《人臉識別技術應用安全管理辦法》公佈

“網信中國”微信公衆號3月21日消息，近日，國家互聯網信息辦公室、公安部聯合公佈《人臉識別技術應用安全管理辦法》（以下簡稱《辦法》），自2025年6月1日起施行。

國家互聯網信息辦公室有關負責人表示，人臉識別技術應用與人臉信息安全緊密相關，受到社會各方高度關注。爲了規範應用人臉識別技術處理人臉信息活動，保護個人信息權益，國家互聯網信息辦公室、公安部聯合出臺《辦法》，對應用人臉識別技術處理人臉信息的基本要求和處理規則、人臉識別技術應用安全規範、監督管理職責等作出了規定。

《辦法》明確了應用人臉識別技術處理人臉信息的基本要求。應用人臉識別技術處理人臉信息活動，應當遵守法律法規，尊重社會公德和倫理，遵守商業道德和職業道德，誠實守信，履行個人信息保護義務，承擔社會責任，不得危害國家安全、損害公共利益、侵害個人合法權益。

《辦法》明確了應用人臉識別技術處理人臉信息的處理規則。一是應當具有特定的目的和充分的必要性，採取對個人權益影響最小的方式，並實施嚴格保護措施。二是應當履行告知義務。三是基於個人同意處理人臉信息的，應當取得個人在充分知情的前提下自願、明確作出的單獨同意。基於個人同意處理不滿十四周歲未成年人人臉信息的，應當取得未成年人的父母或者其他監護人的同意。四是除法律、行政法規另有規定或者取得個人單獨同意外，人臉信息應當存儲於人臉識別設備內，不得通過互聯網對外傳輸。除法律、行政法規另有規定外，人臉信息的保存期限不得超過實現處理目的所必需的最短時間。五是應當事前進行個人信息保護影響評估，並對處理情況進行記錄。

《辦法》明確了人臉識別技術應用安全規範。一是實現相同目的或者達到同等業務要求，存在其他非人臉識別技術方式的，不得將人臉識別技術作爲唯一驗證方式。國家另有規定的，從其規定。二是應用人臉識別技術驗證個人身份、辨識特定個人的，鼓勵優先使用國家人口基礎信息庫、國家網絡身份認證公共服務等渠道實施。三是任何組織和個人不得以辦理業務、提升服務質量等爲由，誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。四是在公共場所安裝人臉識別設備，應當爲維護公共安全所必需，依法合理確定人臉信息採集區域，並設置顯著提示標識。任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛生間等公共場所中的私密空間內部安裝人臉識別設備。五是人臉識別技術應用系統應當採取數據加密、安全審計、訪問控制、授權管理、入侵檢測和防禦等措施保護人臉信息安全。

《辦法》明確了監督管理職責。個人信息處理者應當在應用人臉識別技術處理的人臉信息存儲數量達到10萬人之日起30個工作日內向所在地省級以上網信部門履行備案手續。網信部門會同公安機關和其他履行個人信息保護職責的部門，建立健全信息共享和通報工作機制，協同開展相關工作。

《辦法》同時對違反《辦法》規定的法律責任、相關術語的含義等作出了規定。

《人臉識別技術應用安全管理辦法》答記者問

問：請介紹一下《辦法》的出臺背景？

答：隨着雲計算、大數據、物聯網、人工智能等互聯網技術飛速發展，人臉識別技術應用在消費、金融、出行等社會各領域快速普及，在促進數字經濟發展、方便人民生活的同時，也引發了公衆對侵犯隱私、泄露個人信息的擔憂，受到社會各方高度關注。《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等法律、行政法規對個人信息處理規則作出了規定。同時，《中華人民共和國個人信息保護法》第六十二條規定，國家網信部門統籌協調有關部門針對人臉識別等新技術、新應用制定專門的個人信息保護規則。制定出臺《辦法》是落實法律、行政法規規定的重要舉措，目的是規範應用人臉識別技術處理人臉信息活動，保護個人信息權益。

