《人臉識別技術應用安全管理辦法》將於2025年6月1日起施行
國家互聯網信息辦公室和公安部聯合發布了《人臉識別技術應用安全管理辦法》(以下簡稱《辦法》),该辦法将于2025年6月1日起施行。
《辦法》旨在規範人臉識別技術的應用,保護個人信息權益,確保人臉信息安全。该辦法对应用人脸识别技术处理人脸信息的基本要求和处理规则、安全規範、監督管理職責等方面作出了明確規定。
基本要求和處理規則
《辦法》規定,應用人臉識別技術處理人臉信息活動應遵守法律法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行個人信息保護義務,承擔社會責任,不得危害國家安全、損害公共利益、侵害個人合法權益。
處理規則包括:
- 具有特定目的和充分必要性,採取對個人權益影響最小的方式,並實施嚴格保護措施。
- 履行告知義務。
- 基於個人同意處理人臉信息的,應取得個人在充分知情的前提下自願、明確作出的單獨同意。對於不滿十四周歲未成年人的人臉信息,應取得其父母或其他監護人的同意。
- 人臉信息應存儲於人臉識別設備內,不得通過互聯網對外傳輸,除非法律、行政法規另有規定或取得個人單獨同意。保存期限不得超過實現處理目的所必需的最短時間。
- 事前進行個人信息保護影響評估,並對處理情況進行記錄。
應用安全規範
《辦法》還明確了人臉識別技術應用的安全規範,包括:
- 若存在其他非人臉識別技術方式,不得將人臉識別技術作為唯一驗證方式。
- 鼓勵優先使用國家人口基礎信息庫、國家網絡身份認證公共服務等渠道實施身份驗證。
- 禁止以辦理業務、提升服務質量等為由誤導、欺詐、脅迫個人接受人臉識別技術驗證。
- 在公共場所安裝人臉識別設備應為維護公共安全所必需,并设置显著提示标识。禁止在私密空間內部安裝人臉識別設備。
- 應用系統應採取數據加密、安全審計、訪問控制、授權管理、入侵檢測和防禦等措施保護人臉信息安全。
監督管理職責
《辦法》規定,個人信息處理者應在人臉信息存儲數量達到10萬人之日起30個工作日內向所在地省級以上網信部門履行備案手續。網信部門會同公安機關和其他履行個人信息保護職責的部門,建立健全信息共享和通報工作機制,協同開展相關工作。
《辦法》同時對違反規定的法律責任、相關術語的含義等作出了規定。
