位置:
首頁
發(fā)布
《人臉識別技術(shù)應(yīng)用安全管理辦法》6月1日起實施

《人臉識別技術(shù)應(yīng)用安全管理辦法》6月1日起實施

來源:新華網(wǎng) 發(fā)布時間: 2025-06-03 瀏覽:276 次

6月1日起,《人臉識別技術(shù)應(yīng)用安全管理辦法》(以下簡稱《辦法》)正式施行,引發(fā)公眾廣泛關(guān)注。此前,我國尚未出臺專門針對人臉識別技術(shù)的法律規(guī)范,該《辦法》的出臺,意味著人臉識別步入系統(tǒng)性治理新階段,帶來了可操作性與可執(zhí)行性的有效指導,有利于推動人臉識別技術(shù)在合法合規(guī)軌道上持續(xù)健康發(fā)展。

小區(qū)門禁必須“刷臉”才能解鎖,門店私自收集顧客人臉信息用于分析營銷策略,被非法收集的人臉信息在網(wǎng)上售賣用于詐騙等犯罪……針對這些人臉識別技術(shù)引發(fā)的“痛點”,《辦法》直指公眾關(guān)切,以“紅線”劃定技術(shù)邊界。

??《辦法》確立了非唯一驗證原則,打破“強制刷臉”的困局。第十條明確規(guī)定“實現(xiàn)相同目的或者達到同等業(yè)務(wù)要求,存在其他非人臉識別技術(shù)方式的,不得將人臉識別技術(shù)作為唯一驗證方式”。

??對于社會廣泛關(guān)注的公共場所、私密空間濫用人臉識別技術(shù)的問題,《辦法》第十三條明確規(guī)定“在公共場所安裝人臉識別設(shè)備,應(yīng)當為維護公共安全所必需,依法合理確定人臉信息采集區(qū)域,并設(shè)置顯著提示標識。任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛(wèi)生間等公共場所中的私密空間內(nèi)部安裝人臉識別設(shè)備”。

??針對部分特殊群體的人臉信息權(quán)益受損問題,《辦法》第五條明確規(guī)定“處理殘疾人、老年人人臉信息的,還應(yīng)當符合國家有關(guān)無障礙環(huán)境建設(shè)的規(guī)定”,第七條明確要求“基于個人同意處理不滿十四周歲未成年人人臉信息的,應(yīng)當取得未成年人的父母或者其他監(jiān)護人的同意”。

??細數(shù)人臉識別的法律“箍”:法律規(guī)范體系愈加完善

??近年來,《中華人民共和國民法典》、《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》和《中華人民共和國個人信息保護法》等相繼出臺,為人臉識別法律治理提供了依據(jù):

??2021年1月起正式施行的民法典規(guī)定,自然人的個人信息受法律保護,并新增內(nèi)容,明確自然人的生物識別信息等屬于個人信息;

??2021年7月,《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》發(fā)布,明確了典型場景下處理人臉信息的侵權(quán)認定規(guī)則;

??2021年11月,《中華人民共和國個人信息保護法》正式實施。其中,第二十六條從“公共場所安裝圖像采集設(shè)備”和“公共場所安裝個人身份識別設(shè)備”兩個角度對人臉信息處理進行了初步規(guī)定;

??2022年3月,《中共中央國務(wù)院關(guān)于加快建設(shè)全國統(tǒng)一大市場的意見》提出“加快制定面部識別、指靜脈、虹膜等智能化識別系統(tǒng)的全國統(tǒng)一標準”。此外,《信息安全技術(shù)生物特征識別信息保護基本要求》(GB/T40660—2021)、《信息安全技術(shù)人臉識別數(shù)據(jù)安全要求》(GB/T41819—2022)、《信息技術(shù)生物特征識別人臉識別系統(tǒng)技術(shù)要求》(GB/T41772-2022)、《信息技術(shù)生物特征識別人臉識別系統(tǒng)應(yīng)用要求》(GB/T44248-2024)等國家標準相繼出臺,對處理人臉識別信息提出了全生命周期的規(guī)范要求;