問：《辦法》如何處理髮展與安全的關係，在保護個人信息權益的同時促進人臉識別技術發展？

答：《辦法》堅持發展與安全並重，妥善處理促進創新和依法治理之間的關係，在保護個人信息權益的同時鼓勵人臉識別技術的應用和創新。一方面，《辦法》規定應用人臉識別技術處理人臉信息的基本要求和具體規則，建立人臉識別技術應用監督管理制度，規範人臉識別技術應用，切實保護廣大人民羣衆的個人信息權益。另一方面，《辦法》明確在中華人民共和國境內爲從事人臉識別技術研發、算法訓練活動應用人臉識別技術處理人臉信息的，不適用本辦法的規定，爲開展人臉識別技術的攻關研究和應用創新預留空間，有利於推動相關產業安全健康發展。

問：《辦法》的主要內容是什麼？

答：《辦法》主要對下列內容進行了規定：一是明確應用人臉識別技術處理人臉信息的基本要求，規定應用人臉識別技術處理人臉信息活動，應當遵守法律法規，尊重社會公德和倫理，遵守商業道德和職業道德等。二是明確應用人臉識別技術處理人臉信息的處理規則，規定應用人臉識別技術處理人臉信息，應當具有特定的目的和充分的必要性，個人信息處理者應當履行告知、進行個人信息保護影響評估等義務。三是明確人臉識別技術應用安全規範，規定實現相同目的或者達到同等業務要求，存在其他非人臉識別技術方式的，不得將人臉識別技術作爲唯一驗證方式，明確在公共場所安裝人臉識別設備的具體要求。四是明確監督管理職責和法律責任，規定個人信息處理者應當在應用人臉識別技術處理的人臉信息存儲數量達到10萬人之日起30個工作日內向所在地省級以上網信部門履行備案手續，明確違反本辦法規定的法律責任。

問：《辦法》對應用人臉識別技術處理人臉信息活動提出了哪些基本要求？

答：《辦法》規定，應用人臉識別技術處理人臉信息活動，應當遵守法律法規，尊重社會公德和倫理，遵守商業道德和職業道德，誠實守信，履行個人信息保護義務，承擔社會責任，不得危害國家安全、損害公共利益、侵害個人合法權益。

問：《辦法》對應用人臉識別技術處理人臉信息規定了哪些處理規則？

答：《辦法》對應用人臉識別技術處理人臉信息規定了以下處理規則：一是應當具有特定的目的和充分的必要性，採取對個人權益影響最小的方式，並實施嚴格保護措施。二是應當履行告知義務，處理殘疾人、老年人人臉信息的，還應當符合國家有關無障礙環境建設的規定。三是基於個人同意處理人臉信息的，應當取得個人在充分知情的前提下自願、明確作出的單獨同意。基於個人同意處理不滿十四周歲未成年人人臉信息的，應當取得未成年人的父母或者其他監護人的同意。四是除法律、行政法規另有規定或者取得個人單獨同意外，人臉信息應當存儲於人臉識別設備內，不得通過互聯網對外傳輸。除法律、行政法規另有規定外，人臉信息的保存期限不得超過實現處理目的所必需的最短時間。五是應當事前進行個人信息保護影響評估，並對處理情況進行記錄。

問：《辦法》對人臉識別技術應用規定了哪些安全規範？

答：《辦法》對人臉識別技術應用規定了以下安全規範：一是實現相同目的或者達到同等業務要求，存在其他非人臉識別技術方式的，不得將人臉識別技術作爲唯一驗證方式。國家另有規定的，從其規定。二是應用人臉識別技術驗證個人身份、辨識特定個人的，鼓勵優先使用國家人口基礎信息庫、國家網絡身份認證公共服務等渠道實施。三是任何組織和個人不得以辦理業務、提升服務質量等爲由，誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。四是在公共場所安裝人臉識別設備，應當爲維護公共安全所必需，依法合理確定人臉信息採集區域，並設置顯著提示標識。任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛生間等公共場所中的私密空間內部安裝人臉識別設備。五是人臉識別技術應用系統應當採取數據加密、安全審計、訪問控制、授權管理、入侵檢測和防禦等措施保護人臉信息安全。

