新規快評——《人臉識別技術應用安全管理辦法》十問十答
作者:張丹 孫建玲 2025-03-252025年3月13日,《人臉識別技術應用安全管理辦法》(以下稱“新規”或“本辦法”)發布,本辦法將于2025年6月1日起正式實施。本辦法的出臺系響應《中華人民共和國個人信息保護法》第六十二條的規定,即,國家網信部門統籌協調有關部門針對人臉識別、人工智能等新技術、新應用,制定專門的個人信息保護規則、標準。
本辦法明確了應用人臉識別技術處理人臉信息的基本要求和具體規則。如,應用人臉識別技術處理人臉信息,應當具有特定的目的和充分的必要性,采取對個人權益影響最小的方式,個人信息處理者還應當履行告知、進行個人信息保護影響評估等義務。同時,建立了人臉識別技術應用監督管理制度,規范人臉識別技術應用,旨在保護自然人的個人信息權益。
鑒于作者已在萬字解讀 |《人臉識別技術應用安全管理規定(試行)》(征求意見稿)(以下稱“《征求意見稿》”)一篇中進行過詳細解讀,本文僅通過以下問答形式對新規進行解讀:
Q1:哪些情形適用本辦法?
A1:在境內應用人臉識別技術處理人臉信息的活動均適用,但人臉識別技術研發、算法訓練活動等非直接處理個人信息的行為不適用。
與《征求意見稿》相比,僅提供人臉識別技術產品或者服務不受本辦法約束。
例如,商場、景區等場景的人臉識別設備應用均受本辦法約束,但科研機構測試算法不適用本辦法的規定。
Q2:處理人臉信息需要取得個人同意嗎?
A2:需要取得“單獨同意”,單獨同意是個人針對其個人信息進行特定處理活動而專門作出具體、明確授權的行為,是一種增強的同意方式,在取得單獨同意之前,個人信息處理者需通過增強告知或即時提示的方式專門向個人進行充分告知,包括必須明確告知處理目的、方式、保存期限、處理的必要性以及對個人權益的影響等信息;若涉及不滿14周歲未成年人,應取得未成年人的父母或者其他監護人的同意,且在存儲、使用、轉移、披露等方面需制定專門規則。
這里需要注意的是,“單獨同意”應當是個人在充分知情的前提下自愿、明確作出的單獨同意,如非“自愿/明確”,可能導致未取得單獨同意。
例如,物業不能以“方便管理”為由強制業主刷臉進門。
Q3:人臉信息存儲有哪些限制?
A3:原則上應存儲于人臉識別設備內(即應用人臉識別技術識別個體身份的終端設備),不得通過互聯網傳輸(除法律、行政法規另有規定或者取得個人單獨同意外),且保存期限不得超過實現目的所需最短時間。
例如,客戶酒店刷臉入住后,酒店應將客戶的人臉信息在其退房后立即刪除。
Q4:在公共場所安裝人臉識別設備有何要求?
A4:必須出于維護公共安全目的,劃定明確人臉信息采集區域并設置顯著提示。任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛生間等公共場所中的私密空間內部安裝人臉識別設備。
例如,健身房更衣室不得安裝人臉識別攝像頭。
Q5:企業能否將人臉識別作為唯一驗證方式?
A5:不能。實現相同目的或者達到同等業務要求情況下,若有其他非人臉識別的替代方案(如刷卡、密碼、指紋),需提供給個人信息主體進行選擇。
例如,銀行APP不能強制用戶刷臉登錄;單位不能強制員工刷臉進入。
Q6:使用人臉識別技術的企業需要向政府備案嗎?
A6:當存儲人臉信息超過10萬人時,需在30個工作日內向省級以上網信部門備案,提交個人信息處理目的、存儲數量、安全保護措施、保護影響評估報告等備案材料。備案信息變更的需辦理變更備案,終止使用人臉識別技術的需辦理注銷備案。
與《征求意見稿》相比,備案門檻由超過1萬人人臉信息提高到了超過10萬人。
Q7:企業應如何保障人臉信息安全?
A7:首先,企業應于應用人臉識別技術處理人臉信息前進行個人信息保護影響評估,評估內容包括人臉信息的處理目的、處理方式是否合法、正當、必要;對個人權益帶來的影響,降低不利影響的措施是否有效;以及發生人臉信息泄露、篡改、丟失、毀損或者被非法獲取、出售、使用的風險以及可能造成的危害等。若評估風險較高,則企業應進行整改或終止應用。
其次,企業應采取數據加密、安全審計、訪問控制、授權管理、入侵檢測和防御等措施保障人臉信息安全,涉及網絡安全等級保護、關鍵信息基礎設施的,還應履行網絡安全等級保護、關鍵信息基礎設施保護義務。《征求意見稿》曾規定,“面向社會公眾提供人臉識別技術服務的,相關技術系統應當符合網絡安全等級保護第三級以上保護要求”,本辦法雖未明確,但人臉信息作為敏感個人信息,建議企業滿足網絡安全等級保護第三級以上保護要求。
例如,企業應定期檢測系統漏洞,防止人臉信息泄露。
Q8:企業違反本辦法會面臨什么處罰?
A8:將依據《個人信息保護法》《網絡安全法》等法律追責,包括警告、罰款、停業整頓等;構成犯罪的,依法追究刑事責任。
例如,擅自泄露人臉信息可能被處千萬級罰款。
Q9:個人發現使用人臉識別技術的違規行為如何維權?
A9:可向網信、公安等部門投訴、舉報,相關部門需及時處理并反饋結果。
例如,若發現線下商家違規收集人臉信息,可向當地網信辦舉報。
Q10:企業如何合規應用人臉識別技術驗證個人身份、辨識特定個人?
A10:建議優先使用國家人口基礎信息庫、國家網絡身份認證公共服務等渠道實施身份驗證,減少自主收集、存儲;定期開展個人信息保護影響評估;對員工進行合規培訓等。
例如,銀行可采用公安部認證系統驗證身份,可避免自建人臉庫。
總結:新規劍指“人臉濫用”,企業需警惕“過度收集”、“強制刷臉”等雷區,企業應平衡技術便利與個人隱私保護,而公眾也有權拒絕非必要的人臉識別要求。建議企業進一步關注6月1日生效后的執法案例,及時調整應對措施。