??2025年1月,國務(wù)院出臺了《公共安全視頻圖像信息系統(tǒng)管理條例》,自2025年4月1日起施行,其規(guī)定了公共安全視頻的建設(shè)和管理要求,強調(diào)在維護公共安全的同時保護個人隱私和個人信息權(quán)益。

??濫用人臉識別技術(shù):可能承擔這些法律責任

??人臉信息在商業(yè)化中被利用,一旦泄露,對人身與財產(chǎn)均會構(gòu)成威脅。在法律層面上,如果企業(yè)擅自收集和處理人臉信息,有可能會承擔民事、行政乃至刑事方面的法律責任。

??在民事責任層面上,如果企業(yè)未獲同意就處理個人信息,侵害個人權(quán)益的,根據(jù)消費者權(quán)益保護法第五十條規(guī)定,經(jīng)營者侵害消費者的人格尊嚴、侵犯消費者人身自由或者侵害消費者個人信息依法得到保護的權(quán)利的,應(yīng)當停止侵害、恢復名譽、消除影響、賠禮道歉,并賠償損失。

??在行政處罰層面上,如果企業(yè)未經(jīng)同意就處理個人信息,侵害消費者的個人信息權(quán)益,根據(jù)消費者權(quán)益保護法第五十六條規(guī)定,經(jīng)營者有下列情形之一,除承擔相應(yīng)的民事責任外,其他有關(guān)法律、法規(guī)對處罰機關(guān)和處罰方式有規(guī)定的,依照法律、法規(guī)的規(guī)定執(zhí)行;法律、法規(guī)未作規(guī)定的,由工商行政管理部門或者其他有關(guān)行政部門責令改正,可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處以違法所得一倍以上十倍以下的罰款,沒有違法所得的,處以五十萬元以下的罰款;情節(jié)嚴重的,責令停業(yè)整頓、吊銷營業(yè)執(zhí)照:......(九)侵害消費者人格尊嚴、侵犯消費者人身自由或者侵害消費者個人信息依法得到保護的權(quán)利的。

??在刑事處罰層面上,如果企業(yè)違反國家有關(guān)規(guī)定,竊取或以其他方法非法獲取公民個人信息,將可能構(gòu)成刑法第二百五十三條之一規(guī)定的“侵犯公民個人信息罪”。

??觸犯“侵犯公民個人信息罪”,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。

??遭遇強制刷臉怎么辦?三步教你維權(quán)

??第一步:明確拒絕,要求替代方式

??若對方聲稱“不刷臉無法辦理”,可直接援引《辦法》回應(yīng):“根據(jù)《人臉識別技術(shù)應(yīng)用安全管理辦法》,請?zhí)峁┢渌炞C方式,否則涉嫌違法?!?/span>

??注意保留證據(jù):拍攝現(xiàn)場標識、錄音或錄像,記錄對方強制要求的過程。

??第二步:投訴舉報,多渠道維權(quán)

??向監(jiān)管部門舉報:通過國家網(wǎng)信辦、地方公安機關(guān)或消費者協(xié)會投訴。

??企業(yè)備案核查:若涉及大規(guī)模人臉信息處理(存儲超10萬人),可要求對方出示備案證明。

??第三步:提起訴訟,主張損害賠償

??若因拒絕“刷臉”導致權(quán)益受損(如無法入住、被限制出入),可依據(jù)個人信息保護法向法院起訴,要求停止侵害并賠償損失。


附:《人臉識別技術(shù)應(yīng)用安全管理辦法》全文


人臉識別技術(shù)應(yīng)用安全管理辦法


第一條 為了規(guī)范應(yīng)用人臉識別技術(shù)處理人臉信息活動,保護個人信息權(quán)益,根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律、行政法規(guī),制定本辦法。

第二條 在中華人民共和國境內(nèi)應(yīng)用人臉識別技術(shù)處理人臉信息的活動,適用本辦法。

在中華人民共和國境內(nèi)為從事人臉識別技術(shù)研發(fā)、算法訓練活動應(yīng)用人臉識別技術(shù)處理人臉信息的,不適用本辦法的規(guī)定。