問：針對羣衆普遍關心的強制刷臉問題，《辦法》作出了哪些規定？

答：人臉信息是敏感個人信息，一旦泄露，容易對個人的人身和財產安全造成重大危害，甚至威脅公共安全。針對“刷臉”住宿、“刷臉”進小區等人臉識別技術應用場景泛化、強制使用等問題，《辦法》明確了人臉識別技術應用的非強制原則，規定實現相同目的或者達到同等業務要求，存在其他非人臉識別技術方式的，不得將人臉識別技術作爲唯一驗證方式。個人不同意通過人臉信息進行身份驗證的，應當提供其他合理、便捷的方式。國家對應用人臉識別技術驗證個人身份另有規定的，從其規定。

問：《辦法》對個人信息處理者應用人臉識別技術處理人臉信息備案提出了哪些要求？

答：《辦法》從信息數量、備案時間、備案部門、備案材料、備案變更和註銷五個方面對個人信息處理者應用人臉識別技術處理人臉信息備案提出了具體要求。一是信息數量方面，以“應用人臉識別技術處理的人臉信息存儲數量達到10萬人”爲備案起始數量。二是備案時間方面，規定應當在應用人臉識別技術處理的人臉信息存儲數量達到10萬人之日起30個工作日內進行備案。三是備案部門方面，明確向所在地省級以上網信部門履行備案手續。四是備案材料方面，明確應當提交個人信息處理者的基本情況、人臉信息處理目的和處理方式、人臉信息存儲數量和安全保護措施、人臉信息的處理規則和操作規程、個人信息保護影響評估報告五項材料。五是備案變更和註銷方面，明確備案信息發生實質性變更的，應當在變更之日起30個工作日內辦理備案變更手續。終止應用人臉識別技術的，應當在終止之日起30個工作日內辦理註銷備案手續，並依法處理人臉信息。

人臉識別技術應用安全管理辦法

第一條 爲了規範應用人臉識別技術處理人臉信息活動，保護個人信息權益，根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》等法律、行政法規，制定本辦法。

第二條 在中華人民共和國境內應用人臉識別技術處理人臉信息的活動，適用本辦法。

在中華人民共和國境內爲從事人臉識別技術研發、算法訓練活動應用人臉識別技術處理人臉信息的，不適用本辦法的規定。

第三條 應用人臉識別技術處理人臉信息活動，應當遵守法律法規，尊重社會公德和倫理，遵守商業道德和職業道德，誠實守信，履行個人信息保護義務，承擔社會責任，不得危害國家安全、損害公共利益、侵害個人合法權益。

