发帖
雷达卡
2025年人脸识别技术应用安全管理办法及备案指南
2025年3月20日,国家互联网信息办公室与公安部共同发布了《人脸识别技术应用安全管理办法》,并宣布于6月1日正式实施。随后,国家网信办又发布了《关于开展人脸识别技术应用备案工作的公告》,明确了具体的备案要求。
一、新规解读及备案流程
1. 备案门槛
根据规定,当个人信息处理者使用人脸识别技术处理的人脸信息存储数量达到10万人时,必须向所在地省级网信部门进行备案。这一标准反映了监管机构对人脸信息作为敏感个人数据的高度重视,并延续了我国在高风险场景中的严格管理思路。
2. 备案流程
- 访问系统: 直接登录“个人信息保护业务系统”。
- 准备材料: 根据首页提供的《人脸识别技术应用备案系统填报说明(第一版)》准备相关资料。
- 填报提交: 在系统中填写相关信息并上传所需的备案文件。
- 变更与注销: 若备案信息有实质性变化,需在30个工作日内办理变更手续;如停止使用人脸识别技术,则应在30个工作日内完成注销备案。
二、备案对象及范围
需要进行备案的企业包括但不限于:开发人脸识别技术的公司(例如做人脸识别算法或提供SDK的服务商)、直接应用人脸识别技术的机构,以及使用人脸识别考勤和门禁系统的企业。
地域上,《管理办法》适用于在中华人民共和国境内处理人脸信息的活动。值得注意的是,目前境外企业因备案系统的限制无法完成备案操作,因为系统会提示“境外用户没有人脸识别应用技术备案权限”。例外情况是,“为从事人脸识别技术研发、算法训练而使用人脸识别技术”的情形不适用本《管理办法》,但企业必须警惕以研发名义进行的实际数据收集活动,若实际用于商业模型的训练或优化,则仍需遵守相关规定。
| 判定维度 | 具体情形 | 是否需备案 | 关键说明 |
|---|---|---|---|
| 处理规模 | 人脸信息存储数量≥10万人 | 必须备案 | 全国多项目数据集中管理的,需合并计算人数。 |
| 人脸信息存储数量<10万人 | 暂无需备案 | 如小公司内部考勤系统(仅几十人使用)。 | |
| 应用场景 | 公共出入口、商业场所、政务服务等大规模管理场景 | 建议备案 | 即使未达10万人,从合规角度建议提前准备。 |
| APP刷脸登录/支付、线下刷脸核销等服务场景 | 必须备案 | 只要涉及用户“刷脸”享受服务,无论规模均需备案。 | |
| 仅内部小范围使用(如10人以下团队考勤) | 暂无需备案 | 数据需本地存储,且不对外收集信息。 |
三、时间要求
根据《管理办法》,企业必须遵守以下时间节点:
- 2025年6月1日以后: 人脸信息存储数量首次达到10万人的,应在30个工作日内完成备案。
- 2025年6月1日前: 若已有人脸信息存储量达到10万人的,应于2025年7月14日前完成备案。
- 变更情况: 如备案信息有实质性变化,应在30个工作日内办理变更手续。
四、材料清单
企业进行人脸识别技术应用备案时需提交以下9项材料(全部采用电子版或扫描件形式):
- 个人信息处理者基本情况表 电子版。
- 人脸识别技术应用情况备案表 电子版。
- 个人信息保护影响评估报告 电子版(这是备案的核心材料之一)。
- 统一社会信用代码证件原件或影印件(加盖公章)扫描件。
- 法定代表人或负责人身份证件扫描件。
- 经办人身份证件扫描件。
- 经办人授权委托书(加盖公章)扫描件。
- 承诺书(加盖公章)扫描件。
- 其他相关材料扫描件。
五、合规要点
除了上述备案要求外,企业在应用人脸识别技术时还需遵守以下核心合规要点:
- 非唯一验证方式: 若存在其他非人脸识别技术的方式可以实现相同目的或达到同等业务要求,则不得将人脸识别作为唯一验证手段。企业应为不同意使用人脸识别的个人提供其他合理且便捷的验证方法。
- 告知与同意: 以显著、清晰易懂的语言向个人信息主体告知处理人脸信息的相关事项,并基于充分知情的前提下获得其自愿和明确的单独同意。
- 存储与传输安全: 人脸信息应存储于人脸识别设备内部,不得通过互联网对外传输,除非法律法规另有规定或取得个人单独同意。
- 特殊场景限制: 禁止在宾馆客房、公共浴室等私密场所内安装人脸识别设备。
- 特殊群体保护: 处理残疾人和老年人的人脸信息时,应提供符合《无障碍环境建设法》要求的告知方式,例如语音播报或大字体界面。
京公网安备 11010802022788号