第三條 應(yīng)用人臉識別技術(shù)處理人臉信息活動,應(yīng)當遵守法律法規(guī),尊重社會公德和倫理,遵守商業(yè)道德和職業(yè)道德,誠實守信,履行個人信息保護義務(wù),承擔社會責任,不得危害國家安全、損害公共利益、侵害個人合法權(quán)益。

第四條 應(yīng)用人臉識別技術(shù)處理人臉信息,應(yīng)當具有特定的目的和充分的必要性,采取對個人權(quán)益影響最小的方式,并實施嚴格保護措施。

第五條 個人信息處理者應(yīng)用人臉識別技術(shù)處理人臉信息前,應(yīng)當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:

(一)個人信息處理者的名稱或者姓名和聯(lián)系方式;

(二)人臉信息的處理目的、處理方式,處理的人臉信息保存期限;

(三)處理人臉信息的必要性以及對個人權(quán)益的影響;

(四)個人依法行使權(quán)利的方式和程序;

(五)法律、行政法規(guī)規(guī)定應(yīng)當告知的其他事項。

前款規(guī)定事項發(fā)生變更的,應(yīng)當將變更部分告知個人。

法律、行政法規(guī)規(guī)定可以不向個人告知的,從其規(guī)定。

處理殘疾人、老年人人臉信息的,還應(yīng)當符合國家有關(guān)無障礙環(huán)境建設(shè)的規(guī)定。

第六條 基于個人同意處理人臉信息的,應(yīng)當取得個人在充分知情的前提下自愿、明確作出的單獨同意。法律、行政法規(guī)規(guī)定處理人臉信息應(yīng)當取得個人書面同意的,從其規(guī)定。

基于個人同意處理人臉信息的,個人有權(quán)撤回同意,個人信息處理者應(yīng)當提供便捷的撤回同意的方式。個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力。

第七條 基于個人同意處理不滿十四周歲未成年人人臉信息的,應(yīng)當取得未成年人的父母或者其他監(jiān)護人的同意。

個人信息處理者應(yīng)用人臉識別技術(shù)處理不滿十四周歲未成年人人臉信息的,應(yīng)當在存儲、使用、轉(zhuǎn)移、披露等方面制定專門的處理規(guī)則,依法保護未成年人個人信息安全。

第八條 除法律、行政法規(guī)另有規(guī)定或者取得個人單獨同意外,人臉信息應(yīng)當存儲于人臉識別設(shè)備內(nèi),不得通過互聯(lián)網(wǎng)對外傳輸。

除法律、行政法規(guī)另有規(guī)定外,人臉信息的保存期限不得超過實現(xiàn)處理目的所必需的最短時間。

第九條 個人信息處理者應(yīng)用人臉識別技術(shù)處理人臉信息,應(yīng)當事前進行個人信息保護影響評估,并對處理情況進行記錄。個人信息保護影響評估主要包括下列內(nèi)容:

(一)人臉信息的處理目的、處理方式是否合法、正當、必要;

(二)對個人權(quán)益帶來的影響,以及降低不利影響的措施是否有效;

(三)發(fā)生人臉信息泄露、篡改、丟失、毀損或者被非法獲取、出售、使用的風險以及可能造成的危害;

(四)所采取的保護措施是否合法、有效并與風險程度相適應(yīng)。

個人信息保護影響評估報告和處理情況記錄應(yīng)當至少保存3年。處理人臉信息的目的、方式發(fā)生變化,或者發(fā)生重大安全事件的,應(yīng)當重新進行個人信息保護影響評估。

第十條 實現(xiàn)相同目的或者達到同等業(yè)務(wù)要求,存在其他非人臉識別技術(shù)方式的,不得將人臉識別技術(shù)作為唯一驗證方式。個人不同意通過人臉信息進行身份驗證的,應(yīng)當提供其他合理、便捷的方式。

