《人脸识别技术应用安全管理办法》将于2025年6月1日起施行
国家互联网信息办公室和公安部联合发布了《人脸识别技术应用安全管理办法》(以下简称《办法》),该办法将于2025年6月1日起施行。
《办法》旨在规范人脸识别技术的应用,保护个人信息权益,确保人脸信息安全。该办法对应用人脸识别技术处理人脸信息的基本要求和处理规则、安全规范、监督管理职责等方面作出了明确规定。
基本要求和处理规则
《办法》规定,应用人脸识别技术处理人脸信息活动应遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。
处理规则包括:
- 具有特定目的和充分必要性,采取对个人权益影响最小的方式,并实施严格保护措施。
- 履行告知义务。
- 基于个人同意处理人脸信息的,应取得个人在充分知情的前提下自愿、明确作出的单独同意。对于不满十四周岁未成年人的人脸信息,应取得其父母或其他监护人的同意。
- 人脸信息应存储于人脸识别设备内,不得通过互联网对外传输,除非法律、行政法规另有规定或取得个人单独同意。保存期限不得超过实现处理目的所必需的最短时间。
- 事前进行个人信息保护影响评估,并对处理情况进行记录。
应用安全规范
《办法》还明确了人脸识别技术应用的安全规范,包括:
- 若存在其他非人脸识别技术方式,不得将人脸识别技术作为唯一验证方式。
- 鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施身份验证。
- 禁止以办理业务、提升服务质量等为由误导、欺诈、胁迫个人接受人脸识别技术验证。
- 在公共场所安装人脸识别设备应为维护公共安全所必需,并设置显著提示标识。禁止在私密空间内部安装人脸识别设备。
- 应用系统应采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。
监督管理职责
《办法》规定,个人信息处理者应在人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作。
《办法》同时对违反规定的法律责任、相关术语的含义等作出了规定。
