使用人脸识别技术的同时有效地防止个人信息泄露滥用成为当务之急。国家网信部门和公安机关把握人脸识别技术发展规律,顺应广大人民群众迫切需要,及时制定出台《办法》,完善监管手段措施,创新具体制度内容,以良法促进发展、保障善治,意义重大。
(一)践行人民至上理念强化个人信息保护的切实行动。人脸信息作为“敏感个人信息”中的生物识别信息,是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性、不可更改性等天然特性,关系到每个人的人格尊严,一旦泄露或者非法使用,将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。强化人脸信息保护,符合人民群众所急所盼。习近平总书记对加强个人信息保护工作提出明确要求,多次强调,要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律、行政法规对个人信息保护作出原则性规定,但缺乏针对人脸识别技术应用的专门规则。国家互联网信息办公室、公安部适时制定出台《办法》,及时回应个人信息保护治理出现的新情况、新问题、新需求,以实际行动践行以人民为中心的发展思想。
(二)划定安全底线红线及时遏制技术滥用的关键举措。当前,人脸识别技术已在多个领域得到广泛应用,随着应用场景的不断拓展,面临的安全挑战也愈发凸显。例如,人脸信息滥采滥用问题时有发生,甚至还可能被用于电信网络诈骗等违法犯罪活动。《办法》立足实践问题,把握人脸识别技术发展规律,针对社会争议较大的强制刷脸等热点难点问题,明确了人脸识别技术的应用条件和应用人脸识别技术处理人脸信息的具体要求。作为一部“小切口”立法,《办法》聚焦人脸识别技术常见应用场景,为人脸信息的处理划定了清晰的法律边界,有效遏制防范技术滥用风险。
(三)平衡技术创新与治理促进良性发展的制度保障。在金融、安防、智能家居等领域旺盛需求推动下,我国人脸识别技术应用和产业发展迅速,产业链条不断拓展,市场规模快速增长。例如,在安防领域,人脸识别技术被广泛应用于机场、银行、商场等重要区域的门禁系统和监控系统,显著提升了公共安全和应急响应能力。在国际市场上,我国人脸识别技术产业也已具备一定的竞争力。《办法》充分考虑到技术产业创新发展与安全治理的良性互动,明确规制人脸识别技术的目的并非一刀切地予以禁止,而是旨在确保安全的前提下,倡导负责任地使用人脸识别技术,既明确公共场所安装人脸识别设备的具体规范,又严格禁止在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备,充分发挥了立法促进技术进步、规范产业发展、保障数据安全的作用,实现促进人脸识别技术应用发展与保障公民权利之间的有效平衡。
二、《办法》系统构建管理制度框架内容全面亮点突出
《办法》共二十条,首次以专门法律文件的形式系统规定了人脸识别技术应用安全管理的制度框架,细化完善了《个人信息保护法》等法律法规要求,既全盘考虑、统筹部署,也突出重点、实现精细化规制,内容全面、亮点突出。
(一)坚持与时俱进,明确人脸识别技术相关概念范围。人脸识别技术作为一项新技术新应用,已在产业实践中广泛应用,但长期以来,始终缺乏法律上的明确界定。《办法》立足当前产业发展和安全管理需要,在部门规章中明确了相关概念,厘清人脸识别技术应用边界,为技术应用发展提供有效引导。此外,《办法》还明确了人脸信息的含义,规定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的面部特征生物识别信息,不包括匿名化处理后的信息”,明确将匿名化处理后的信息排除在外,在大力保护个人信息权益的同时,也为相关服务提供者采用匿名化等技术留出空间,以保障正常的信息处理活动。
(二)坚持守正创新,健全人脸识别技术应用基本原则。《办法》既注重监管逻辑的延续性,又充分发挥部门规章的创新空间,在继承《个人信息保护法》确立的基本原则和处理规则基础上,进一步完善了相关安全管理要求。一方面,重申使用人脸识别技术应当遵守法律法规、履行个人信息保护义务等相关法律法规中已经明确的制度要求,如第三条。另一方面,根据人脸识别技术应用的特殊性,规定了“非强制”等新的原则要求和制度设计,例如,第十条规定,实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。
(三)坚持突出重点,规定特殊应用场景安全管理要求。随着人脸识别技术不断优化发展,其开发应用的场景和空间将更加广阔。《办法》坚持突出重点,围绕公共场所等人脸识别技术应用的高频场景,以及宾馆客房、公共浴室等私密场景,都做了专门规定。第十三条明确,在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。
(四)坚持规范有序,压实技术使用者主体责任义务。防范人脸识别技术滥用风险,要加强对使用主体的监管,《办法》通过压实个人信息处理者的主体责任,全面提高个人信息安全保护力度,促进各场景安全水平提升。例如,第九条规定,个人信息处理者应用人脸识别技术处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录,评估报告和处理情况记录应当至少保存3年。再如,第十四条规定,人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。
(五)坚持分类分级,建立人脸识别技术使用备案制度。《办法》延续数据分类分级管理思路,针对应用人脸识别技术处理的人脸信息存储数量达到10万人的个人信息处理者,设置了备案要求。符合相关情形的个人信息处理者,应当在30个工作日内向所在地省级以上网信部门履行备案手续,并提交相关材料。备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。《办法》通过备案制度促进个人信息处理者积极进行个人信息保护影响评估,采取安全保护措施,督促个人信息处理者在应用人脸识别技术过程中关注合规问题。
三、新起点上推动人脸识别技术应用安全管理走深向实
当前,全球人工智能技术持续快速发展、深度赋能,人脸识别作为其中的重要应用之一,已渗透到公共安全、社会治理、商业服务、社会民生等各个领域。在此背景下,《办法》及时制定出台,构建全面系统的安全管理制度,实现了人脸识别技术应用发展治理“有法可依”,开启技术应用型专项立法的新征程。面对人脸识别技术应用发展带来的机遇与挑战,《办法》既创新制度设计,又保持监管体系的连贯性,既注重安全风险防范,又兼顾技术产业发展的多方需求,不仅为全球人脸识别技术治理提供了中国方案,更为我国未来人工智能等相关领域的立法与治理积累了宝贵经验。与此同时,《办法》的出台不仅是人脸识别技术应用治理的起点,更是各项制度落地的开端。6月1日,《办法》将开始施行,未来还需推动将制度优势转化为治理效能,真正实现技术创新与权利保障的共生共赢。
原标题:《您的脸您作主,可以说不!》