國家對應(yīng)用人臉識別技術(shù)驗證個人身份另有規(guī)定的,從其規(guī)定。

第十一條 應(yīng)用人臉識別技術(shù)驗證個人身份、辨識特定個人的,鼓勵優(yōu)先使用國家人口基礎(chǔ)信息庫、國家網(wǎng)絡(luò)身份認證公共服務(wù)等渠道實施,減少人臉信息收集、存儲,保護人臉信息安全。

第十二條 任何組織和個人不得以辦理業(yè)務(wù)、提升服務(wù)質(zhì)量等為由,誤導、欺詐、脅迫個人接受人臉識別技術(shù)驗證個人身份。

第十三條 在公共場所安裝人臉識別設(shè)備,應(yīng)當為維護公共安全所必需,依法合理確定人臉信息采集區(qū)域,并設(shè)置顯著提示標識。

任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛(wèi)生間等公共場所中的私密空間內(nèi)部安裝人臉識別設(shè)備。

第十四條 人臉識別技術(shù)應(yīng)用系統(tǒng)應(yīng)當采取數(shù)據(jù)加密、安全審計、訪問控制、授權(quán)管理、入侵檢測和防御等措施保護人臉信息安全。涉及網(wǎng)絡(luò)安全等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施的,應(yīng)當按照國家有關(guān)規(guī)定履行網(wǎng)絡(luò)安全等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護義務(wù)。

第十五條 個人信息處理者應(yīng)當在應(yīng)用人臉識別技術(shù)處理的人臉信息存儲數(shù)量達到10萬人之日起30個工作日內(nèi)向所在地省級以上網(wǎng)信部門履行備案手續(xù)。申請備案應(yīng)當提交下列材料:

(一)個人信息處理者的基本情況;

(二)人臉信息處理目的和處理方式;

(三)人臉信息存儲數(shù)量和安全保護措施;

(四)人臉信息的處理規(guī)則和操作規(guī)程;

(五)個人信息保護影響評估報告。

備案信息發(fā)生實質(zhì)性變更的,應(yīng)當在變更之日起30個工作日內(nèi)辦理備案變更手續(xù)。終止應(yīng)用人臉識別技術(shù)的,應(yīng)當在終止之日起30個工作日內(nèi)辦理注銷備案手續(xù),并依法處理人臉信息。

第十六條 網(wǎng)信部門會同公安機關(guān)和其他履行個人信息保護職責的部門,建立健全信息共享和通報工作機制,協(xié)同開展相關(guān)工作。

網(wǎng)信部門、公安機關(guān)和其他履行個人信息保護職責的部門依法對應(yīng)用人臉識別技術(shù)處理個人信息活動實施監(jiān)督檢查,個人信息處理者應(yīng)當依法予以配合。

第十七條 任何組織、個人有權(quán)對違法應(yīng)用人臉識別技術(shù)處理人臉信息的活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應(yīng)當依法及時處理,并將處理結(jié)果告知投訴人、舉報人。

第十八條 違反本辦法規(guī)定的,依照有關(guān)法律、行政法規(guī)的規(guī)定處理;構(gòu)成犯罪的,依法追究刑事責任。

第十九條 本辦法下列術(shù)語的含義:

(一)個人信息處理者,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。

(二)人臉信息,是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的面部特征生物識別信息,不包括匿名化處理后的信息。

(三)人臉識別技術(shù),是指以人臉信息作為識別個體身份的個體生物特征識別技術(shù)。

(四)人臉識別設(shè)備,是指應(yīng)用人臉識別技術(shù)識別個體身份的終端設(shè)備。

(五)驗證個人身份,是指通過收集獲得的人臉信息與信息系統(tǒng)存儲的特定人臉信息進行“一對一”比對,確認和核對兩者是否為同一人。

(六)辨識特定個人,是指通過收集獲得的人臉信息與信息系統(tǒng)存儲的特定范圍內(nèi)人臉信息進行“一對多”比對,發(fā)現(xiàn)和識別具有特定身份的個人。

第二十條 本辦法自2025年6月1日起施行。