近日,国家互联网信息办公室、公安部联合公布《人脸识别技术应用安全管理办法》(以下简称《办法》),自2025年6月1日起施行。
国家互联网信息办公室有关负责人表示,人脸识别技术应用与人脸信息安全紧密相关,受到社会各方高度关注。为了规范应用人脸识别技术处理人脸信息活动,保护个人信息权益,国家互联网信息办公室、公安部联合出台《办法》,对应用人脸识别技术处理人脸信息的基本要求和处理规则、人脸识别技术应用安全规范、监督管理职责等作出了规定。
《办法》明确了应用人脸识别技术处理人脸信息的基本要求。应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。
《办法》明确了应用人脸识别技术处理人脸信息的处理规则。一是应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。二是应当履行告知义务。三是基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。四是除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。五是应当事前进行个人信息保护影响评估,并对处理情况进行记录。
《办法》明确了人脸识别技术应用安全规范。一是实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。国家另有规定的,从其规定。二是应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施。三是任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。四是在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。五是人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。
《办法》明确了监督管理职责。个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作。
《办法》同时对违反《办法》规定的法律责任、相关术语的含义等作出了规定。
文件原文
中华人民共和国公安部
令
《人脸识别技术应用安全管理办法》已经2024年9月30日国家互联网信息办公室2024年第23次室务会会议审议通过,并经公安部同意,现予公布,自2025年6月1日起施行。
国家互联网信息办公室主任 庄荣文
公安部部长 王小洪
第一条 为了规范应用人脸识别技术处理人脸信息活动,保护个人信息权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规,制定本办法。 第二条 在中华人民共和国境内应用人脸识别技术处理人脸信息的活动,适用本办法。 在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用本办法的规定。 第三条 应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。 第四条 应用人脸识别技术处理人脸信息,应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。 第五条 个人信息处理者应用人脸识别技术处理人脸信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项: (二)人脸信息的处理目的、处理方式,处理的人脸信息保存期限; 处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定。 第六条 基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。法律、行政法规规定处理人脸信息应当取得个人书面同意的,从其规定。 基于个人同意处理人脸信息的,个人有权撤回同意,个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。 第七条 基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。 个人信息处理者应用人脸识别技术处理不满十四周岁未成年人人脸信息的,应当在存储、使用、转移、披露等方面制定专门的处理规则,依法保护未成年人个人信息安全。 第八条 除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。 除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。 第九条 个人信息处理者应用人脸识别技术处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估主要包括下列内容: (一)人脸信息的处理目的、处理方式是否合法、正当、必要; (二)对个人权益带来的影响,以及降低不利影响的措施是否有效; (三)发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害; (四)所采取的保护措施是否合法、有效并与风险程度相适应。 个人信息保护影响评估报告和处理情况记录应当至少保存3年。处理人脸信息的目的、方式发生变化,或者发生重大安全事件的,应当重新进行个人信息保护影响评估。 第十条 实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。 国家对应用人脸识别技术验证个人身份另有规定的,从其规定。 第十一条 应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施,减少人脸信息收集、存储,保护人脸信息安全。 第十二条 任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。 第十三条 在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。 任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。 第十四条 人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。涉及网络安全等级保护、关键信息基础设施的,应当按照国家有关规定履行网络安全等级保护、关键信息基础设施保护义务。 第十五条 个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。申请备案应当提交下列材料: 备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。 第十六条 网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作。 网信部门、公安机关和其他履行个人信息保护职责的部门依法对应用人脸识别技术处理个人信息活动实施监督检查,个人信息处理者应当依法予以配合。 第十七条 任何组织、个人有权对违法应用人脸识别技术处理人脸信息的活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉人、举报人。 第十八条 违反本办法规定的,依照有关法律、行政法规的规定处理;构成犯罪的,依法追究刑事责任。 (一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。 (二)人脸信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的面部特征生物识别信息,不包括匿名化处理后的信息。 (三)人脸识别技术,是指以人脸信息作为识别个体身份的个体生物特征识别技术。 (四)人脸识别设备,是指应用人脸识别技术识别个体身份的终端设备。 (五)验证个人身份,是指通过收集获得的人脸信息与信息系统存储的特定人脸信息进行“一对一”比对,确认和核对两者是否为同一人。 (六)辨识特定个人,是指通过收集获得的人脸信息与信息系统存储的特定范围内人脸信息进行“一对多”比对,发现和识别具有特定身份的个人。