近日,国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》(以下简称《办法》),自2025年6月1日起施行。
国家互联网信息办公室有关负责人表示,人脸识别技术应用与人脸信息安全紧密相关,受到社会各方高度关注。为了规范应用人脸识别技术处理人脸信息活动,保护个人信息权益,国家互联网信息办公室、公安部联合出台《办法》,对应用人脸识别技术处理人脸信息的基本要求和处理规则、人脸识别技术应用安全规范、监督管理职责等作出了规定。
《办法》明确了应用人脸识别技术处理人脸信息的基本要求。应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。
《办法》明确了应用人脸识别技术处理人脸信息的处理规则。一是应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。二是应当履行告知义务。三是基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。四是除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。五是应当事前进行个人信息保护影响评估,并对处理情况进行记录。
《办法》明确了人脸识别技术应用安全规范。一是实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。国家另有规定的,从其规定。二是应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施。三是任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。四是在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。五是人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。
《办法》明确了监督管理职责。个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作。
《办法》同时对违反《办法》规定的法律责任、相关术语的含义等作出了规定。
近日,国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。答:随着云计算、大数据、物联网、人工智能等互联网技术飞速发展,人脸识别技术应用在消费、金融、出行等社会各领域快速普及,在促进数字经济发展、方便人民生活的同时,也引发了公众对侵犯隐私、泄露个人信息的担忧,受到社会各方高度关注。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律、行政法规对个人信息处理规则作出了规定。同时,《中华人民共和国个人信息保护法》第六十二条规定,国家网信部门统筹协调有关部门针对人脸识别等新技术、新应用制定专门的个人信息保护规则。制定出台《办法》是落实法律、行政法规规定的重要举措,目的是规范应用人脸识别技术处理人脸信息活动,保护个人信息权益。问2:《办法》如何处理发展与安全的关系,在保护个人信息权益的同时促进人脸识别技术发展?答:《办法》坚持发展与安全并重,妥善处理促进创新和依法治理之间的关系,在保护个人信息权益的同时鼓励人脸识别技术的应用和创新。一方面,《办法》规定应用人脸识别技术处理人脸信息的基本要求和具体规则,建立人脸识别技术应用监督管理制度,规范人脸识别技术应用,切实保护广大人民群众的个人信息权益。另一方面,《办法》明确在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用本办法的规定,为开展人脸识别技术的攻关研究和应用创新预留空间,有利于推动相关产业安全健康发展。答:《办法》主要对下列内容进行了规定:一是明确应用人脸识别技术处理人脸信息的基本要求,规定应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德等。二是明确应用人脸识别技术处理人脸信息的处理规则,规定应用人脸识别技术处理人脸信息,应当具有特定的目的和充分的必要性,个人信息处理者应当履行告知、进行个人信息保护影响评估等义务。三是明确人脸识别技术应用安全规范,规定实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式,明确在公共场所安装人脸识别设备的具体要求。四是明确监督管理职责和法律责任,规定个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续,明确违反本办法规定的法律责任。问4:《办法》对应用人脸识别技术处理人脸信息活动提出了哪些基本要求?答:《办法》规定,应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。问5:《办法》对应用人脸识别技术处理人脸信息规定了哪些处理规则?答:《办法》对应用人脸识别技术处理人脸信息规定了以下处理规则:一是应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。二是应当履行告知义务,处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定。三是基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。四是除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。五是应当事前进行个人信息保护影响评估,并对处理情况进行记录。问6:《办法》对人脸识别技术应用规定了哪些安全规范?答:《办法》对人脸识别技术应用规定了以下安全规范:一是实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。国家另有规定的,从其规定。二是应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施。三是任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。四是在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。五是人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。问7:针对群众普遍关心的强制刷脸问题,《办法》作出了哪些规定?答:人脸信息是敏感个人信息,一旦泄露,容易对个人的人身和财产安全造成重大危害,甚至威胁公共安全。针对“刷脸”住宿、“刷脸”进小区等人脸识别技术应用场景泛化、强制使用等问题,《办法》明确了人脸识别技术应用的非强制原则,规定实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。