第四條 應用人臉識別技術處理人臉信息，應當具有特定的目的和充分的必要性，採取對個人權益影響最小的方式，並實施嚴格保護措施。

第五條 個人信息處理者應用人臉識別技術處理人臉信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：

（一）個人信息處理者的名稱或者姓名和聯繫方式；

（二）人臉信息的處理目的、處理方式，處理的人臉信息保存期限；

（三）處理人臉信息的必要性以及對個人權益的影響；

（四）個人依法行使權利的方式和程序；

（五）法律、行政法規規定應當告知的其他事項。

前款規定事項發生變更的，應當將變更部分告知個人。

法律、行政法規規定可以不向個人告知的，從其規定。

處理殘疾人、老年人人臉信息的，還應當符合國家有關無障礙環境建設的規定。

第六條 基於個人同意處理人臉信息的，應當取得個人在充分知情的前提下自願、明確作出的單獨同意。法律、行政法規規定處理人臉信息應當取得個人書面同意的，從其規定。

基於個人同意處理人臉信息的，個人有權撤回同意，個人信息處理者應當提供便捷的撤回同意的方式。個人撤回同意，不影響撤回前基於個人同意已進行的個人信息處理活動的效力。

第七條 基於個人同意處理不滿十四周歲未成年人人臉信息的，應當取得未成年人的父母或者其他監護人的同意。

個人信息處理者應用人臉識別技術處理不滿十四周歲未成年人人臉信息的，應當在存儲、使用、轉移、披露等方面制定專門的處理規則，依法保護未成年人個人信息安全。

第八條 除法律、行政法規另有規定或者取得個人單獨同意外，人臉信息應當存儲於人臉識別設備內，不得通過互聯網對外傳輸。

除法律、行政法規另有規定外，人臉信息的保存期限不得超過實現處理目的所必需的最短時間。

第九條 個人信息處理者應用人臉識別技術處理人臉信息，應當事前進行個人信息保護影響評估，並對處理情況進行記錄。個人信息保護影響評估主要包括下列內容：

（一）人臉信息的處理目的、處理方式是否合法、正當、必要；

（二）對個人權益帶來的影響，以及降低不利影響的措施是否有效；

（三）發生人臉信息泄露、篡改、丟失、毀損或者被非法獲取、出售、使用的風險以及可能造成的危害；

（四）所採取的保護措施是否合法、有效並與風險程度相適應。

個人信息保護影響評估報告和處理情況記錄應當至少保存3年。處理人臉信息的目的、方式發生變化，或者發生重大安全事件的，應當重新進行個人信息保護影響評估。

第十條 實現相同目的或者達到同等業務要求，存在其他非人臉識別技術方式的，不得將人臉識別技術作爲唯一驗證方式。個人不同意通過人臉信息進行身份驗證的，應當提供其他合理、便捷的方式。

國家對應用人臉識別技術驗證個人身份另有規定的，從其規定。

第十一條 應用人臉識別技術驗證個人身份、辨識特定個人的，鼓勵優先使用國家人口基礎信息庫、國家網絡身份認證公共服務等渠道實施，減少人臉信息收集、存儲，保護人臉信息安全。

第十二條 任何組織和個人不得以辦理業務、提升服務質量等爲由，誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。

第十三條 在公共場所安裝人臉識別設備，應當爲維護公共安全所必需，依法合理確定人臉信息採集區域，並設置顯著提示標識。

任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛生間等公共場所中的私密空間內部安裝人臉識別設備。

第十四條 人臉識別技術應用系統應當採取數據加密、安全審計、訪問控制、授權管理、入侵檢測和防禦等措施保護人臉信息安全。涉及網絡安全等級保護、關鍵信息基礎設施的，應當按照國家有關規定履行網絡安全等級保護、關鍵信息基礎設施保護義務。

第十五條 個人信息處理者應當在應用人臉識別技術處理的人臉信息存儲數量達到10萬人之日起30個工作日內向所在地省級以上網信部門履行備案手續。申請備案應當提交下列材料：

（一）個人信息處理者的基本情況；

（二）人臉信息處理目的和處理方式；

（三）人臉信息存儲數量和安全保護措施；

（四）人臉信息的處理規則和操作規程；

（五）個人信息保護影響評估報告。

備案信息發生實質性變更的，應當在變更之日起30個工作日內辦理備案變更手續。終止應用人臉識別技術的，應當在終止之日起30個工作日內辦理註銷備案手續，並依法處理人臉信息。

第十六條 網信部門會同公安機關和其他履行個人信息保護職責的部門，建立健全信息共享和通報工作機制，協同開展相關工作。

網信部門、公安機關和其他履行個人信息保護職責的部門依法對應用人臉識別技術處理個人信息活動實施監督檢查，個人信息處理者應當依法予以配合。

第十七條 任何組織、個人有權對違法應用人臉識別技術處理人臉信息的活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理，並將處理結果告知投訴人、舉報人。

第十八條 違反本辦法規定的，依照有關法律、行政法規的規定處理；構成犯罪的，依法追究刑事責任。

第十九條 本辦法下列術語的含義：

（一）個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。

（二）人臉信息，是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的面部特徵生物識別信息，不包括匿名化處理後的信息。

（三）人臉識別技術，是指以人臉信息作爲識別個體身份的個體生物特徵識別技術。

（四）人臉識別設備，是指應用人臉識別技術識別個體身份的終端設備。

（五）驗證個人身份，是指通過收集獲得的人臉信息與信息系統存儲的特定人臉信息進行“一對一”比對，確認和核對兩者是否爲同一人。

（六）辨識特定個人，是指通過收集獲得的人臉信息與信息系統存儲的特定範圍內人臉信息進行“一對多”比對，發現和識別具有特定身份的個人。

第二十條 本辦法自2025年6月1日起施行。