国家对应用人脸识别技术验证个人身份另有规定的,从其规定。问8:《办法》对个人信息处理者应用人脸识别技术处理人脸信息备案提出了哪些要求?答:《办法》从信息数量、备案时间、备案部门、备案材料、备案变更和注销五个方面对个人信息处理者应用人脸识别技术处理人脸信息备案提出了具体要求。一是信息数量方面,以“应用人脸识别技术处理的人脸信息存储数量达到10万人”为备案起始数量。二是备案时间方面,规定应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内进行备案。三是备案部门方面,明确向所在地省级以上网信部门履行备案手续。四是备案材料方面,明确应当提交个人信息处理者的基本情况、人脸信息处理目的和处理方式、人脸信息存储数量和安全保护措施、人脸信息的处理规则和操作规程、个人信息保护影响评估报告五项材料。五是备案变更和注销方面,明确备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。
近日,国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。答:随着云计算、大数据、物联网、人工智能等互联网技术飞速发展,人脸识别技术应用在消费、金融、出行等社会各领域快速普及,在促进数字经济发展、方便人民生活的同时,也引发了公众对侵犯隐私、泄露个人信息的担忧,受到社会各方高度关注。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律、行政法规对个人信息处理规则作出了规定。同时,《中华人民共和国个人信息保护法》第六十二条规定,国家网信部门统筹协调有关部门针对人脸识别等新技术、新应用制定专门的个人信息保护规则。制定出台《办法》是落实法律、行政法规规定的重要举措,目的是规范应用人脸识别技术处理人脸信息活动,保护个人信息权益。问2:《办法》如何处理发展与安全的关系,在保护个人信息权益的同时促进人脸识别技术发展?答:《办法》坚持发展与安全并重,妥善处理促进创新和依法治理之间的关系,在保护个人信息权益的同时鼓励人脸识别技术的应用和创新。一方面,《办法》规定应用人脸识别技术处理人脸信息的基本要求和具体规则,建立人脸识别技术应用监督管理制度,规范人脸识别技术应用,切实保护广大人民群众的个人信息权益。另一方面,《办法》明确在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用本办法的规定,为开展人脸识别技术的攻关研究和应用创新预留空间,有利于推动相关产业安全健康发展。答:《办法》主要对下列内容进行了规定:一是明确应用人脸识别技术处理人脸信息的基本要求,规定应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德等。二是明确应用人脸识别技术处理人脸信息的处理规则,规定应用人脸识别技术处理人脸信息,应当具有特定的目的和充分的必要性,个人信息处理者应当履行告知、进行个人信息保护影响评估等义务。三是明确人脸识别技术应用安全规范,规定实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式,明确在公共场所安装人脸识别设备的具体要求。四是明确监督管理职责和法律责任,规定个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续,明确违反本办法规定的法律责任。问4:《办法》对应用人脸识别技术处理人脸信息活动提出了哪些基本要求?答:《办法》规定,应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。问5:《办法》对应用人脸识别技术处理人脸信息规定了哪些处理规则?答:《办法》对应用人脸识别技术处理人脸信息规定了以下处理规则:一是应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。二是应当履行告知义务,处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定。三是基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。四是除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。五是应当事前进行个人信息保护影响评估,并对处理情况进行记录。问6:《办法》对人脸识别技术应用规定了哪些安全规范?答:《办法》对人脸识别技术应用规定了以下安全规范:一是实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。国家另有规定的,从其规定。二是应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施。三是任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。四是在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。五是人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。问7:针对群众普遍关心的强制刷脸问题,《办法》作出了哪些规定?答:人脸信息是敏感个人信息,一旦泄露,容易对个人的人身和财产安全造成重大危害,甚至威胁公共安全。针对“刷脸”住宿、“刷脸”进小区等人脸识别技术应用场景泛化、强制使用等问题,《办法》明确了人脸识别技术应用的非强制原则,规定实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。国家对应用人脸识别技术验证个人身份另有规定的,从其规定。问8:《办法》对个人信息处理者应用人脸识别技术处理人脸信息备案提出了哪些要求?答:《办法》从信息数量、备案时间、备案部门、备案材料、备案变更和注销五个方面对个人信息处理者应用人脸识别技术处理人脸信息备案提出了具体要求。一是信息数量方面,以“应用人脸识别技术处理的人脸信息存储数量达到10万人”为备案起始数量。二是备案时间方面,规定应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内进行备案。三是备案部门方面,明确向所在地省级以上网信部门履行备案手续。四是备案材料方面,明确应当提交个人信息处理者的基本情况、人脸信息处理目的和处理方式、人脸信息存储数量和安全保护措施、人脸信息的处理规则和操作规程、个人信息保护影响评估报告五项材料。五是备案变更和注销方面,明确备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。
